O problema e sua dimensão
Há uma tendência recorrente no debate jurídico brasileiro — e o campo do compliance criminal não escapa dela — de tratar as transformações normativas externas como fenômeno de importação voluntária, como se a adequação a padrões internacionais fosse uma escolha, um diferencial competitivo, um ornamento de boas práticas.
Essa leitura, confortável em seu voluntarismo, deixa de enxergar o que já é, há algum tempo, uma imposição estrutural: o ambiente regulatório global projeta sobre as empresas brasileiras exigências que não decorrem de adesão livre, mas de uma lógica de pertencimento a cadeias econômicas que têm suas próprias regras de acesso.
A Diretiva UE 2024/1640 e o Regulamento UE 2024/1620, publicados em junho de 2024, redefinem os mecanismos europeus de prevenção ao branqueamento de capitais e ao financiamento do terrorismo e instituem a Autoridade para o Combate ao Branqueamento de Capitais e ao Financiamento do Terrorismo — a AMLA —, dotada de poderes de coordenação, requisição, inspeção e supervisão direta de entidades selecionadas em todo o espaço regulatório europeu. Trata-se, em termos funcionais, da construção de uma inteligência financeira continental com capacidade operacional sem precedente na história da integração europeia.
Simultaneamente, em março de 2024, o Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos Estados Unidos (Ofac) designou Diego Macedo Gonçalves do Carmo, membro do Primeiro Comando da Capital, como sujeito a sanções antidrogas sob o Decreto Executivo 14.059.
A decisão norte-americana, que segue a designação do próprio PCC realizada em dezembro de 2021, aponta para algo que ultrapassa a dimensão policial do caso: um integrante de organização criminosa brasileira, condenado pelo Tribunal de Justiça de São Paulo a quase oito anos de prisão por tráfico de drogas e responsabilizado pela lavagem de R$ 1,2 bilhão — equivalente a US$ 240 milhões —, tornou-se objeto de sanção financeira internacional com efeitos sobre qualquer entidade, em qualquer jurisdição, que mantenha relações com seus bens ou interesses.
Os dois movimentos — o europeu e o norte-americano — não são episódios isolados. São expressões de uma mesma tendência: a internacionalização do enforcement e a consequente extraterritorialidade prática do compliance. E é nesse contexto que o acordo comercial entre o Mercosul e a União Europeia adquire uma dimensão frequentemente subestimada no debate empresarial e jurídico brasileiro.
O acordo Mercosul-UE como vetor de exigência regulatória
O acordo Mercosul-UE facilita o acesso ao mercado europeu. Reduz barreiras tarifárias, amplia fluxos comerciais, cria oportunidades para empresas brasileiras que nunca antes tiveram presença relevante no bloco. Essa é a narrativa dominante, e ela não está errada. Mas é incompleta.
O que raramente se explicita com a devida clareza é que o acesso facilitado ao mercado europeu não é desacompanhado de condições. E as condições mais exigentes não estão nos capítulos tarifários do acordo — estão nos requisitos regulatórios que as contrapartes europeias, por força de suas próprias obrigações legais, projetarão sobre as empresas brasileiras com quem desejem negociar.
Sob o regime da nova Diretiva, entidades obrigadas — bancos, gestoras, seguradoras, escritórios de advocacia e contabilidade, operadores de criptoativos, entre outros — precisarão exercer due diligence reforçada sobre suas contrapartes internacionais. Isso significa, na prática, que uma empresa brasileira exportadora que mantenha conta de recebimento em banco europeu ou celebre contrato com cliente do bloco será instada a apresentar organograma societário, identificação de beneficiários efetivos, comprovação da origem dos recursos e demonstração da racionalidade econômica da operação. A insuficiência ou inconsistência dessas informações pode justificar atraso ou recusa de pagamento, encerramento da relação negocial ou comunicação à autoridade competente.
O ponto central é este: estruturas societárias perfeitamente lícitas sob o direito brasileiro podem ser questionadas e exigir justificação adicional perante o padrão europeu de transparência. O que não é ilegal não é necessariamente aceitável. E o que não é aceitável, nesse novo ambiente, pode ser simplesmente excluído das cadeias de valor europeias — sem qualquer processo judicial, sem qualquer condenação, por puro efeito regulatório.
A sanção norte-americana e o que ela revela sobre a porosidade do sistema
A decisão do Ofac a respeito de Gonçalves do Carmo ilumina, de modo particularmente didático, uma dimensão do problema que o debate brasileiro sobre compliance tende a minimizar: a capacidade de organizações criminosas de operar dentro do sistema financeiro formal e de fazê-lo de maneira suficientemente sofisticada para que a detecção exija cooperação internacional de alto nível.
O comunicado do Departamento do Tesouro norte-americano é explícito: Gonçalves continuou ativo nos assuntos do PCC mesmo de dentro da prisão, enviando instruções e operando como agente-chave da lavagem de recursos da organização. O subsecretário Brian Nelson afirmou que o PCC, com sua extensa rede em toda a América Latina e presença global em expansão, representa uma das organizações de tráfico de drogas mais importantes e preocupantes da região.
O que essa constatação revela para o debate sobre compliance no Brasil? Revela, acima de tudo, que a porosidade do sistema financeiro nacional não é apenas um problema de segurança pública — é um problema de reputação regulatória com consequências comerciais diretas.
Uma empresa brasileira que, sem saber, mantenha relação negocial com entidade ou pessoa física vinculada a organização sancionada pelo Ofac pode ver seus ativos bloqueados nos Estados Unidos, sem prévia comunicação, sem processo contraditório, por força da designação na Lista SDN. E o desconhecimento da sanção não é, sob o regime norte-americano, excludente de responsabilidade civil.
Esse risco deixou de ser abstrato. O PCC opera, segundo a avaliação das autoridades norte-americanas, em toda a América do Sul, com alcance até os Estados Unidos, a Europa, a África e a Ásia. A pergunta que qualquer programa sério de compliance deveria fazer — e que muitas empresas brasileiras ainda não fazem — é: como garantir que nenhum de nossos clientes, fornecedores, parceiros ou beneficiários efetivos figure em alguma dessas listas ou mantenha vínculo com organizações que as integram?
O que precisa mudar: da retórica do compliance à sua efetividade estrutural
Há uma distinção que o debate jurídico brasileiro precisa incorporar com mais rigor: a diferença entre ter um programa de compliance e ter um programa de compliance efetivo. A proliferação de políticas escritas, códigos de conduta e comitês de ética nas últimas décadas não produziu, automaticamente, uma cultura de integridade capaz de responder às exigências do novo ambiente regulatório global.
O que o cenário aqui descrito exige, concretamente, é o seguinte: mapeamento sistemático das operações com conexão à União Europeia ou aos Estados Unidos; revisão das políticas de KYC e KYB para incorporar triagem em listas de sanções internacionais — Ofac, ONU, UE — como etapa obrigatória do onboarding e do monitoramento contínuo; estruturação de registros de beneficiários efetivos com nível de detalhe compatível com as exigências da AMLA; avaliação de risco de contrapartes que contemple não apenas o histórico jurídico-formal, mas a estrutura societária e a exposição a setores sensíveis; e investimento em treinamento, auditoria e assessoria especializada com familiaridade real com o direito comparado.
Não se trata, vale sublinhar, apenas de evitar sanções. Trata-se de preservar a capacidade de participar de mercados que, progressivamente, tornam-se inacessíveis a quem não demonstre, de forma documentada, que seus processos internos respondem às exigências do regime internacional de prevenção à lavagem de dinheiro e ao financiamento do terrorismo.
Palavras importam — e também omissões regulatórias
Há uma frase, já tornada quase provérbio no campo do processo penal brasileiro, que se aplica com igual força ao campo do compliance: palavras importam. A forma como se nomeia um risco, a linguagem que se adota para descrever uma obrigação, o grau de precisão com que se define uma responsabilidade — tudo isso tem consequências práticas que o tecnicismo formal frequentemente obscurece.
O mesmo vale para as omissões. Uma empresa que não revisa suas políticas de compliance à luz das novas normas europeias e das designações norte-americanas não está simplesmente despreparada — está exposta a riscos que, nesse novo ambiente regulatório, têm consequências jurídicas, financeiras e reputacionais severas e de difícil reversão.
O acordo Mercosul-União Europeia abre portas. Mas as portas abertas por acordos comerciais não dispensam quem nelas entra de atender às regras da casa. E as regras da casa europeia — reforçadas pela inteligência financeira da AMLA e articuladas com o enforcement norte-americano materializado nas sanções do Ofac — são, a partir de agora, parte do custo real de fazer negócios no mundo.
A assessoria especializada nesse campo não é um luxo de grandes corporações. É um instrumento de sobrevivência regulatória para qualquer empresa brasileira que aspire a operar com segurança no ambiente econômico que se consolida.