Casos de uso > Compliance PLD/FT — Monitoramento de Origem Geográfica

Compliance PLD/FT

Sua corretora sabe de onde veio
o último login dos seus clientes?

A Circular BACEN 3.978/2020 exige monitoramento de canais digitais com abordagem baseada em risco. Identifique país de origem, sanções internacionais, VPN e TOR de cada acesso — com assinatura digital verificável como evidência auditável.

2.500+
instituições reguladas
pelo BACEN com PLD/FT
R$ 20 mi
multa máxima por infração
Lei 9.613/98, art. 12
200+
IPs inspecionadas pelo BC
agora, com foco em PLD/FT
O problema

O compliance não sabe se o login veio do Brasil ou da Rússia

Corretoras e bancos monitoram comportamento transacional, mas ignoram a origem geográfica digital de cada acesso. Um cliente acessando a plataforma via VPN a partir de um país em lista cinza do GAFI passa por todas as camadas de autenticação sem nenhum alerta — mesmo que a operação seja suspeita e o BACEN exija esse controle.

3.978
Circular BACEN que exige monitoramento de canais digitais e abordagem baseada em risco
Vigente desde 2020. Origem geográfica de acessos é variável de risco obrigatória
23 países
na lista cinza do GAFI (grey list) com jurisdições de alto risco para lavagem de dinheiro
Fonte: GAFI/FATF, 2025. Inclui Venezuela, Síria, Iêmen, Líbia, entre outros
R$ 4,9 bi
perdidos em golpes via PIX — muitos originados de acessos mascarados por VPN e TOR
Fonte: dados de mercado, 2024. Fraude digital com mascaramento de origem é vetor crescente
200+
Instituições de Pagamento sendo inspecionadas pelo BC agora, com foco explícito em PLD/FT — fintechs foram classificadas como "risco aumentado"
Fonte: BC/Decon (Gerson Romantini), Finsiders Brasil, mar. 2026. PSAVs (exchanges de cripto) são o próximo alvo anunciado
Quando isso acontece

Situações reais que o seu sistema não vê hoje

Sem monitoramento de origem geográfica digital, operações suspeitas passam invisíveis nas esteiras de compliance. Veja os cenários mais comuns:

Login da Coreia do Norte via TOR

Um acesso originado de Pyongyang, mascarado por nó de saída TOR, executa uma transferência. O cliente está em black list do GAFI — mas o sistema vê apenas o CPF e o token de autenticação válidos.

VPN em país sancionado pela OFAC

Cliente abre posição de investimento a partir de IP russo com sanções OFAC ativas. A operação é tecnicamente válida, mas viola obrigações de compliance com reguladores americanos que a corretora precisa reportar.

Datacenter fora do horário comercial

Acesso automatizado originado de datacenter, com IP de organização desconhecida, executa resgates às 3h da manhã no horário local do país de origem. Sinal claro de processo automatizado mascarando identidade real.

Paraíso fiscal não declarado

Cliente de alta renda realiza movimentações expressivas a partir de Ilhas Cayman — jurisdição classificada como paraíso fiscal pela Receita Federal (IN 1.037). O acesso não é bloqueado, mas deveria gerar alerta imediato.

O que a API retorna

Um JSON. Tudo que o compliance precisa saber sobre a origem do acesso.

Envie o IP do cliente no momento do login ou da transação. Receba país, nível de risco, status em sanções internacionais, flags de VPN/TOR/datacenter e assinatura digital Ed25519 — tudo em menos de 200ms.

GET /v1/identity/ipinfo
GET /v1/identity/report/{query_id}
GET /v1/identity/verify
Resposta — IP 185.220.101.42 (Rússia, nó TOR, sanções OFAC ativas) 
{
  "prismadata__ipinfo__input_type": "ip",
  "prismadata__ipinfo__input_ip": "185.220.101.42",
  "prismadata__ipinfo__country_code": "RU",
  "prismadata__ipinfo__country_name": "Russia",

  // — Classificação de risco —
  "prismadata__ipinfo__risk_level": "high",
  "prismadata__ipinfo__bacen_alert": true,

  // — Sanções internacionais —
  "prismadata__ipinfo__is_sanctioned": true,
  "prismadata__ipinfo__gafi_status": "not_listed",
  "prismadata__ipinfo__ofac_status": "targeted_sanctions",
  "prismadata__ipinfo__eu_status": "sanctions",
  "prismadata__ipinfo__is_tax_haven_rfb": false,

  // — Mascaramento de identidade —
  "prismadata__ipinfo__is_vpn": true,
  "prismadata__ipinfo__is_proxy": false,
  "prismadata__ipinfo__is_tor_exit_node": true,
  "prismadata__ipinfo__is_datacenter": true,
  "prismadata__ipinfo__asn_org": "F3 Netze e.V.",

  // — Contexto temporal —
  "prismadata__ipinfo__country_timezone": "Europe/Moscow",
  "prismadata__ipinfo__local_time": "2026-03-01T17:32:05+03:00",
  "prismadata__ipinfo__is_business_hours": false,
  "prismadata__ipinfo__query_time_ms": 7,

  // — Assinatura digital Ed25519 —
  "prismadata__ipinfo__query_id": "550e8400-e29b-41d4-a716-446655440000",
  "prismadata__ipinfo__signature_algorithm": "Ed25519",
  "prismadata__ipinfo__signature_value": "YWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXo...",
  "prismadata__ipinfo__signature_verify_url": "https://api.prismadata.io/v1/identity/ipinfo/verify"
}
Risco
risk_level + bacen_alert
Classificação direta: low / medium / high / very_high com flag BACEN
Sanções
GAFI + OFAC + UE + RFB
Quatro listas de sanções e paraísos fiscais em um único campo
Mascaramento
VPN + TOR + datacenter
O acesso tenta esconder sua origem real?
Evidência
signature_value Ed25519
JSON assinado = laudo auditável verificável por qualquer parte
Como funciona

Do login ao laudo auditável em menos de 200ms

Pipeline em memória — nenhum dado pessoal armazenado. O IP é processado, classificado e assinado digitalmente antes de retornar ao sistema do cliente.

Login / Transação IP capturado pelo sistema ?ip=185.220.101.42 Classificação País · Risco · Sanções VPN · TOR · Datacenter In-memory · <7ms Assinatura Digital Ed25519 sobre o JSON completo Laudo criptográfico Alerta Automático Bloqueio · Revisão risk_level: high bacen_alert: true Evidência BACEN JSON + PDF auditável api.prismadata.io/ v1/…/verify
Por que PrismaData

Geolocalização qualquer API entrega.
Nós entregamos compliance pronto.

Ferramentas tradicionais de GeoIP resolvem geolocalização. A PrismaData vai além: retorna inteligência regulatória — com sanções brasileiras e internacionais, assinatura digital e histórico auditável. Construída para o compliance brasileiro, não adaptada dele.

Sanções integradas

GAFI black/grey list, OFAC, UE e Receita Federal brasileira (IN 1.037) em um único retorno. O mercado de GeoIP não oferece nada equivalente à lista de paraísos fiscais da RFB integrada ao contexto regulatório brasileiro.

Assinatura digital Ed25519

Nenhuma solução de GeoIP do mercado transforma o JSON em laudo criptográfico verificável. A assinatura converte a resposta da API em evidência auditável — aceita pelo BACEN como prova de monitoramento.

Timezone real por coordenada

O Brasil tem 4 fusos. A Rússia tem 11. Timezone por capital de país é impreciso. A PrismaData retorna o horário local real do ponto — o Brasil tem 4 fusos, não um. Detecta operações fora do horário comercial com precisão real.

Laudo PDF auditável

Gere um laudo técnico em PDF com QR code de verificação para qualquer consulta histórica, buscável por query_id. Histórico retido por 5 anos, prontos para auditoria regulatória.

Governança

A evidência que o BACEN pode verificar independentemente

A assinatura digital Ed25519 da PrismaData transforma cada resposta de API em um documento criptograficamente verificável. Qualquer parte — a instituição, o BACEN, a Polícia Federal — pode verificar a autenticidade do laudo sem depender de um log interno.

Assinatura verificável

Endpoint público https://api.prismadata.io/v1/identity/ipinfo/verify permite que qualquer parte valide a assinatura do JSON — inclusive autoridades regulatórias sem precisar de acesso à plataforma da instituição.

Retenção de 5 anos

Todas as consultas são retidas por 5 anos, alinhado ao prazo de guarda de documentos previsto na Lei 9.613/98. Busca por query_id, período, país ou nível de risco.

Rotação de chaves

As chaves de assinatura são rotacionadas periodicamente. O campo signature_key_id identifica qual chave foi usada — a chave pública correspondente é sempre acessível para verificação histórica.

LGPD by design

Processamento em memória — nenhum dado pessoal é armazenado. O IP é tratado como variável técnica de rede, não como dado pessoal identificável. Zero CPF, zero nome, zero PII.

Resultado

Conformidade com a Circular 3.978 — sem multa, sem improviso.

< 200ms
tempo de resposta — o compliance acontece em tempo real, sem atrasar o fluxo do cliente
R$ 20 mi
multa máxima evitável por infração à Lei 9.613/98 — o custo da API é marginal frente ao risco regulatório
5 anos
de retenção auditável — cada consulta guardada como laudo criptograficamente assinado

Referências:
¹ BACEN, Circular 3.978/2020. Exige abordagem baseada em risco e monitoramento de canais digitais em PLD/FT.
² Lei 9.613/1998, art. 12. Multa de até R$ 20 milhões por infração às obrigações de prevenção à lavagem de dinheiro.
³ GAFI/FATF, Public Statement, fev. 2025. 3 países em black list, 23 em grey list.
⁴ Serasa Experian, Indicador de Tentativas de Fraude, 2024. 11,5 milhões de tentativas registradas no Brasil.
⁵ Dados de mercado. Estimativa de perdas com golpes via PIX em 2024: R$ 4,9 bilhões.
⁶ BC/Decon, Finsiders Brasil, mar. 2026. BC inspeciona todas as IPs do Brasil com foco em PLD/FT; fintechs classificadas como "risco aumentado".

Pronto para transformar cada acesso digital em evidência auditável?

Converse com a PrismaData. Podemos integrar o monitoramento de origem geográfica à sua esteira de compliance em um piloto com IPs reais.