Qual a distância entre o crime organizado e a sua empresa?

R$ 52 bilhões. Esse é o volume movimentado pelo Primeiro Comando da Capital (PCC) no setor de combustíveis entre 2020 e 2024, segundo investigações do Ministério Público de São Paulo.

Não é dinheiro guardado em cofres clandestinos. É capital circulando em empresas com CNPJ, contratos, notas fiscais e, em muitos casos, relações comerciais com outras empresas que não fazem a menor ideia do que (ou quem) está do outro lado do negócio.

• Inscreva-se gratuitamente na InfoMoney Premium, a newsletter que cabe no seu tempo e faz diferença no seu dia

Esse número existia antes de maio de 2026. Mas foi em maio de 2026 que ele passou a ter uma nova perspectiva para o mundo corporativo.

O que mudou, sem juridiquês

No dia 28 de maio de 2026, o governo dos Estados Unidos designou o PCC e o Comando Vermelho como Foreign Terrorist Organizations (FTOs), ou seja, organizações terroristas estrangeiras.

Uma classificação criada originalmente para grupos como Al-Qaeda e Hezbollah que, pela primeira vez, foi aplicada a facções criminosas brasileiras.

O que isso significa na prática? Significa que qualquer empresa, brasileira ou estrangeira, que tenha nexo com o sistema financeiro americano e forneça recursos, serviços ou suporte, ainda que indireto, a essas organizações terroristas, passa a estar sujeita a investigações e sanções sob a lei americana. 

PCC e Comando Vermelho não são apenas grupos associados ao tráfico de drogas, armas ou violência urbana.

É justamente quando suas atividades alcançam a economia formal que o tema deixa de ser exclusivo da segurança pública e passa a ser assunto de Governança Corporativa, Gestão de Riscos e Compliance dentro de todas as empresas.

O fornecedor tem um CNPJ, mas o risco pode ter outra identidade 

Não estamos falando da hipótese caricatural de uma empresa assinar contrato diretamente com uma facção criminosa.

O risco mais difícil de enxergar é outro: uma organização contratar um terceiro, que contrata outro terceiro, que opera em uma região sensível, que utiliza uma estrutura financeira pouco transparente, que possui vínculos indiretos com agentes envolvidos nas atividades ilícitas do PCC ou do Comando Vermelho.

Pense em alguns setores nos quais essa realidade já está mais evidenciada:

• Logística e transporte são ambientes onde o crime organizado há muito tempo cobra pedágios informais, controla rotas e impõe fornecedores em determinadas regiões. Uma transportadora contratada pela sua empresa pode operar perfeitamente bem e ainda assim ter subcontratados que navegam nesse ambiente todos os dias pagando os pedágios.
• Combustíveis concentram um dos maiores volumes de ativos do PCC na economia formal. Postos, distribuidoras e frotas que abastecem operações industriais e agrícolas em várias regiões do país fazem parte desse ecossistema sem que os contratantes saibam.
• Fintechs e meios de pagamento estão em uma encruzilhada. Além do risco de servirem como canal para processar, movimentar ou integrar recursos de origem ilícita em meio a atividades lícitas, essas estruturas podem ser incorporadas a esquemas de lavagem de dinheiro destinados a ocultar beneficiários reais ou conferir aparência de legitimidade à origem dos recursos.  
• Serviços locais de terceirização em geral, como limpeza, segurança, manutenção, facilities, frequentemente operam em regiões onde a presença do crime organizado é parte do contexto. Contratar serviços nessas regiões sem entender quem, de fato, está por trás da operação é um risco que poucos gestores param para avaliar.

Para a empresa, o risco de conexão ou suporte a organizações terroristas tornou-se um risco difuso, espalhado e, muitas vezes, invisível a olho nu. Ele pode estar fora do contrato principal, fora do fornecedor de primeira camada, fora do relatório padrão de due diligence e, ainda assim, dentro da cadeia de valor.

Governança Corporativa: quem decide quando o risco aparece?

Quando uma empresa identifica uma possível exposição a terceiros, operações ou fluxos financeiros que possam ter conexão com facções criminosas, a questão rapidamente ultrapassa o campo operacional e se transforma em uma decisão de negócio.

Continuar ou encerrar uma relação comercial. Suspender pagamentos. Interromper uma operação crítica. Revisar uma cadeia de fornecimento. Redesenhar uma rota logística. Reavaliar um investimento.

Todas essas decisões envolvem impactos financeiros, contratuais, operacionais e reputacionais. E é justamente por isso que a governança corporativa assume papel relevante.

Governança, nesse contexto, não significa apenas discutir o tema em reuniões do Conselho de Administração. Significa definir quem deve ser informado, quais critérios orientarão a análise, quais áreas participarão da avaliação, quais são as alçadas decisórias e como todo esse processo será documentado.

Em cenários complexos, organizações maduras conseguem demonstrar quais informações possuíam, quais alternativas avaliaram e por quais motivos seguiram determinado caminho. 

Quando o tema envolve potenciais conexões com organizações terroristas, essa rastreabilidade deixa de ser uma boa prática e passa a ser um elemento essencial de proteção institucional.

Gestão de Riscos: o desafio dos riscos difusos

A gestão de riscos tradicional costuma funcionar bem quando o risco possui fronteiras claras. Uma máquina pode quebrar. Um sistema pode ficar indisponível. Uma norma pode ser descumprida.

Mas a exposição ao crime organizado segue uma lógica diferente.

Trata-se de um risco difuso, que atravessa contratos, terceirizações, subcontratações, geografias, fluxos financeiros e cadeias produtivas inteiras. Um risco que raramente aparece concentrado em um único evento ou processo.

Por isso, a pergunta “temos relação com PCC ou Comando Vermelho?” é simplista demais para a realidade corporativa.

As perguntas mais úteis são: onde nossa exposição é mais provável? Quais operações dependem de transporte em regiões sensíveis? Quais fornecedores utilizam extensas redes de subcontratação? Quais contratos envolvem intermediários locais? Quais áreas operam com grande circulação de dinheiro, logística complexa ou infraestrutura crítica?

A partir desse mapeamento, a gestão de riscos passa a construir cenários, definir indicadores, monitorar sinais de alerta e estabelecer critérios de priorização.

Nem todo fornecedor exige o mesmo nível de diligência. Nem toda operação demanda o mesmo grau de monitoramento.

Já aprendemos que o objetivo não é eliminar riscos. É compreender onde eles estão, quais impactos podem gerar e quais controles são proporcionais à exposição identificada. Afinal, quando tudo é tratado como prioridade máxima, nada realmente é prioridade.

Compliance: quando o screening deixa de ser suficiente

Se existe uma área diretamente impactada por essa mudança de cenário, é o compliance.

Durante muitos anos, boa parte das organizações estruturou seus processos de due diligence a partir de uma lógica relativamente simples: verificar listas restritivas, consultar bases públicas e avaliar a existência de sanções formais. Esse trabalho continua sendo importante. Mas ele não responde sozinho ao desafio atual.

O risco de conexão ou suporte a organizações terroristas pode surgir muito antes de qualquer nome aparecer em uma lista restritiva.

Por isso, programas de compliance maduros tendem a ampliar sua análise para além do screening tradicional: beneficiários finais, estruturas societárias complexas, mudanças abruptas de controle, vínculos indiretos, padrões incomuns de pagamento, utilização excessiva de intermediários e até a localização geográfica das operações.

Essas informações passam a ser elementos tão importantes quanto a consulta formal a listas de sanções. 

Tecnologia e ferramentas de diligência tornam-se cada vez mais necessárias, já que o monitoramento manual de todas essas bases seria humanamente inviável. Mas tão importante quanto é a capacidade de criar uma cultura capaz de reconhecer sinais de alerta e agir diante deles.

Isso inclui não apenas riscos relacionados a terceiros, mas também situações em que os próprios colaboradores possam ser alvo de extorsão, coerção ou tentativas de influência por organizações criminosas. 

O controle ajudará a identificar uma situação de alerta, mas são as pessoas que terão de levantar a mão e acionar o compliance para que a empresa decida o que fazer com o risco identificado. Inclusive porque ignorar sinais de alerta no que diz respeito a organizações terroristas estrangeiras não é tratado como inocência.

Fechar os olhos para o que é evidente pode, por si só, ser interpretado como uma escolha e é exatamente assim que autoridades americanas têm enquadrado esse tipo de situação. 

Sabemos quem são os beneficiários finais dos nossos fornecedores críticos? Nossa matriz de risco contempla o risco de facções criminosas? Temos protocolos para escalonamento e tomada de decisão para casos envolvendo crime organizado? 

A classificação do PCC e do Comando Vermelho como organizações terroristas pelos Estados Unidos colocou o tema na pauta dos riscos corporativos com probabilidade, impacto e responsáveis, como qualquer outro risco relevante do negócio.

Caberá às empresas, com o apoio das suas áreas de GRC, compreender seu nível de exposição, fortalecer suas diligências, atualizar suas matrizes de risco e registrar adequadamente as decisões tomadas. 

Para quem atua em GRC, o desafio é conhecer o negócio o suficiente para mapear onde esse risco se esconde. Para quem lidera o negócio, é ter ao lado uma área capaz de fazer isso. Em ambos os casos, o ponto de partida é o mesmo: reconhecer que esse risco provavelmente já está mais perto do que parece.