Em um movimento que acende um alerta vermelho sobre o devido processo legal, provas cruciais usadas em investigações criminais, como os Relatórios de Inteligência Financeira (RIFs), estão sendo geradas por algoritmos opacos que transformam estimativas de risco em evidência de culpa. Essa cadeia automatizada de decisões, operada por bancos e pelo Conselho de Controle de Atividades Financeiras (COAF), produz documentos que embasam medidas gravosas, mas funciona como uma "caixa-preta" que impede a verificação externa e fragiliza o contraditório e a ampla defesa.
O COAF, Unidade de Inteligência Financeira do Brasil, é o centro nervoso do sistema de prevenção à lavagem de dinheiro. Seu papel é receber comunicações de operações suspeitas enviadas por instituições financeiras, processá-las e transformá-las em RIFs, que frequentemente servem de base para investigações criminais. Essas informações chegam por dois fluxos. No fluxo espontâneo, bancos comunicam transações atípicas, que entram no SISCOAF e passam por triagem automatizada. Um modelo preditivo baseado em Random Forest utiliza mais de 70 variáveis para estimar o risco de lavagem. Casos com probabilidade inferior a 30 por cento são descartados automaticamente; acima disso, seguem para análise humana e podem resultar em um RIF.
O segundo fluxo é o de requisição, quando autoridades públicas solicitam dados. O COAF, então, cruza as informações pedidas com uma base que já ultrapassa 57 milhões de comunicações.
É nesse ponto que reside a principal vulnerabilidade do sistema. Em ambos os fluxos, as comunicações chegam ao COAF já filtradas por sistemas de inteligência artificial utilizados pelos bancos, baseados em algoritmos proprietários. Essa dupla camada automatizada opera sem qualquer fiscalização independente.
Embora a IA seja eficiente e necessária para lidar com o volume de transações, seu uso massivo e não supervisionado — presente em cerca de 90 por cento das instituições financeiras, segundo a Feedzai — cria um ambiente de opacidade estrutural. Não se conhecem as variáveis, as taxas de erro ou os critérios de risco adotados pelos bancos, elementos essenciais para qualquer controle externo. A Lei 9.613 de 1998 exige o envio das comunicações suspeitas, mas não define padrões técnicos para essa filtragem inicial, etapa decisiva e invisível do processo.
As consequências jurídicas dessa opacidade ficaram evidentes no caso Frederick Wassef. O Tribunal Regional Federal da 1ª Região considerou um RIF ilegal por falta de clareza sobre a autoridade solicitante, a origem dos dados e os fundamentos técnicos do relatório — falhas que inviabilizam o contraditório. No habeas corpus nº 661.232 no Distrito Federal, o COAF reconheceu que "diversos procedimentos informacionais são automatizados", argumento que, na prática, dificulta a atribuição de responsabilidade a servidores e transforma a automação em proteção institucional.
O COAF sabe que a IA pode afetar a integridade das análises financeiras. Por isso, em 2025, editou a Portaria nº 4, proibindo o uso de plataformas externas de IA generativa em dados sigilosos. A medida reconhece o problema, mas não resolve seu núcleo: os dados já chegam ao órgão moldados por algoritmos privados que não são auditáveis e que escapam a qualquer controle público.
O Banco Central do Brasil também admite riscos estruturais no uso de IA no sistema financeiro, indicando a necessidade de diretrizes de governança. No cenário internacional, organismos como o Tesouro dos Estados Unidos e o G7 alertam para vulnerabilidades adicionais, como assimetrias entre instituições, falta de padronização regulatória e fragilidade das cadeias de dados. Esses riscos, embora nasçam no ambiente financeiro, repercutem diretamente no campo jurídico porque estruturam a produção dos RIFs e de outros insumos usados em investigações penais. Quando algoritmos privados classificam operações como suspeitas sem critérios verificáveis, essa filtragem inicial determina o que será analisado pelo COAF e, em muitos casos, o que será levado ao Ministério Público e ao Judiciário.
Sem mecanismos de controle sobre os modelos que filtram e organizam esses dados, decisões automatizadas passam a influenciar investigações e medidas cautelares sem garantia mínima de confiabilidade. O resultado é direto: vulnerabilidades técnicas concebidas para fins regulatórios acabam irradiando efeitos sobre a esfera penal e comprometendo a integridade do devido processo legal.
Enfim, ninguém ignora que, como órgão de inteligência, o COAF deve operar sob regime de sigilo. Mas é inegável que RIFs e outros produtos baseados em automação exigem nível mínimo de auditabilidade e não podem ser tratados como verdades absolutas. Devem ser ponto de partida, nunca ponto de chegada. A tecnologia deve apoiar a prevenção de ilícitos, mas não substituir o contraditório, a análise crítica e a verificação humana. Rastreabilidade e transparência nos sistemas de IA são indispensáveis para preservar a legitimidade do processo penal.
O Brasil precisa urgentemente de um marco regulatório que discipline o uso da IA no setor financeiro, definindo critérios auditáveis, mecanismos de controle institucional e responsabilidades claras. A tecnologia deve servir à verdade, não ser confundida com ela. Quando a máquina decide quem é suspeito, o risco é que a inteligência deixe de ser ferramenta e passe a ser poder — e poder sem controle é exatamente o que o processo penal existe para impedir.
Thúlio Guilherme S. Nogueira é advogado criminalista. Sócio-fundador da Drummond e Nogueira Advocacia - DNA Penal. Mestre em Direito Processual.
Os artigos e reportagens assinadas não refletem necessariamente a opinião da editora, sendo de responsabilidade exclusiva dos respectivos autores.