KYC — Know Your Customer, "conheça seu cliente" — é o processo de identificação que toda instituição financeira regulada precisa fazer antes de abrir conta, processar saque ou liberar funcionalidades sensíveis. No Brasil, é exigência do Banco Central, do COAF e da CVM. Nenhuma exchange brasileira regulada — Mercado Bitcoin, Foxbit, Bitso, NovaDAX — opera sem isso, e as internacionais que servem o mercado brasileiro (Binance, Coinbase, Kraken) também aplicam.
Por que não é capricho da plataforma
O motor por trás é o regime de prevenção à lavagem de dinheiro. Sem identificar o cliente, a corretora não tem como sinalizar operação suspeita; sem sinalizar suspeita, ela vira parte da cadeia que o COAF e o Banco Central precisam policiar. As multas pesadas dos últimos anos — US$ 4,3 bilhões da Binance em 2023, US$ 504 milhões da OKX em 2025 — listam exatamente "controles de KYC e AML insuficientes" como motivação principal. Não é problema técnico; é falha estrutural que custou caro.
MiCA na União Europeia, FinCEN nos Estados Unidos, MAS em Singapura, SFC em Hong Kong, e aqui Banco Central + CVM com a Lei 14.478 de 2022 (Marco das Criptomoedas): todos os principais reguladores chegaram à mesma exigência. Não dá para construir negócio cripto duradouro fora desse quadro.
Os três níveis de KYC nas exchanges
O básico pede telefone, e-mail, nome completo e data de nascimento. Libera compra e venda em valores limitados. O intermediário pede documento (RG ou CNH) com selfie/prova de vida e endereço residencial. Abre as principais funcionalidades. O avançado pede comprovante de endereço dos últimos noventa dias (conta de luz, gás, telefone fixo ou extrato bancário) e, em alguns casos, comprovação de origem de fundos para liberar depósitos via Pix de alto valor e saques grandes. Aprovação varia de cinco minutos a 48 horas; rejeições costumam vir por foto borrada, prova de vida falhada ou endereço fora do prazo.
Para onde vai o que você envia
Plataformas regularizadas guardam os dados criptografados pelo prazo exigido pela lei local — no Brasil, dez anos para registros relacionados a AML; na União Europeia, mínimo de cinco anos. Acesso interno é controlado. A LGPD impõe limites adicionais. Vazamentos, contudo, já aconteceram — em 2019 a Binance teve incidente, em 2021 um leak da BitMart, em 2022 da Bitfinex. Esse é o custo silencioso do KYC: você entrega não só os cripto à custódia, mas também sua identidade.
O que ainda dispensa KYC: DEX, autocustódia, parte do DeFi. Mas qualquer ponto de contato com BRL fiat, com volume significativo ou com emissores de stablecoin regulados, exige passar pelo processo.