Beancount.io LogoBeancount.io

Conformidade com Sanções do OFAC para Pequenas Empresas: Triagem SDN, a Regra dos 50% e Autodenúncia Voluntária

17 min para lerMike ThriftMike Thrift
Conformidade com Sanções do OFAC para Pequenas Empresas: Triagem SDN, a Regra dos 50% e Autodenúncia Voluntária

Um fabricante de guitarras da Califórnia que vende instrumentos online pagou recentemente US41.591pararesolveracusac\co~esdaOFAC.Omaˊximoestatutaˊrioqueenfrentava?US 41.591 para resolver acusações da OFAC. O máximo estatutário que enfrentava? US 3.313.224 — aproximadamente oitenta vezes mais. A diferença resumiu-se a uma decisão: a empresa divulgou voluntariamente as violações antes que os reguladores as encontrassem.

Essa proporção é toda a história da aplicação de sanções em 2026. O Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro não está mais perseguindo apenas bancos de Wall Street. Investidores imobiliários, startups de fintech, vendedores de comércio eletrônico, importadores de instrumentos musicais e provedores de carteiras cripto figuraram na lista de fiscalização nos últimos dezoito meses. A penalidade civil máxima sob a Lei de Poderes Econômicos de Emergência Internacional (IEEPA) agora é de US$ 377.700 por violação — ou o dobro do valor da transação, o que for maior — e a OFAC aplica responsabilidade objetiva, o que significa que a intenção não é necessária.

Se o seu negócio possui clientes, fornecedores ou contrapartes de pagamento fora dos Estados Unidos — ou até mesmo dentro deles — você já está exposto. Veja como é um programa eficaz da OFAC para uma empresa que não possui um departamento de conformidade dedicado.

Por Que as Pequenas Empresas Estão Repentinamente no Radar da OFAC

Durante a maior parte da história da OFAC, a fiscalização concentrou-se em bancos. Isso mudou nos últimos cinco anos. A agência declarou abertamente que a fiscalização irá "afastar-se do setor bancário tradicional em direção a novos setores de alto risco, como fintech e criptomoedas", e as ações recentes confirmam isso:

  • Exodus Movement (carteira cripto): mais de 254 violações aparentes dos Regulamentos de Transações e Sanções do Irã, incluindo 12 flagrantes e não divulgadas voluntariamente
  • Poloniex: acordo de US$ 7,6 milhões
  • Payoneer: acordo de US$ 1,5 milhão
  • BitPay: acordo de US$ 507.375
  • Kraken: acordo de US$ 362.158
  • Um único investidor imobiliário: penalidade civil de US$ 4,7 milhões
  • 2026 até o momento, em apenas três ações de fiscalização publicadas: US$ 6.607.661

O padrão é claro. Qualquer empresa que lide com dinheiro, bens ou serviços além das fronteiras — ou até mesmo hospede um site pelo qual uma pessoa sancionada possa pagar — precisa de um programa de sanções. Isso inclui lojas Shopify, empresas SaaS que faturam para clientes internacionalmente, marketplaces de freelancers, processadores de pagamento, exchanges de criptomoedas, imobiliárias que recebem aluguel de proprietários estrangeiros e empresas de contabilidade que integram clientes que possuem ativos offshore.

O Que a OFAC Realmente Restringe

A OFAC administra mais de trinta programas de sanções distintos. Eles se dividem em duas categorias amplas.

Embargos Abrangentes (Proibições Totais a Países)

A partir de 2026, quatro países enfrentam proibições quase totais de comércio, transações financeiras e serviços com pessoas dos EUA:

  • Cuba
  • Irã
  • Coreia do Norte (DPRK)
  • Síria

As regiões ucranianas ocupadas da Crimeia, Donetsk e Luhansk também estão sob sanções abrangentes. Fazer negócios nessas jurisdições ou com elas exige uma licença específica da OFAC — caso contrário, você estará violando a lei.

Sanções Direcionadas e Setoriais

A Rússia é o país que sofre mais sanções no mundo hoje, mas não está sob um embargo abrangente. Em vez disso, a OFAC aplicou proibições direcionadas em camadas nos setores de energia, financeiro, de defesa e de tecnologia, além de milhares de designações de indivíduos e entidades. Venezuela, Bielorrússia e Mianmar também possuem regimes direcionados significativos.

Além dos programas por país, a OFAC mantém sanções baseadas em listas direcionadas a traficantes de narcóticos, terroristas, abusadores de direitos humanos, agentes cibernéticos e funcionários estrangeiros corruptos, independentemente da nacionalidade.

As Listas de Sanções que Você Realmente Precisa Consultar

Dizer "nós verificamos a lista SDN" é o atalho de conformidade mais comum — e a falha de conformidade mais comum. A OFAC publica várias listas, e pular uma delas é como as penalidades se acumulam.

ListaO que ela cobreQuando você deve bloquear
Lista de Nacionais Especialmente Designados (SDN)Indivíduos, entidades, embarcações e aeronaves. As propriedades dos SDNs devem ser bloqueadas.Sempre
Lista Consolidada de SançõesUm arquivo mestre que agrega todas as listas não-SDNSempre
Lista de Identificações de Sanções Setoriais (SSI)Alvos dos setores russos de energia, financeiro e defesaDepende da diretriz
Lista de Evasores de Sanções Estrangeiras (FSE)Pessoas que ajudam a evadir sanções dos EUASempre
Lista de Sanções Baseadas em Menu Não-SDN (NS-MBS)Medidas direcionadas, muitas vezes sob a CAATSADe acordo com o item de menu aplicado
Lista do Conselho Legislativo Palestino (NS-PLC)Membros do PLC que participaram de eleiçõesSempre para bloqueio

Você pode pesquisar tudo isso gratuitamente na ferramenta OFAC Sanctions List Search (sanctionssearch.ofac.treasury.gov), mas a ferramenta gratuita foi projetada para consultas pontuais, não para triagem em massa. Ambientes de produção usam provedores de triagem comercial, APIs automatizadas ou ferramentas internas que processam os arquivos diários de alterações publicados pela OFAC.

A Regra dos 50%: Por Que a Correspondência de Nomes Não é Suficiente

Aqui está a regra que pega quase todas as empresas de surpresa:

Qualquer entidade detida em 50% ou mais — direta, indiretamente ou de forma agregada — por uma ou mais pessoas bloqueadas é, por si só, bloqueada, mesmo que não conste em nenhuma lista da OFAC.

Duas implicações são fundamentais:

  1. A agregação entre SDNs conta. Se a SDN A detém 30% de uma holding nas Cayman e a SDN B detém 25%, essa holding está bloqueada — embora nenhum dos proprietários atinja 50% individualmente.
  2. A propriedade indireta conta. O interesse de 60% de uma pessoa-alvo em uma controladora que detém 60% de uma subsidiária torna a subsidiária bloqueada, embora a matemática da cadeia direta (60% × 60% = 36%) sugira o contrário. A OFAC trata a controladora como totalmente bloqueada, o que significa que sua propriedade total da subsidiária é repassada.

Esta regra é a razão pela qual a triagem puramente por nome falha. Um fornecedor chamado "Atlas Logistics LLC" não aparecerá na Lista SDN. Mas se os seus beneficiários finais forem oligarcas russos sancionados que detêm 51% de forma agregada através de três camadas de empresas de fachada, você estará prestes a violar a lei de sanções dos EUA ao pagar a fatura deles.

Respostas práticas para pequenas empresas:

  • Exigir a divulgação dos beneficiários finais (beneficial ownership) de fornecedores e clientes de alto valor, idealmente vinculada a uma certificação UBO (Beneficiário Final)
  • Utilizar um provedor de triagem que resolva relações de propriedade, não apenas nomes
  • Para contrapartes em jurisdições de alto risco (Ilhas Virgens Britânicas, Cayman, Emirados Árabes Unidos, Chipre, Hong Kong, Rússia, estruturas transfronteiriças China-Hong Kong), solicitar extratos de registros corporativos até ao nível da pessoa física
  • Realizar nova triagem periodicamente, não apenas na integração (onboarding) — a OFAC adiciona novos SDNs todas as semanas

Os Cinco Pilares da OFAC: Como Deve Ser um Programa de Conformidade

O Tesouro publicou o seu Framework for OFAC Compliance Commitments para detalhar o que um programa de conformidade de sanções (SCP) "eficaz" contém. Existem cinco componentes, e a OFAC avalia explicitamente cada um deles ao calcular penalidades.

1. Comprometimento da Gestão

A liderança sênior deve aprovar e prover recursos para o programa. Para uma pequena empresa, isso significa que o fundador, CEO ou CFO assina a política por escrito, nomeia um responsável pela conformidade e analisa a eficácia do programa pelo menos anualmente. Uma aprovação simbólica não é suficiente; a OFAC espera evidências de que os líderes se envolveram.

2. Avaliação de Risco

Documente os riscos específicos da OFAC que o seu negócio enfrenta. Uma empresa SaaS que vende globalmente tem exposições diferentes de uma imobiliária nacional ou de um processador de pagamentos transfronteiriços. A avaliação deve abranger:

  • Base de clientes — geografia, setores, padrões de beneficiários finais
  • Produtos e serviços — qualquer coisa roteada de forma transfronteiriça ou denominada em moedas que não sejam USD
  • Canais de distribuição — diretos, marketplaces, revendedores terceirizados, afiliados
  • Presença geográfica — jurisdições onde clientes, fornecedores, funcionários ou contrapartes operam
  • Parceiros e intermediários — agentes, corretores, processadores de pagamentos

Atualize a avaliação quando o seu modelo de negócio mudar — um novo mercado, um novo canal de pagamento, um novo canal de aquisição.

3. Controles Internos

É aqui que o programa se torna operacional. Os controles internos incluem:

  • Políticas e procedimentos por escrito
  • Um fluxo de trabalho de triagem documentado (quando triar, quais listas, quais limites, quem revisa as correspondências)
  • Caminhos de escalonamento claros quando surge uma correspondência potencial
  • Manutenção de registros — a OFAC exige cinco anos de registros de transações e triagem para transações bloqueadas ou rejeitadas
  • Um mecanismo de bloqueio — contas bancárias que podem reter fundos, sistemas de pedidos que podem congelar o atendimento
  • Fluxos de trabalho de relatórios para o preenchimento dos relatórios obrigatórios (relatórios anuais de bens bloqueados até 30 de setembro, relatórios iniciais de transações bloqueadas ou rejeitadas em até dez dias úteis)

4. Testes e Auditoria

Testes independentes verificam se o programa realmente funciona. Para uma pequena empresa, isso pode ser um autoteste trimestral (executar nomes fictícios de SDNs através da sua ferramenta de triagem) além de uma revisão externa anual. As descobertas devem ser documentadas e remediadas.

5. Treinamento

Todos os funcionários cujas funções toquem o risco de sanções devem ser treinados — equipes de vendas, integração de clientes, finanças, contas a pagar/receber, gestão de fornecedores e equipes de engenharia que constroem a lógica de triagem. A OFAC espera treinamento no mínimo anualmente, além de treinamento específico por função quando um novo programa é lançado ou um novo programa de sanções entra em vigor.

Quando Você Encontra uma Correspondência: A Decisão de Bloquear ou Rejeitar

Descobrir uma correspondência aparente durante a triagem desencadeia um conjunto rigoroso de obrigações.

Passo 1: Confirmar a correspondência. Falsos positivos são rotineiros — "John Smith" e "Vladimir Petrov" geram muitos resultados. Utilize a data de nascimento, endereço, número do passaporte, local de trabalho e quaisquer outros dados identificadores que a OFAC publique.

Passo 2: Se confirmado, decidir se deve bloquear ou rejeitar.

  • Bloquear quando o alvo aparece na Lista SDN ou é detido em 50% ou mais por um SDN — você deve congelar os bens/fundos em uma conta segregada que renda juros e reportar em até dez dias úteis
  • Rejeitar quando a transação é proibida, mas nenhum bem de um SDN está envolvido (por exemplo, uma transação não licenciada com o Irã que ainda não enviou dinheiro) — você se recusa a processar e reporta em até dez dias úteis

Passo 3: Enviar os relatórios. Os relatórios iniciais de transações bloqueadas ou rejeitadas vão para a OFAC através do portal OFAC Reporting and License Application Forms. Os relatórios anuais de bens bloqueados devem ser entregues até 30 de setembro de cada ano. Deixar de reportar é, por si só, uma violação separada.

Passo 4: Solicitar uma licença, se necessário. Muitas transações que, de outra forma, seriam proibidas podem ser autorizadas sob uma licença específica ou geral — bens humanitários, certas remessas pessoais, exportações agrícolas e médicas, jornalismo, serviços de comunicação por internet.

A Decisão de Autodenúncia Voluntária

Quando você descobre que uma violação já ocorreu — um pagamento liquidado para uma contraparte sancionada antes que a triagem o detectasse, uma remessa enviada para uma jurisdição bloqueada, um cliente de propriedade de um SDN integrado por engano — você enfrenta a decisão mais consequente na conformidade (compliance) com a OFAC.

Denunciar ou não?

O que a Autodenúncia Voluntária (VSD) Proporciona

De acordo com as Diretrizes de Execução de Sanções Econômicas da OFAC (31 CFR Parte 501, Apêndice A), uma VSD qualificada:

  • Reduz o cálculo da penalidade base em 50 por cento tanto em casos graves quanto não graves.
  • Em casos não graves, limita o valor base a metade do valor da transação, com um teto de $188.850 por violação.
  • Conta como um importante fator atenuante na determinação geral da penalidade da OFAC.

Combinada com outros fatores atenuantes — programa de conformidade robusto, medidas corretivas, cooperação — o acordo final pode ficar uma ordem de magnitude abaixo do máximo legal. O caso do Córdoba Music Group (máximo legal de $3,3 milhões, acordo de $41.591) é ilustrativo.

O que "Voluntária" Realmente Significa

Uma denúncia só é "voluntária" se for iniciada pelo próprio e feita antes que a OFAC ou outra agência federal, estadual ou local descubra a suposta violação ou uma "substancialmente similar". Se o banco de uma contraparte já tiver apresentado um SAR (Relatório de Atividade Suspeita) que mencione sua transação, sua denúncia pode não ser qualificada. Se um concorrente ou denunciante já tiver reportado você, ela não será qualificada.

É por isso que a rapidez é fundamental. No momento em que você suspeitar de uma violação, o tempo começa a correr.

O Novo Portal VSD de 2026

Em fevereiro de 2026, a OFAC lançou um Portal de Autodenúncia Voluntária online em disclosure.ofac.treasury.gov. Ele substitui o emaranhado de envios por e-mail e fax que dominou por décadas. O portal oferece um canal mais seguro, campos estruturados e confirmação de recebimento — mas as regras substantivas não mudaram:

  • Uma notificação inicial descreve o que aconteceu de forma resumida.
  • Um relatório de acompanhamento detalhado deve ser entregue em até 180 dias, abrangendo a causa raiz, o escopo, a remediação e o pessoal envolvido.

As empresas ainda precisam envolver assessoria jurídica antes do envio inicial. O portal não altera os riscos legais; apenas muda a forma de envio.

Cálculo da Penalidade: A Que Você Está Realmente Exposto

Sob a IEEPA (o estatuto que rege a maioria dos programas de sanções modernos), as penalidades civis por violação para 2026 são:

  • Máximo legal: $377.700 (ajustado anualmente pela inflação)
  • Ou o dobro do valor da transação, o que for maior

Cada transação pode ser uma violação separada. Um único cliente que faz quarenta pedidos ao longo de dois anos representa quarenta violações.

O cálculo da penalidade da OFAC flui através de três etapas:

  1. Valor base — depende se o caso é grave, se a VSD foi aplicada e o valor da transação (cronograma legal).
  2. Ajustes — para fatores agravantes (intenção, consciência, dano aos objetivos do programa de sanções, parte sofisticada, falta de programa de conformidade) e fatores atenuantes (cooperação, ação corretiva, primeira violação, pequeno porte, condição financeira).
  3. Penalidade final proposta — emitida em um Aviso de Pré-Penalidade, que o sujeito pode contestar.

Penalidades criminais se acumulam para violações intencionais: até $1 milhão por violação e até vinte anos de prisão para indivíduos.

Um Checklist Prático de Conformidade para Pequenas Empresas

Use isto como um ponto de partida. Não substitui o aconselhamento jurídico, mas cobre o que a agência tem apontado repetidamente em descobertas de execução publicadas.

Fundação

  • Política de conformidade de sanções por escrito, assinada pela liderança sênior.
  • Responsável pela conformidade nomeado (pode ser um fundador ou CFO; não deixe a função sem atribuição).
  • Avaliação de risco documentada, atualizada quando o negócio muda materialmente.
  • Inventário de todas as jurisdições e pessoas sancionadas relevantes para o seu negócio.

Triagem (Screening)

  • Todos os clientes, fornecedores, beneficiários e contrapartes triados na integração (onboarding).
  • Retriagem diária ou semanal contra listas SDN/Consolidadas/SSI atualizadas.
  • Divulgação do beneficiário final (beneficial ownership) exigida para contrapartes de alto risco.
  • Procedimento documentado para avaliar possíveis correspondências (falsos positivos vs. positivos verdadeiros).
  • Geolocalização/filtragem de IP para jurisdições embargadas conhecidas em plataformas web.

Transações

  • Fluxograma de decisão de bloquear ou rejeitar, com autoridade clara para interromper o atendimento.
  • Conta segregada com rendimento de juros pronta para quaisquer fundos bloqueados.
  • Fluxo de trabalho de solicitação de licença da OFAC para transações que possam se qualificar.

Manutenção de Registros e Relatórios

  • Retenção de cinco anos de registros de triagem e registros de transações.
  • Relatórios iniciais de transações bloqueadas/rejeitadas apresentados em até dez dias úteis.
  • Relatórios anuais de bens bloqueados apresentados até 30 de setembro.
  • Trilha de auditoria para cada ocorrência (hit) de triagem e disposição.

Testes e Treinamento

  • Autotestes trimestrais (dados fictícios processados pela ferramenta de triagem).
  • Revisão independente anual (consultoria jurídica externa ou consultor de conformidade).
  • Treinamento anual para todos os funcionários relevantes, com presença documentada.

Resposta a Incidentes

  • Assessoria jurídica externa pré-identificada e familiarizada com assuntos da OFAC.
  • Protocolo documentado de decisão de VSD — quem toma a decisão, quais evidências a desencadeiam, quem redige o envio.

Erros Comuns Que Ativam a Fiscalização

Padrões de penalidades da OFAC publicadas quase sempre incluem um ou mais destes:

  1. "Apenas consultamos a Lista SDN." A ausência das listas Consolidada, SSI, FSE ou NS-MBS é uma constatação frequente.
  2. Monitoramento estático. Verificações apenas no momento da integração (onboarding) falham porque as listas SDN mudam semanalmente. Um cliente verificado como "limpo" em janeiro pode ser designado em junho.
  3. Ignorar o beneficiário final (beneficial ownership). O nome de uma contraparte aparece como limpo, enquanto o proprietário de 60%, situado duas camadas acima, está sancionado.
  4. Falhas de geofencing (geobloqueio). Uma plataforma web bloqueia IPs do Irã, mas permite que o tráfego de VPN flua sem contestação; a OFAC citou isso em casos de fintechs.
  5. Ausência de procedimentos documentados para possíveis correspondências. Funcionários que lidam diretamente com o cliente tomando decisões de julgamento ad hoc sem orientação para escalonamento.
  6. Falha ao enviar os relatórios obrigatórios. Mesmo quando a transação subjacente foi bloqueada corretamente, não enviar o relatório de dez dias ou a declaração anual de 30 de setembro é, por si só, uma violação.
  7. Treinamento inadequado. Equipes de vendas prometendo serviços a jurisdições sob embargo porque nunca receberam treinamento sobre a OFAC.
  8. Divulgação lenta. Reter uma violação descoberta enquanto outra agência a revela de forma independente — perdendo a elegibilidade para a VSD (Autodenúncia Voluntária) e a redução de 50% na penalidade.

Mantenha Seus Registros Financeiros Prontos para a OFAC

A conformidade com sanções depende inteiramente da documentação. Cada transação bloqueada, cada pagamento rejeitado, cada decisão de triagem, cada solicitação de licença — a OFAC pode solicitar qualquer um desses itens durante uma janela de auditoria de cinco anos. Um sistema de escrituração contábil que oculta discretamente essas entradas atrás de uma interface de "caixa-preta" irá atrasar sua resposta a uma intimação judicial.

Beancount.io adota a abordagem oposta: contabilidade em texto simples (plain-text accounting) onde cada entrada é uma linha legível, cada alteração possui controle de versão e cada conta pode ser marcada com etiquetas (tags) para o tipo de atividade transfronteiriça que atrai a atenção da OFAC. Quando seu auditor — ou seu consultor jurídico externo preparando uma autodenúncia voluntária — solicitar o histórico completo de pagamentos a uma contraparte específica, você poderá gerá-lo em minutos, não em dias. Comece gratuitamente e traga para suas finanças a mesma transparência que a OFAC espera do seu programa de conformidade.