O COAF (Conselho de Controle de Atividades Financeiras) é a unidade de inteligência financeira (UIF) do Brasil, o órgão federal responsável por receber, analisar e disseminar informações destinadas à prevenção e ao combate à lavagem de dinheiro e ao financiamento do terrorismo.
Criado pela Lei nº 9.613/1998 e reestruturado pela Lei nº 13.974/2020, o COAF é vinculado administrativamente ao Banco Central do Brasil e atua com autonomia técnica e operacional sem investigar, bloquear valores ou prender pessoas.
Apesar dessa atribuição bem definida, poucos órgãos públicos são tão frequentemente mencionados e, ao mesmo tempo, tão mal compreendidos quanto o COAF. Sempre que uma operação financeira suspeita ganha as manchetes, o nome do Conselho de Controle de Atividades Financeiras aparece e, com ele, uma série de dúvidas: o que o COAF realmente faz? Ele investiga? Bloqueia contas? Pode quebrar o sigilo bancário de qualquer pessoa?
Para as empresas, entender o COAF vai muito além de curiosidade. Milhares de organizações no Brasil são legalmente obrigadas a comunicar operações suspeitas ao órgão, e o descumprimento dessa obrigação pode gerar multas milionárias, sanções administrativas e sérios danos reputacionais. Saber quem precisa reportar, o que caracteriza uma operação suspeita e como funciona o Siscoaf deixou de ser assunto exclusivo do setor financeiro para se tornar uma questão central de compliance e gestão de riscos.
Este guia reúne tudo o que você precisa saber sobre o COAF: o que é, qual a sua função, como funciona na prática, sua relação com a prevenção à lavagem de dinheiro (PLD-FT) e o papel da tecnologia no cumprimento dessas obrigações. Um conteúdo pensado para profissionais de compliance, risco, jurídico e para qualquer empresa que precise operar em conformidade com as normas brasileiras.
O que é o COAF?
O COAF é a sigla para Conselho de Controle de Atividades Financeiras. Trata-se do órgão que exerce, no Brasil, o papel de unidade de inteligência financeira (UIF), uma figura prevista em padrões internacionais e presente na maioria dos países. Sua missão central é atuar na prevenção e no combate à lavagem de dinheiro e ao financiamento do terrorismo por meio da produção de inteligência financeira.
Ele funciona como um grande centro de recebimento e análise de dados. Ele reúne comunicações enviadas por diversos setores da economia, cruza essas informações, identifica indícios de irregularidades e repassa os resultados às autoridades competentes. Não é um órgão de investigação nem de repressão: é um órgão administrativo e de inteligência.
Criação e base legal do COAF
O COAF foi criado pelo artigo 14 da Lei nº 9.613, de 3 de março de 1998, conhecida como a Lei de Lavagem de Dinheiro. Essa lei tipificou o crime de lavagem no país e estabeleceu o sistema de prevenção que existe até hoje, definindo obrigações para diversos setores e criando o órgão responsável por centralizar as comunicações.
Mais de duas décadas depois, a Lei nº 13.974, de 7 de janeiro de 2020, reestruturou o Conselho, conferindo-lhe autonomia técnica e operacional e definindo sua nova estrutura organizacional. Foi também nesse período que o COAF passou a ser vinculado administrativamente ao Banco Central do Brasil, situação que se mantém atualmente. Vale destacar que essa vinculação é apenas administrativa: o COAF preserva independência técnica na produção de inteligência financeira.
Qual a função do COAF?
A função do COAF é produzir inteligência financeira para apoiar o Estado na prevenção e no combate a crimes financeiros. Suas principais atribuições são:
- Coletar, examinar e identificar operações suspeitas: o COAF recebe comunicações dos setores obrigados e analisa movimentações que fujam do padrão esperado.
- Produzir Relatórios de Inteligência Financeira (RIFs): a partir da análise dos dados, o órgão elabora relatórios sigilosos que consolidam indícios relevantes.
- Disciplinar e supervisionar setores obrigados sem regulador próprio: para segmentos que não contam com um órgão regulador específico (como joalherias ou empresas de fomento mercantil), o próprio COAF exerce a supervisão.
- Aplicar sanções administrativas: o Conselho pode punir pessoas físicas e jurídicas que descumpram suas obrigações de comunicação e controle.
O que o COAF NÃO faz
Boa parte da confusão em torno do órgão vem de expectativas equivocadas sobre seu poder. Para deixar claro, o COAF não exerce as seguintes atividades:
- Não investiga: a apuração de crimes cabe à Polícia Federal, ao Ministério Público e a outras autoridades.
- Não bloqueia valores nem congela contas: medidas dessa natureza dependem de decisão judicial.
- Não prende ninguém: o COAF não tem poder de polícia.
- Não acessa extratos bancários livremente: o órgão trabalha com as comunicações que recebe dos setores obrigados, e não com varreduras irrestritas nas contas dos cidadãos.
Como o COAF funciona na prática?
O funcionamento do COAF pode ser entendido como um fluxo de inteligência que começa nas empresas obrigadas e termina nas autoridades responsáveis pela persecução penal. Compreender esse ciclo ajuda a enxergar exatamente onde a sua organização se encaixa.
1. Recebimento de comunicações
Tudo começa com as comunicações dos setores obrigados. Bancos, corretoras, imobiliárias, cartórios e diversos outros segmentos são obrigados por lei a informar ao COAF operações que atinjam determinados limites ou que apresentem características atípicas. Esse envio é feito por meio do Siscoaf.
2. Análise e cruzamento de dados
Recebidas as comunicações, o quadro técnico do COAF realiza a análise e o cruzamento das informações. Os dados são combinados com outras bases disponíveis para identificar padrões, conexões entre pessoas e empresas e indícios de que os recursos possam ter origem ilícita ou destino irregular.
3. Produção de RIFs
Quando a análise aponta indícios relevantes, o COAF produz um Relatório de Inteligência Financeira (RIF). Esse relatório é sigiloso e consolida as informações de forma estruturada, servindo como ponto de partida qualificado para o trabalho das autoridades. O RIF não é uma acusação nem uma prova de crime: é um instrumento de inteligência.
4. Encaminhamento às autoridades
Por fim, os RIFs são encaminhados às autoridades competentes, como o Ministério Público, a Polícia Federal e a Receita Federal. São esses órgãos que, a partir daí, decidem se e como aprofundar a apuração. O papel do COAF encerra-se na esfera administrativa e de inteligência; a fase investigativa pertence a outros atores do sistema.
O que é o Siscoaf?
O Siscoaf (Sistema de Controle de Atividades Financeiras) é o portal eletrônico de acesso restrito por meio do qual os setores obrigados enviam suas comunicações ao COAF. É a principal interface entre as empresas e o órgão, o canal oficial por onde trafegam todas as informações relevantes para a inteligência financeira.
Para utilizá-lo, as pessoas obrigadas precisam realizar um cadastro prévio. Uma vez habilitadas, passam a registrar no sistema tanto as comunicações de operações suspeitas quanto as comunicações automáticas exigidas por lei (aquelas que decorrem apenas de o valor superar determinado limite, independentemente de suspeita). Também é pelo Siscoaf que se registra, quando aplicável, a declaração negativa, a informação de que, em determinado período, não houve operações a comunicar.
Além de canal de envio, o Siscoaf funciona como um banco de dados de inteligência. Todas as comunicações recebidas ficam armazenadas e disponíveis para as análises do quadro técnico, alimentando a capacidade do órgão de detectar padrões e conexões ao longo do tempo. Por isso, manter as comunicações em dia no Siscoaf é parte essencial do compliance das empresas obrigadas.
Estrutura do COAF
A Lei nº 13.974/2020 definiu a estrutura organizacional do COAF em torno de dois núcleos principais: o Plenário e o Quadro Técnico, sob a coordenação da Presidência. Essa arquitetura busca separar a definição de diretrizes estratégicas da execução técnica das análises.
Plenário
O Plenário é a instância deliberativa do órgão. Composto pelo Presidente do COAF e por doze servidores de reputação ilibada e reconhecido conhecimento em prevenção à lavagem de dinheiro, é responsável por definir diretrizes estratégicas, editar normas de sua competência e julgar processos administrativos, inclusive a aplicação de penalidades.
Quadro Técnico
O Quadro Técnico é o coração operacional do COAF. É aqui que ocorre a análise de dados, a produção de inteligência e a supervisão dos setores obrigados. É o quadro técnico que examina as comunicações, cruza informações e elabora os RIFs que alimentam o trabalho das autoridades.
Uma característica marcante da composição do COAF é sua natureza interinstitucional. Os integrantes do Plenário são escolhidos entre servidores de diferentes órgãos e entidades, como Banco Central, Receita Federal, CVM, Polícia Federal, CGU, AGU, ABIN, SUSEP e outros. Essa diversidade amplia a capacidade analítica e reforça a articulação entre as instituições que atuam no sistema de prevenção.
Por fim, é importante frisar que os RIFs são sigilosos: seu acesso é restrito às autoridades legalmente autorizadas, resguardando tanto a eficácia das análises quanto os direitos dos investigados.
Quem é obrigado a reportar ao COAF?
A lista de setores obrigados a comunicar operações ao COAF é ampla e vem se expandindo ao longo dos anos. A base está no artigo 9º da Lei nº 9.613/1998, que define as chamadas pessoas obrigadas: organizações que, pela natureza de suas atividades, estão especialmente expostas ao risco de serem usadas para lavagem de dinheiro.
Entre os principais setores obrigados estão:
- Instituições financeiras, corretoras e seguradoras, que lidam diretamente com a captação e a movimentação de recursos.
- Cartórios e imobiliárias, dado o papel dos imóveis como instrumento clássico de lavagem.
- Joalherias e comerciantes de artigos de luxo, alvos frequentes por concentrarem alto valor em bens facilmente transportáveis.
- Empresas de transporte e guarda de valores, pela relação direta com o manuseio de numerário.
- Fintechs e instituições de pagamento, que ganharam protagonismo com a digitalização dos serviços financeiros.
- Setor de apostas (iGaming e bets), incorporado ao regime obrigatório com a regulamentação recente do mercado de apostas de quota fixa no Brasil.
Além desses, o artigo 9º e as normas subsequentes designam outros segmentos, e a relação exata deve ser sempre consultada na fonte primária. Para verificar se a sua atividade está sujeita às obrigações, consulte o texto integral da Lei nº 9.613/1998 e as normas do órgão regulador do seu setor.
O que são consideradas operações suspeitas?
Um dos pontos mais sensíveis do compliance com o COAF é saber identificar operações suspeitas. A lei não fornece uma lista fechada, justamente porque a criatividade das práticas ilícitas é grande. Em vez disso, trabalha-se com indícios e sinais de alerta que, isolados ou combinados, exigem atenção.
Entre as situações que costumam caracterizar suspeita estão:
- Movimentações incompatíveis com o perfil do cliente: valores ou frequências que não condizem com a renda, o patrimônio ou a atividade declarada.
- Operações de valor elevado sem justificativa econômica aparente ou fora do padrão do relacionamento.
- Fracionamento (smurfing): a divisão de uma grande quantia em várias operações menores, com o objetivo de escapar dos limites de comunicação automática.
- Indícios de ocultação da origem dos recursos: uso de terceiros, estruturas societárias artificiais ou explicações inconsistentes sobre a procedência do dinheiro.
Identificado o indício, surge o dever de comunicar. As pessoas obrigadas devem registrar a operação no Siscoaf, ainda que não tenham certeza de que houve crime, a comunicação é um ato de prevenção, não uma acusação.
Deixar de comunicar quando havia elementos para tanto é, por si só, uma infração sujeita a sanção.
Qual a relação entre o COAF e a prevenção à lavagem de dinheiro (PLD-FT)?
O COAF ocupa o centro do sistema de PLD-FT brasileiro. A sigla resume o conjunto de políticas, controles e obrigações voltados à Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo, e o Conselho é o ponto para onde converge toda a inteligência gerada por esse sistema.
As obrigações das empresas dentro do PLD-FT se conectam diretamente ao COAF. Processos como o KYC (Know Your Customer) e o monitoramento contínuo de transações existem justamente para permitir a identificação de operações atípicas que precisam ser comunicadas. Sem um KYC robusto e sem monitoramento adequado, uma empresa obrigada simplesmente não tem como cumprir seu dever de comunicação.
Por isso, olhar para o COAF de forma isolada é um erro. Ele é o destino final de um programa de compliance que começa muito antes: na verificação da identidade do cliente, na avaliação do seu risco, no acompanhamento das suas movimentações e na análise de listas restritivas.
Para aprofundar essa base, vale entender em detalhe como estruturar um programa de PLD-FT eficaz e como o KYC sustenta todo esse ciclo.
COAF e cooperação internacional
A lavagem de dinheiro é, por natureza, um fenômeno transnacional. Recursos ilícitos cruzam fronteiras com facilidade, e nenhum país consegue enfrentar o problema isoladamente. Por isso, o COAF integra uma ampla rede internacional de cooperação.
O órgão representa o Brasil no GAFI/FATF (Grupo de Ação Financeira Internacional), o organismo intergovernamental que estabelece os padrões globais de combate à lavagem de dinheiro e ao financiamento do terrorismo. É do GAFI que emanam as 40 Recomendações seguidas pela maioria dos países — entre elas, a Recomendação 29, que estabelece justamente a criação de uma unidade de inteligência financeira nacional, papel exercido pelo COAF no Brasil.
Além disso, o COAF troca informações com UIFs de outros países, muitas vezes por meio de redes como o Grupo de Egmont, que reúne as unidades de inteligência financeira do mundo. Essa cooperação permite rastrear recursos que atravessam jurisdições e reforça a eficácia do sistema brasileiro diante de esquemas internacionais de lavagem.
Consequências de não cumprir as obrigações com o COAF
Ignorar as obrigações com o COAF não é uma opção viável para as empresas obrigadas. O descumprimento expõe a organização a um conjunto significativo de riscos, que vão muito além da esfera financeira.
Multas e sanções administrativas
A própria Lei nº 9.613/1998 prevê sanções administrativas para quem descumpre as obrigações de comunicação e controle. As penalidades vão da advertência à multa pecuniária, que pode alcançar valores expressivos, proporcionais à gravidade da infração, passando pela inabilitação temporária para o exercício de cargos de administração e chegando, nos casos mais graves, à cassação ou suspensão da autorização para funcionamento.
Riscos reputacionais e regulatórios
Ao lado das multas, há um custo muitas vezes ainda maior: o dano à reputação. Ser associado a falhas de PLD-FT ou a esquemas de lavagem compromete a confiança de clientes, parceiros e investidores. No plano regulatório, falhas recorrentes podem atrair supervisão mais intensa e restringir a atuação da empresa no mercado.
Responsabilização de administradores
As consequências também podem recair sobre pessoas físicas. Administradores e responsáveis pelo compliance podem ser individualmente responsabilizados por falhas nos controles, o que reforça a importância de estruturar programas sólidos e de manter registros que demonstrem a diligência da organização.
Cumprir as obrigações com o COAF não é apenas evitar multas, é proteger a continuidade e a reputação do negócio. Um programa de PLD-FT bem estruturado é, antes de tudo, um instrumento de gestão de risco.
Como a tecnologia apoia o compliance com o COAF?
Cumprir as obrigações com o COAF em escala, verificando cada cliente, monitorando cada transação e analisando cada sinal de alerta, é praticamente inviável de forma manual. É aqui que a tecnologia deixa de ser um diferencial e passa a ser uma necessidade operacional.
As plataformas especializadas em gestão de riscos e compliance apoiam diretamente o cumprimento das obrigações de PLD-FT em várias frentes:
- Automação de KYC e validação de identidade: verificação de documentos, biometria facial e prova de vida (liveness) para confirmar quem é o cliente já no onboarding.
- Monitoramento de transações em tempo real: acompanhamento contínuo das movimentações para sinalizar comportamentos atípicos assim que ocorrem.
- Consulta a listas restritivas, PEP e sanções: verificação automática contra listas nacionais e internacionais, incluindo Pessoas Expostas Politicamente.
- APIs de verificação e due diligence: enriquecimento e cruzamento de dados a partir de CNPJs e CPFs em múltiplas fontes, com geração de score de risco.
- Apoio à identificação de operações suspeitas: regras e inteligência artificial que ajudam a priorizar os casos que realmente exigem análise humana e eventual comunicação ao COAF.
Ao automatizar essas etapas, a empresa reduz o esforço manual, diminui a chance de falhas e ganha a capacidade de documentar sua diligência, o que é essencial tanto para prevenir irregularidades quanto para demonstrar conformidade diante de eventuais questionamentos.
Como estruturar o compliance de PLD-FT na sua empresa?
Se a sua organização está entre os setores obrigados, ou quer se antecipar às exigências, um programa de PLD-FT sólido pode ser estruturado em etapas:
- Mapeie suas obrigações: verifique, com base no artigo 9º da Lei nº 9.613/1998 e nas normas do seu regulador, se e como sua empresa está sujeita às obrigações com o COAF.
- Faça o cadastro no Siscoaf: habilite sua organização no sistema para estar apta a enviar comunicações e declarações.
- Implemente um KYC robusto: estabeleça processos de identificação e verificação de clientes, com validação de identidade e avaliação de risco no onboarding.
- Defina sua matriz de risco: classifique clientes e parceiros por nível de risco e estabeleça controles proporcionais para cada faixa.
- Monitore transações continuamente: implante o acompanhamento das movimentações e regras para detecção de operações atípicas.
- Comunique quando devido: registre no Siscoaf as operações suspeitas e as comunicações automáticas dentro dos prazos, mantendo evidências da diligência.
- Automatize e documente: apoie todo o ciclo em tecnologia para ganhar escala, reduzir falhas e manter uma trilha de auditoria completa.
Automatize o compliance com o COAF e fortaleça seu programa de PLD-FT
Cumprir as obrigações de prevenção à lavagem de dinheiro e ao financiamento do terrorismo exige identificar clientes, consultar listas restritivas, monitorar riscos e manter processos de due diligence continuamente atualizados. Fazer tudo isso de forma manual aumenta custos, reduz a eficiência e eleva o risco de falhas de conformidade.
A Netrin é a plataforma líder em Third-Party Risk Management (TPRM) no Brasil e utiliza agentes de IA para automatizar todo o ciclo de gestão de riscos de terceiros, do onboarding ao monitoramento contínuo e ao offboarding.
Com a Netrin, sua empresa pode:
- Automatizar processos de KYC com validação de identidade por biometria facial, OCR e prova de vida;
- Consultar CPFs e CNPJs em mais de 1.000 fontes de dados, incluindo listas restritivas, Pessoas Politicamente Expostas (PEPs) e listas de sanções;
- Monitorar continuamente clientes, fornecedores e parceiros para identificar alterações cadastrais, eventos de risco e indícios que possam apoiar a detecção de operações suspeitas;
- Integrar as verificações aos seus sistemas por meio de mais de 500 integrações nativas, incluindo SAP e Salesforce.
Mais de 300 empresas, entre elas Heineken, BRF, JBS e Sicredi, utilizam a Netrin para automatizar processos de compliance, reduzir riscos e aumentar a eficiência operacional.
Fale com um especialista da Netrin e descubra como fortalecer seu programa de PLD-FT com automação e inteligência artificial.
Perguntas frequentes sobre o COAF
O que é o COAF?
O COAF (Conselho de Controle de Atividades Financeiras) é a unidade de inteligência financeira do Brasil. Trata-se do órgão federal responsável por receber, analisar e disseminar informações para a prevenção e o combate à lavagem de dinheiro e ao financiamento do terrorismo. Foi criado pela Lei nº 9.613/1998 e reestruturado pela Lei nº 13.974/2020, sendo vinculado administrativamente ao Banco Central do Brasil.
Qual a função do COAF?
A função do COAF é produzir inteligência financeira. Ele coleta e examina operações suspeitas comunicadas pelos setores obrigados, produz Relatórios de Inteligência Financeira (RIFs), supervisiona setores que não têm regulador próprio e aplica sanções administrativas. Depois de identificar indícios, encaminha os relatórios a autoridades como o Ministério Público, a Polícia Federal e a Receita Federal.
O COAF pode investigar ou bloquear contas?
Não. O COAF é um órgão administrativo e de inteligência, sem poder de investigação ou de polícia. Ele não investiga crimes, não bloqueia ou congela valores, não prende ninguém e não acessa extratos bancários de forma livre. A investigação cabe à Polícia Federal e ao Ministério Público, e o bloqueio de valores depende de decisão judicial. O papel do COAF é gerar inteligência e acionar quem tem competência para agir.
O que é o Siscoaf?
O Siscoaf (Sistema de Controle de Atividades Financeiras) é o portal eletrônico de acesso restrito por meio do qual os setores obrigados enviam suas comunicações ao COAF. É o canal oficial para registrar comunicações de operações suspeitas, comunicações automáticas e declarações negativas. Também funciona como um banco de dados de inteligência, armazenando as informações que alimentam as análises do órgão.
Quem é obrigado a reportar ao COAF?
São obrigadas a reportar as chamadas pessoas obrigadas definidas no artigo 9º da Lei nº 9.613/1998. Isso inclui instituições financeiras, corretoras e seguradoras, cartórios e imobiliárias, joalherias e comerciantes de artigos de luxo, empresas de transporte de valores, fintechs e instituições de pagamento e, mais recentemente, o setor de apostas (iGaming e bets). A lista é ampla e deve ser sempre verificada na fonte primária e nas normas do regulador de cada setor.
O que são operações financeiras suspeitas?
São movimentações que apresentam indícios de irregularidade. Os principais sinais de alerta incluem operações incompatíveis com o perfil do cliente, transações de valor elevado sem justificativa, fracionamento de valores (smurfing) para escapar de limites de comunicação e indícios de ocultação da origem dos recursos. Diante desses sinais, a pessoa obrigada tem o dever de comunicar a operação ao COAF, ainda que não haja certeza de crime.
Qual a relação entre COAF e lavagem de dinheiro?
O COAF é o órgão central do sistema brasileiro de prevenção à lavagem de dinheiro (PLD-FT). Ele recebe as comunicações de operações suspeitas, produz inteligência financeira e a repassa às autoridades responsáveis pela persecução penal. As obrigações das empresas dentro do PLD-FT — como o KYC e o monitoramento de transações — existem justamente para permitir a identificação e a comunicação de operações que possam estar ligadas à lavagem de dinheiro.
O que acontece se uma empresa não comunicar operações ao COAF?
O descumprimento das obrigações com o COAF sujeita a empresa a sanções administrativas previstas na Lei nº 9.613/1998, que vão da advertência à multa, além de inabilitação e, nos casos graves, cassação da autorização de funcionamento. Há ainda riscos reputacionais e regulatórios relevantes, e os administradores podem ser individualmente responsabilizados por falhas nos controles. Por isso, manter um programa de PLD-FT estruturado é essencial.

