O que é um Prestador de serviços de ativos virtuais (PSAV)?
Um Prestador de serviços de ativos virtuais (PSAV) qualquer pessoa física ou Entidade exerça, a título profissional e por conta de terceiros, uma ou mais das seguintes atividades: troca de ativos virtuais por moedas fiduciárias ou outros ativos virtuais; transferência de ativos virtuais; custódia ou administração de ativos virtuais ou de instrumentos que permitam o controle sobre ativos virtuais; ou participação e prestação de serviços financeiros relacionados à emissão ou venda de um ativo virtual. O Grupo de Ação Financeira Internacional (GAFI) introduziu a definição de VASP em sua atualização de 2019 da Recomendação 15, estendendo as obrigações de combate à lavagem de dinheiro e ao financiamento do terrorismo (AML/CFT) a essa categoria de negócios pela primeira vez.
Como os VASPs lidam com a troca, a transferência e a custódia de Ativos digitais nome dos clientes, eles se situam na interseção entre o quadro tradicional de combate à lavagem de dinheiro e o Cripto . Os VASPs são obrigados a implementar programas de KYC, Monitoramento de transações, verificação de sanções e compliance a Travel Rule equivalentes aos das instituições financeiras regulamentadas. Mais de 100 jurisdições adotaram ou estão implementando a estrutura da FATF para VASPs, tornando compliance dos VASPs compliance dos desenvolvimentos regulatórios mais significativos no setor de ativos digitais.
O que significa VASP e por que essa definição é importante?
VASP significa “Provedor de Serviços de Ativos Virtuais”. O termo foi introduzido pela FATF em sua atualização de 2019 da Recomendação 15, que ampliou o quadro internacional de combate à lavagem de dinheiro e ao financiamento do terrorismo — anteriormente aplicável apenas a instituições financeiras tradicionais — para empresas que atuam no setor de ativos digitais. A precisão da definição da FATF é importante do ponto de vista operacional: ela determina quais empresas são legalmente obrigadas a se registrar, implementar compliance e comunicar atividades suspeitas às unidades de inteligência financeira.
Uma empresa que se enquadra na definição de VASP está sujeita às mesmas obrigações em matéria de combate à lavagem de dinheiro que um banco ou uma empresa de serviços financeiros; uma que não se enquadra nessa definição não está sujeita a elas — e é por isso que os órgãos reguladores, consultores jurídicos e compliance analisam a definição com rigor.
O FATF define cinco atividades dos VASP:
- Troca entre ativos virtuais e moedas fiduciárias
- Troca entre uma ou mais formas de ativos virtuais
- Transferência de ativos virtuais
- Custódia e/ou administração de ativos virtuais ou instrumentos que permitam o controle sobre ativos virtuais
- Participação e prestação de serviços financeiros relacionados à oferta e/ou venda de um ativo virtual por parte de um emissor
Qualquer empresa que realize uma ou mais dessas atividades em nome de outra pessoa é considerada um VASP no âmbito do quadro da FATF.
Quais são alguns exemplos de prestadores de serviços de ativos virtuais?
Criptomoeda
As bolsas centralizadas— plataformas que permitem aos usuários comprar, vender e negociar criptomoedas em troca de moeda fiduciária ou outros Ativos digitais— constituem a categoria mais simples de VASP. Elas realizam a troca de ativos virtuais por moeda fiduciária (Atividade 1) e entre ativos virtuais (Atividade 2). As bolsas regulamentadas nos Estados Unidos, na União Europeia e no Reino Unido são obrigadas a se registrar como VASP ou como empresas de serviços monetários equivalentes e a manter programas completos de AML/KYC.
Carteira deCarteira Cripto (com custódia)
Carteira com custódia — serviços que mantêm as chaves privadas em nome dos usuários, conferindo ao provedor de serviços o controle sobre Ativos digitaisdos usuários — são classificados como VASPs no âmbito da atividade de custódia e administração (Atividade 4). As carteiras sem custódia, nas quais o usuário mantém suas próprias chaves privadas, normalmente não se qualificam como VASPs, pois nenhum terceiro está prestando um serviço em nome de outrem. Essa distinção entre custódia e não custódia é fundamental para compliance o FATF.
Mesas Cripto e corretoras
As mesas de operações no mercado de balcão e Cripto facilitam transações de grande volume entre compradores e vendedores, geralmente em troca de moeda fiduciária ou outros ativos virtuais, enquadrando-se nas Atividades 1 e 2. As mesas de operações no mercado de balcão que atendem contrapartes institucionais estão sujeitas às mesmas obrigações de KYC e AML que as bolsas de varejo.
Processadores Cripto
Processadores de pagamentos que facilitam a transferência de ativos virtuais entre partes — incluindo canais de pagamento para comerciantes e serviços de remessa denominados em Criptomoeda— são considerados VASPs no âmbito da atividade de transferência (Atividade 3) e estão sujeitos às obrigações da Regra de Viagem em transações qualificadas.
Emissores de tokens e plataformas de ICO
As entidades que participam e prestam serviços financeiros relacionados à emissão ou venda de ativos virtuais (Atividade 5) podem ser consideradas VASPs, dependendo da natureza do ativo e dos serviços prestados.
Os casos extremos: NFTs, stablecoins e DeFi
As plataformas de NFT podem ser consideradas VASPs quando facilitam transações que não são claramente não fungíveis — ou seja, quando os NFTs são utilizados como instrumentos de investimento ou de pagamento, e não apenas como itens de coleção. As orientações do FATF analisam a utilização funcional do token, e não apenas sua denominação.
Stablecoin são considerados VASPs pela FATF quando trocam stablecoins por moeda fiduciária ou outros ativos virtuais e quando a stablecoin como meio de pagamento ou de transferência de valor.
Os protocolos DeFi representam a questão de classificação mais controversa. A posição do FATF é que os protocolos DeFi podem ter “proprietários ou operadores” que se enquadram na categoria de VASPs, mesmo que o próprio protocolo seja descentralizado — uma questão regulatória ainda não resolvida na maioria das jurisdições.
Requisitos regulatórios para VASP: o que compliance com as normas de combate à lavagem de dinheiro e ao financiamento do terrorismo compliance ?
Diligência devida em relação ao cliente (CDD) e KYC
Os VASPs são obrigados a verificar a identidade de seus clientes antes de estabelecer uma relação comercial —Conheça seu cliente (KYC)— e a manter registros dessa verificação. A Recomendação 10 do FATF define o padrão de CDD: identificar e verificar a identidade do cliente, identificar a titularidade efetiva e compreender a natureza e a finalidade da relação comercial.
Diligência devida reforçada (EDD) para clientes de alto risco
Quando a verificação prévia do cliente identificar um risco elevado — pessoas politicamente expostas (PEPs), clientes em jurisdições de alto risco, contas de alto valor ou relações comerciais de complexidade incomum —, os VASPs são obrigados a aplicar uma verificação prévia reforçada: coletar informações de identificação adicionais, compreender a origem dos fundos e aplicar um monitoramento contínuo mais intensivo.
Monitoramento de transações Notificação de atividades suspeitas
Os VASPs devem monitorar as transações dos clientes de forma contínua, a fim de detectar padrões indicativos de lavagem de dinheiro, Financiamento ao terrorismo ou outros crimes financeiros. Caso o monitoramento identifique atividades suspeitas, o VASP deve apresentar um Relatório de atividade suspeita (SAR) à unidade de inteligência financeira competente. Monitoramento de transações eficaz Monitoramento de transações VASPs requer blockchain para identificar indicadores de risco na cadeia, incluindo Mercado da darknet , interações com endereços sancionados e mixer .
Verificação de sanções
Os VASPs devem verificar os clientes e as transações em relação às listas de sanções aplicáveis — incluindo a Lista SDN do OFAC, as designações de sanções da ONU e as listas de sanções da UE e do Reino Unido. Para Cripto , a verificação de sanções vai além da comparação de nomes, estendendo-seaddress screening Carteira : o OFAC e outras autoridades designaram Contrato inteligente específicos Criptomoeda e Contrato inteligente , criando obrigações de verificação que exigem blockchain .
A Regra de Transferência — Compartilhamento de Informações entre VASP
A Recomendação 16 do FATF — a “Travel Rule” — exige que os VASPs obtenham, mantenham e transmitam informações sobre o remetente e o beneficiário em transferências de ativos virtuais acima de um limite definido (1.000 USD/EUR na maioria das jurisdições). Quando um cliente inicia uma transferência de um VASP para outro, o VASP de origem deve transmitir o nome do cliente, o número da conta ou Carteira e o endereço físico ao VASP destinatário.
A Regra de Transferência representa compliance mais complexa do ponto de vista operacional para os VASPs, pois exige que estes identifiquem o VASP da contraparte, estabeleçam um canal seguro de compartilhamento de dados e transmitam os dados dos clientes em tempo real — em jurisdições com prazos de implementação inconsistentes e diferentes requisitos de limite.
Manutenção de registros
Os VASPs devem manter registros de identificação de clientes, históricos de transações e documentação de CDD/EDD por um período mínimo de cinco anos (conforme a norma do GAFI). Para empresas blockchain, os requisitos de manutenção de registros abrangem os dados de transações na cadeia de blocos —Carteira , hashes de transações e mapeamento de clientes associados —, além dos registros financeiros tradicionais.
Licenciamento e registro de VASP: Quem precisa de uma licença de VASP?
Registro x Licenciamento
O registro de VASP é um requisito de notificação menos rigoroso: o VASP informa Regulador seu Regulador intenção Regulador operar. O licenciamento de VASP é um processo de autorização mais rigoroso, que envolve a análise regulatória dos programas de combate à lavagem de dinheiro, da governança, dos recursos financeiros e das capacidades técnicas. Muitas jurisdições passaram de regimes de registro para regimes de licenciamento à medida que seus marcos Cripto amadureceram.
Visão geral por jurisdição
| Competência | Autoridade Reguladora | Estrutura | Requisito fundamental |
| Estados Unidos | FinCEN | Lei de Sigilo Bancário / Registro de MSB | Registro no MSB; licenças estaduais para prestadores de serviços de transferência de valores |
| União Europeia | Autoridades nacionais (após a MiCA: EBA) | MiCA (Regulamento dos Mercados de Cripto) | É necessária autorização CASP; reconhecimento mútuo na UE |
| Reino Unido | FCA | Regulamentação do Reino Unido sobre Lavagem de Dinheiro | É necessário o registro como VASP na FCA |
| Cingapura | MAS | Lei dos Serviços de Pagamento | Licença de instituição de pagamentos de grande porte |
| Emirados Árabes Unidos (ADGM/DIFC) | FSRA / DFSA | Estrutura de Ativos Virtuais | Autorização específica para VASP |
| Hong Kong | SFC | Regime de licenciamento VASP (em vigor a partir de 2023) | Licenciamento obrigatório; normas rigorosas de governança |
Nota sobre a MiCA: O regulamento MiCA da UE substitui o termo “VASP” por “CASP” (Prestador de ServiçosCripto) no contexto regulatório da UE. Compliance que operam na UE devem utilizar “CASP” nos registros regulatórios, enquanto “VASP” continua sendo o padrão da FATF e global.
Due diligence de VASP: Como as instituições financeiras e os VASP avaliam as contrapartes
Por que a due diligence para VASP é importante
As instituições financeiras — bancos, bancos correspondentes, processadores de pagamentos — que prestam serviços a VASPs como clientes devem realizar uma devida diligência sobre esses VASPs equivalente à que realizariam em Instituição financeira qualquer outro Instituição financeira . As orientações do FATF exigem que as instituições Instituição financeira avaliem a qualidade do programa de combate à lavagem de dinheiro e ao financiamento do terrorismo (AML/CFT), a situação regulatória e Perfil de risco contrapartes VASP antes de estabelecer relações comerciais.
O que abrange uma avaliação de due diligence para VASP
Verificação da situação regulatória: O VASP está registrado ou licenciado nas jurisdições em que opera? Perante quais autoridades?
Avaliação do programa de combate à lavagem de dinheiro: O VASP mantém um programa de combate à lavagem de dinheiro documentado? Quem é o compliance ?
CapacidadeBlockchain : O VASP utiliza ferramentas Monitoramento de transações triagem capazes de detectar a exposição a endereços sujeitos a sanções?
Monitoramento de transações : O monitoramento do VASP abrange todas blockchain nas quais opera?
compliance Travel Rule: O VASP está em conformidade com a Travel Rule? Ele é capaz de receber e transmitir informações sobre as contrapartes?
Perfil de risco : Qual é o Perfil de risco inerente ao VASP Perfil de risco na carteira de clientes, na presença geográfica e nos volumes de transações?
Avaliação dos riscos inerentes aos VASP
A abordagem baseada no risco da FATF exige que os VASPs e suas contrapartes avaliem o risco inerente — o risco presente antes da aplicação dos controles — como base de um programa de combate à lavagem de dinheiro. Para os VASPs, os fatores de risco inerentes incluem: risco do cliente (varejo x institucional, concentração geográfica, exposição a PEPs), risco do produto (custódia x câmbio x acesso a DeFi), risco geográfico (operação em jurisdições de alto risco) e risco de transação ( Criptomoeda com anonimato reforçado, volumes de transações de alto valor). As plataformas Blockchain fornecem a Dados on-chain que torna a avaliação do risco inerente baseada em evidências.
Como Forças da lei com os VASPs
Processos judiciais e solicitações de dados
Forças da lei notificam regularmente os VASPs por meio de intimações, ordens judiciais e mandados, solicitando registros de identidade dos clientes, históricos de transações e dados de contas. Os VASPs regulamentados são legalmente obrigados a responder a processos judiciais válidos; os VASPs não regulamentados ou offshore constituem o principal obstáculo à aplicação da lei.
Investigação em Tempo Real
Em investigações de alta prioridade —ransomware , Mercado da darknet , evasão de sanções —Forças da lei envolver os VASPs em tempo real para congelar fundos antes que eles possam ser retirados. Os VASPs com Monitoramento de transações em tempo real Monitoramento de transações fluxos de trabalho de alertas são os únicos capazes de responder na velocidade Forças da lei .
Arquivo SAR: Forças da lei e Forças da lei
Relatórios de Atividades Suspeitas (SARs) Relatórios pelos VASPs são incorporados diretamente aos sistemas Forças da lei . SARs de alta qualidade que incluem dados blockchain —Carteira , hashes de transações,Atribuição Entidade — são significativamente mais úteis do que os SARs que contêm apenas informações sobre contas fiduciárias. Os VASPs que utilizam blockchain para enriquecer seus SARs contribuem com informações de inteligência mais úteis e demonstram um compliance mais robusto.
Principais compliance para os VASPs
Fragmentação regulatória transfronteiriça. Os VASPs que operam em várias jurisdições enfrentam definições inconsistentes do conceito de VASP, requisitos de licenciamento, limites para a implementação da “Travel Rule” e padrões de programas de combate à lavagem de dinheiro. A principal dificuldade operacional consiste em criar um compliance que atenda às exigências das jurisdições mais rigorosas, mantendo-se, ao mesmo tempo, comercialmente viável em nível global.
LacunasBlockchain . Muitos compliance de VASP foram criados numa época em que o Bitcoin e o Ethereum dominavam os volumes de transações. À medida que a atividade se expandiu por dezenas de blockchain , compliance baseados no monitoramento de redes limitadas apresentam pontos cegos estruturais que os agentes ilícitos exploram deliberadamente.
Carteira à DeFi e Carteira não hospedadas. Os VASPs recebem depósitos de carteiras não hospedadas e de protocolos DeFi que não impõem requisitos de KYC ou AML. Avaliar o risco dos fundos provenientes dessas fontes requer blockchain capazes de rastrear o histórico Carteira não hospedadas e avaliar a exposição indireta a atividades ilícitas.
Identificação da contraparte na Travel Rule. compliance a Travel Rule compliance que os VASPs identifiquem o VASP da contraparte nas transferências de saída — mas o conjunto global de VASPs é vasto, fragmentado e possui registros inconsistentes. Os VASPs que recebem transferências de contrapartes desconhecidas enfrentam uma compliance .
Como a Chainalysis ajuda os VASPs a cumprir suas compliance
Chainalysis KYT Know Your Transaction) oferece Monitoramento de transações em tempo real Monitoramento de transações verifica os depósitos e saques de clientes de VASPs (Provedores de Serviços de Ativos Virtuais) em relação a listas de sanções,Atribuição Mercado da darknet e indicadores de risco comportamental em mais de 1.000 blockchain . O KYT fornece Monitoramento de transações blockchain que atende aos requisitos de monitoramento operacional da FATF e gera o fluxo de trabalho de alertas que dá suporte ao preenchimento de SARs (Relatórios de Atividades Suspeitas).
Address Screening da Chainalysis permite a triagem pré-transação de Carteira não hospedadas e de VASPs contrapartes antes da integração ou do processamento da transação. Address Screening a capacidade de avaliação de risco inerente exigida pelas estruturas de due diligence dos VASPs.
Chainalysis Reactor é a Investigação para compliance de VASP e Forças da lei a alertas de atividades suspeitas. O Reactor rastreia fluxos de fundos por meio do gráfico de transações — entre cadeias, por protocolos DeFi e por serviços de mistura — para construir o registro de evidências que sustenta os registros de SAR e Forças da lei . A metodologia do Reactor foi aceita sob o padrão Daubert em processos federais nos Estados Unidos.
Chainalysis Data Solutions (DS) fornece o Atribuição e Inteligência de ameaças que alimentam a pontuação de risco KYT, Carteira e as investigações do Reactor. Atualizados continuamente com novas designações de sanções,Carteira Mercado da darknet e tipologias emergentes.
Perguntas frequentes sobre os VASPs
P: O que é um Prestador de serviços de ativos virtuais (PSAV)?
R: Um VASP é qualquer empresa que troca, transfere ou mantém em custódia ativos virtuais em nome dos clientes. O FATF define cinco atividades qualificadas: troca de ativos virtuais por moeda fiduciária ou outros ativos virtuais, transferência de ativos virtuais, custódia de ativos virtuais e prestação de serviços financeiros relacionados à emissão de ativos virtuais. Os VASPs são obrigados a implementar programas de combate à lavagem de dinheiro (AML) e de conhecimento do cliente (KYC) equivalentes aos das instituições financeiras tradicionais.
P: Quais são alguns exemplos de VASPs?
R: Entre os exemplos estão Criptomoeda (Coinbase, Kraken, Binance), Carteira com custódia, mesas Cripto e corretoras Cripto , processadores Cripto e plataformas de emissão de tokens. Qualquer empresa que realize atividades de VASP, conforme definido pela FATF, em nome de clientes se enquadra nessa categoria.
P: Quem precisa de uma licença VASP?
R: Qualquer empresa que exerça atividades de VASP em uma jurisdição regulamentada deve se registrar ou obter uma licença junto à autoridade competente — o FinCEN nos EUA (registro como MSB), a FCA no Reino Unido, as autoridades nacionais no âmbito da MiCA na UE (autorização como CASP), a MAS em Cingapura ou órgãos equivalentes em outras jurisdições.
P: Qual é a diferença entre um VASP e uma Instituição financeira tradicional?
R: Os VASPs e as instituições financeiras tradicionais enfrentam obrigações equivalentes em matéria de combate à lavagem de dinheiro e ao financiamento do terrorismo (AML/CFT) no âmbito do quadro da FATF. As principais diferenças são de natureza operacional: os VASPs lidam com ativos blockchain, o que requer blockchain para Monitoramento de transações a verificação de sanções, enquanto as instituições tradicionais lidam com transações baseadas em moeda fiduciária por meio da infraestrutura bancária estabelecida.
P: O que é a “Travel Rule” e como ela se aplica aos VASPs?
R: A Regra de Rastreabilidade da FATF (Recomendação 16) exige que os VASPs obtenham, mantenham e transmitam informações sobre o remetente e o beneficiário em transferências de ativos virtuais que ultrapassem os limites específicos de cada jurisdição (normalmente 1.000 USD/EUR). O VASP de origem deve compartilhar os dados de identificação do cliente com o VASP destinatário.
P: Um protocolo DeFi é um VASP?
R: A posição do FATF é que os protocolos DeFi podem ter “proprietários ou operadores” que se enquadram na categoria de VASP, mesmo que o próprio protocolo seja descentralizado. Nos casos em que pessoas identificáveis exerçam controle administrativo ou de governança, essas pessoas podem estar sujeitas às obrigações aplicáveis aos VASP. Essa continua sendo uma questão regulatória ainda não resolvida na maioria das jurisdições.
P: O que acontece se um VASP não cumprir os requisitos de combate à lavagem de dinheiro?
R: Os VASPs que não cumprem as normas estão sujeitos a medidas coercitivas, incluindo multas, revogação da licença e processo criminal contra os responsáveis. O acordo de US$ 4,3 bilhões da Binance (2023) e o acordo de US$ 100 milhões da BitMEX (2021) demonstram a magnitude das penalidades por falhas na prevenção à lavagem de dinheiro por parte dos VASPs.
Os VASPs enfrentam o compliance AML compliance mais complexo do setor de serviços financeiros. A Chainalysis oferece aos VASPs a compliance necessária para cumprir todas as obrigações — e comprovar isso aos órgãos reguladores. Solicite uma demo para ver como Chainalysis KYT, Carteira e o Reactor podem impulsionar compliance seu compliance de VASP.
Conheça Chainalysis KYT VASP: Monitoramento de transações
Saiba como o Chainalysis Carteira auxilia na due diligence dos VASP