A publicação da Instrução Normativa (IN) RFB nº 2.291 representa um divisor de águas na história da regulação financeira brasileira. Não se trata de uma mera atualização burocrática da IN 1.888/2019; é uma reformulação estrutural completa da arquitetura de vigilância fiscal.
O contexto é a migração da riqueza para ambientes não custodiados (DeFi) e jurisdições estrangeiras. A RFB tenta instituir, assim, um regime de “visibilidade total”, alinhando o Brasil aos padrões internacionais do CARF (Crypto-Asset Reporting Framework) da OCDE.
“Art. 18. Ficam revogadas as seguintes Instruções Normativas:
I – Instrução Normativa RFB nº 1.888, de 3 de maio de 2019; e
II – Instrução Normativa RFB nº 1.899, de 10 de julho de 2019.”
2-Marco Conceitual e Redefinições Jurídicas
A IN 2.291 abandona terminologias genéricas e adota uma taxonomia precisa, alinhada ao Marco Legal (Lei 14.478/2022) e recomendações do GAFI.
2.1-De “Exchange” para “Prestadora de Serviço de Criptoativo”
O conceito de “exchange” é substituído por “Prestadora de Serviço de Criptoativo”, cobrindo lacunas regulatórias. O Anexo I da norma define as categorias funcionais:
Intermediárias: Facilitam a aproximação entre compradores e vendedores (Ex: P2P estruturado).
Custodiantes: Inovação crítica. Regulação explícita para guarda e administração de chaves privadas.
Corretoras: Modelo tradicional que acumula intermediação e custódia.
“Anexo I, Item 17: O termo “Prestadora de Serviço de Criptoativo” significa qualquer indivíduo ou entidade que, atuando em atividade empresarial, presta serviço de operações da DeCripto para ou em nome de clientes (…).”
2.2-O Conceito de Criptoativo Declarável
A norma cria uma distinção vital. “Criptoativo Declarável” exclui expressamente as
Moedas Digitais de Banco Central (CBDCs, como o “natimorto” Drex) e produtos de
moeda eletrônica já regulados, evitando duplicidade de reporte.
Anexo I, Item 2: O termo “Criptoativo Declarável” significa qualquer Criptoativo que possa ser utilizado para fins de pagamento ou investimento e que não seja Moeda Digital emitida por Banco Central ou um Produto Específico de Moeda Eletrônica.
3-O Padrão CARF e a Extraterritorialidade
A espinha dorsal da IN 2.291 é a internalização do padrão CARF da OCDE, visando a troca automática de informações para eliminar a “arbitragem jurisdicional”.
3.1-Extraterritorialidade Agressiva (O Cerco às Exchanges Estrangeiras)
Anteriormente, o ônus de reportar operações no exterior era do usuário. Agora, a norma estabelece critérios objetivos para obrigar exchanges estrangeiras a reportar diretamente à RFB.
A “Prestação de Serviço no Brasil” (Art. 5º, § 1º) é caracterizada por:
Uso de Domínio: Endereços “.br”.
Meios de Pagamento: Aceitação de PIX ou transferência local.
Marketing: Publicidade dirigida a residentes no Brasil.
“Art. 5º, § 1º: (…) considera-se prestação de serviço de criptoativo no Brasil quando a prestadora:
(…) III – evidenciar o endereçamento de serviço a residente no Brasil com a indicação:
(…) b) de outros meios de pagamento, como o arranjo de pagamentos PIX; ou
IV – realizar publicidade de serviço de criptoativo claramente dirigida a residentes no Brasil.”
O Dilema das DEXs
Serve como o exemplo arquetípico do alvo desta norma, uma Exchange internacional (sediada em Hong Kong), não residente e sem custódia física no Brasil, mas que aceita depósitos de brasileiros via PIX (geralmente através de gateways de pagamento locais).
Cenário Anterior (IN 1.888): A DEX não reportava nenhuma informação. A obrigação era inteiramente do usuário se movimentasse valor > R$ 30k.
Cenário Novo (IN 2.291): Pelo Art. 5º, § 1º, III, ‘b’, o simples uso do PIX classifica a DEX como “prestadora de serviço no Brasil”.
Consequência: A DEX internacional será obrigada a reportar todos os usuários brasileiros à RFB. Se não o fizer, a RFB poderá pressionar os gateways de pagamento locais a cortar o acesso da Exchange ao sistema bancário (PIX), forçando-a a escolher entre o compliance total ou a saída do mercado (como ocorreu com outras corretoras em jurisdições rígidas).
3.2-O Contraste com os U.S.A (DeFi)
Enquanto os U.S.A debatem a isenção de reporte para participantes non-custodial de DeFi (reconhecendo a impossibilidade técnica), o Brasil optou pelo caminho inverso e ilógico. A IN 2.291 não isenta o DeFi. Se a plataforma descentralizada não reporta, a obrigação recai integralmente sobre o usuário (Art. 5º, II, ‘b’), criando um dos regimes de conformidade mais onerosos do mundo.
4-O Novo Regime de Obrigações para o Usuário
Quando a operação ocorre fora de uma prestadora obrigada (DEX, P2P, Exchange Estrangeira sem PIX/Marketing), a responsabilidade é do investidor.
4.1-O Limite de R$ 35.000,00 (Volume, não Lucro)
O limite para obrigatoriedade de reporte mensal subiu para R$ 35.000,00.
Natureza: Refere-se ao volume total movimentado (compras + vendas + permutas + transferências), não ao lucro.
Gatilho: Se o volume for R$ 35.001,00, reporta-se todas as operações do mês.
“Art. 5º, § 3º: Na hipótese prevista no inciso II do caput, as informações deverão ser
prestadas sempre que o valor mensal das operações, isolado ou conjuntamente, for maior
que R$ 35.000,00.”
4.2-Ampliação Massiva do Escopo (A “Visibilidade Total”)
A definição de “operação” foi expandida para cobrir a realidade Web3. O Art. 6º exige o reporte de:
Permutas (Swaps): Trocas cripto-cripto.
Renda Passiva: Staking, Airdrop, Mineração.
Crédito: Tomada e pagamento de empréstimos (Lending/Borrowing).
Movimentação: Transferência para carteira autocustodiada (identificando a carteira).
Perdas: Perda involuntária (hacks, perda de chaves).
“Art. 6º, III: (…) a) airdrop; b) renda de staking; (…) d) tomada de empréstimo (…)
Art. 6º, VI: transferência (…) para uma carteira não vinculada a uma prestadora de serviço de criptoativo;”
5-Cronograma e Sistema DeCripto
5.1-O Sistema “DeCripto” e DTE
A “Declaração de Criptoativos” (DeCripto) substituirá os métodos atuais. O layout técnico será definido em Ato Declaratório Executivo (ADE) em até 45 dias. A partir de 2026, o uso do Domicílio Tributário Eletrônico (DTE) será obrigatório para comunicações.
5.2-Marcos Temporais de Vigência (Art. 19)
A transição foi desenhada para evitar choque sistêmico, mas impõe um calendário
rigoroso:
14/Nov/2025: Publicação da norma. Vigência de definições.
01/Jan/2026: Início da vigência para Prestadoras (Exchanges). Início da coleta padrão CARF.
01/Jul/2026: Início da vigência para Usuários (Pessoas Físicas/Jurídicas). Início do
reporte manual no sistema DeCripto.
6-Análise Crítica: A Arquitetura do Controle e seus Riscos
A recepção da norma revela tensões profundas entre a intenção fiscalizatória e a realidade tecnológica e social.
6.1-A “Bíblia” Contábil do DeFi (Inviabilidade Técnica)
A crítica mais vocal refere-se à impossibilidade prática de contabilidade manual em DeFi. Um usuário pode realizar centenas de microtransações (aprovações, compounding, taxas de gás, Lending/Borrowing, Stake, etc..) em um dia. Exigir o reporte manual individualizado no sistema DeCripto (Art. 9º) é impor um passivo de conformidade insuperável, transformando investidores em inadimplentes involuntários.
6.2-O Paradoxo da “Obrigação Cega” (Insegurança Jurídica)
O Artigo 16 mantém a omissão histórica sobre a natureza tributária dessas operações.
Art. 16. A tributação (…) obedece à legislação específica…
A RFB exige que o contribuinte confesse que recebeu “Renda de Staking” (Art. 6º, III, ‘b’), mas se recusa a definir se isso é tributado como renda (até 27,5%) ou ganho de capital (15%). O contribuinte fornece a munição sem saber como será o disparo.
6.3-Privacidade e Risco de Vida (“Shopping List” de Criminosos)
A obrigatoriedade de reportar transferências para autocustódia (Art. 6º, VI), identificando a carteira de destino, cria um banco de dados governamental centralizado com endereços físicos de detentores de riqueza. No contexto brasileiro de segurança pública, o vazamento desses dados — associando um CPF a um saldo milionário em uma hardware wallet na residência do investidor — cria um risco real de sequestro e extorsão.
6.4-A Consolidação Bancária e o Fim do P2P
A norma funciona como uma barreira de entrada regulatória. O Anexo II exige procedimentos de diligence bancária (KYC/AML padrão CRS) que apenas grandes bancos e conglomerados conseguem custear. Isso sufoca as startups e exchanges nativas, concentrando o mercado nas mãos dos “bancões”, e empurra o investidor de varejo — que busca privacidade e taxas menores — para a informalidade das DEXs e do mercado negro P2P, onde a visibilidade do Estado é nula.
7-A Inviabilidade Operacional e o Paradoxo da Identidade
A crítica sobre a exequibilidade humana da norma e o erro ontológico de sua concepção tecnológica.
7.1-O Mito da Contabilidade Manual em DeFi (“Humanamente Impossível”)
A IN 2.291 parte da premissa falsa de que operações com criptoativos são eventos discretos e lineares, como a compra de uma ação na B3. Em Finanças Descentralizadas (DeFi), esta lógica colapsa.
Uma única estratégia de investimento automatizada (yield farming) pode gerar dezenas de transações por hora: aprovações de token, wrap de ativos, depósito em pool de liquidez, recebimento de token de LP, staking do token de LP e colheita (harvest) automática de recompensas compostas.
O Custo da Conformidade vs. Lucro: Exigir que o contribuinte reporte manualmente cada uma dessas micro-movimentações no sistema DeCripto (com data, hora, hash, valor em dólar e conversão para real) torna o custo do contador ou do software de rastreamento superior ao próprio rendimento da operação.
Inexistência de Ferramentas: Atualmente, não existe “sistema contábil” integrado ao eCAC capaz de ler a blockchain e preencher a DeCripto automaticamente. A RFB exige um nível de detalhe para o qual ela mesma não oferece infraestrutura de recepção automatizada.
7.2-O Paradoxo “Não Existe CPF na Blockchain”
A crítica mais contundente reside na tentativa da norma de impor uma camada de identidade civil (CPF/CNPJ) sobre uma infraestrutura tecnológica desenhada para ser permissionless (sem permissão) e baseada em chaves criptográficas, não em identidade.
O Dilema do Acesso: A norma questiona como se dá o acesso a carteiras não identificadas. A resposta técnica é simples: o acesso se dá pela posse da chave privada (Art. 1º do Anexo I). Não há “login”, não há “cadastro”, não há CPF vinculado ao protocolo do Bitcoin, do Ethereum ou de outros cripto ativos.
Ao exigir que o usuário reporte transferências para carteiras auto custodiadas (Art. 6º, VI) e identifique o “usuário da operação” (Art. 9º, III), a IN 2.291 tenta criar, forçosamente, um “Livro Razão Sombra” (Shadow Ledger).
A Contaminação dos Endereços: No momento em que o usuário cumpre a lei e declara “Transferi 1 BTC da Binance para o Endereço X”, ele destrói permanentemente a pseudonimidade daquele endereço. Para a RFB, o “Endereço X” passa a ser, para sempre, o “CPF do Fulano”.
Incompatibilidade Técnica: Se o usuário interage com uma DEX (contrato inteligente), não há “outro lado” para identificar com CPF. A contraparte é um código. A exigência de identificar a contraparte em operações P2P ou DeFi revela um desconhecimento profundo da natureza impessoal dos smart contracts.
Em suma, a norma exige que o cidadão converta uma tecnologia líquida, global e pseudônima em registros estáticos, locais e nominais. É uma tentativa de forçar o “círculo” da blockchain no “quadrado” da burocracia estatal, gerando um passivo de impossibilidade jurídica para quem tenta agir de boa-fé.
8-A Voracidade Arrecadatória vs. A Filosofia da Descentralização
O impacto macroeconômico e filosófico da norma, expõe como a voracidade estatal corrói a inovação e trai os princípios fundamentais dos ativos digitais.
8.1-A Antítese de Satoshi Nakamoto
A IN 2.291/2025 representa a materialização exata do “Terceiro de Confiança” (Trusted Third Party) que Satoshi Nakamoto buscou eliminar com a criação do Bitcoin. O White Paper original propunha um sistema de dinheiro eletrônico P2P (Peer-to-Peer) que funcionasse independentemente de bancos ou governos.
Ao impor uma regulação que obriga a identificação de todas as partes e a centralização das informações na Receita Federal, o Estado brasileiro ataca a natureza descentralizada da tecnologia. A norma tenta domesticar um ativo desenhado para a liberdade, convertendo-o em mero instrumento escritural sob vigilância estatal. A exigência de reportar a auto custódia (onde “cada um é seu próprio banco”) é uma invasão direta na soberania individual sobre o patrimônio, transformando a posse de chaves privadas — um ato de liberdade tecnológica — em um ato de suspeição fiscal.
8.2-O Estímulo Governamental à Fuga de Capitais (Efeito Boomerang)
Há uma ironia trágica na política regulatória da RFB: ao tentar apertar o cerco, ela perde o controle. A imposição de um compliance draconiano sobre as corretoras nacionais e sobre as operações visíveis cria um incentivo econômico direto para a “clandestinidade”. O investidor, sentindo-se asfixiado pela burocracia e pelo risco de exposição de dados, é naturalmente empurrado para:
Exchanges Descentralizadas (DEXs): Onde não há CNPJ para intimar nem escritório para fechar.
Ferramentas de Privacidade: Uso de mixers e moedas anônimas para ofuscar o rastro on-chain.
Jurisdições Offshore: Fuga para paraísos fiscais digitais que ignoram o CARF.
O governo, em sua ânsia de controlar tudo, acaba estimulando a descentralização radical. O resultado não é mais arrecadação, mas a evasão de divisas e a perda de inteligência financeira sobre o mercado real.
8.3-A Quebra das Corretoras Nacionais e a Concentração nos “Bancões”
Talvez o efeito mais perverso da IN 2.291 seja a sua função como barreira de entrada anticompetitiva. Os custos de implementação dos procedimentos de diligência (Anexo II), auditoria de sistemas e reporte padrão CARF são triviais para grandes conglomerados financeiros (Itaú, BTG, XP, Nubank, etc..), que já possuem departamentos inteiros de compliance. Para as exchanges nativas brasileiras (startups de cripto), esses custos são mortais. A regulação atua como um filtro darwinista artificial: sobrevive não quem tem a melhor tecnologia ou as menores taxas, mas quem tem o maior departamento jurídico. O resultado final é a cartelização do setor. O governo entrega o mercado de criptoativos de bandeja para os mesmos grandes bancos que dominam o sistema financeiro tradicional, aniquilando a concorrência e a inovação das fintechs nacionais. O Bitcoin e as criptomoedas, que nasceram para desafiar os bancos, no Brasil, acaba sendo capturado por eles através da mão pesada da Receita Federal.
9-Resistência Tecnológica: Ferramentas de Privacidade e o Risco de Contaminação
Em resposta à hipervigilância da IN 2.291, observa-se um aumento na busca por ferramentas que garantam a privacidade técnica (o “direito de não ser observado”). Contudo, o uso dessas ferramentas cria um conflito direto com a norma, gerando o fenômeno dos “Ativos Contaminados”.
9.1-Ferramentas de Ofuscação
A tecnologia blockchain evoluiu para oferecer soluções de privacidade que tornam o rastreamento estatal tecnicamente inviável, independentemente da vontade do legislador:
Privacy Coins (Monero – XMR, Zcash): Diferente do Bitcoin, onde o livro-razão é público, estas moedas utilizam criptografia avançada (Ring Signatures, Stealth Addresses) para ocultar remetente, destinatário e quantia. São, por design, imunes ao rastreamento exigido pelo Art. 6º da IN.
Mixers e CoinJoins: Protocolos que “misturam” moedas de milhares de usuários, quebrando o elo determinístico entre a origem e o destino dos fundos.
P2P “No-KYC” e DEXs: Plataformas como Bisq, RoboSats ou HodlHodl permitem a troca de Fiat por Crypto sem intermediário centralizado. Como operam via rede Tor e contratos inteligentes de multisig, não há “Prestadora de Serviço” para cumprir o Art. 7º ou o Anexo II.
9.2-A tentativa de aniquilação do “Off-Ramp”
Embora essas tecnologias garantam privacidade on-chain, a IN 2.291 fecha o cerco nas pontes de saída (conversão para Reais).
O Risco de Contaminação: As exchanges reguladas (obrigadas ao compliance) utilizam softwares de análise de risco (Chainalysis, Elliptic). Se um usuário deposita Bitcoins provenientes de um Mixer ou de uma transação suspeita, a exchange é obrigada a congelar os fundos e reportar ao COAF/RFB (conforme Art. 14 da IN).
O “Leproso Financeiro”: O usuário que opta pela privacidade total pode se ver com um patrimônio milionário em cripto, mas incapaz de usá-lo na economia real, pois nenhuma instituição bancária ou exchange regulada aceitará “dinheiro sujo” (sem rastro de origem).
9.3-A Defesa da Fungibilidade: O Direito à Privacidade vs. A “Mancha” Estatal
Ao classificar ativos provenientes de mecanismos de privacidade como “contaminados” ou “sujos”, o Estado ataca um dos princípios fundamentais do dinheiro: a Fungibilidade.
A Tese da Limpeza Original: Mecanismos como mixers ou moedas de privacidade não necessariamente “sujam” o dinheiro; tecnicamente, eles restauram sua condição original de neutralidade. O dinheiro, em sua essência (como o dinheiro em espécie), não deve ter memória. Ao usar essas ferramentas, o usuário não está “burlando” o sistema, mas exercendo seu direito de que seu patrimônio não carregue um histórico de transações passadas que não lhe dizem respeito.
A Ilegitimidade da Discriminação: A determinação unilateral por um País do que é “sujo” (apenas porque não consegue rastrear) colide com a natureza global e apátrida da blockchain. Quando o Estado bloqueia ativos legítimos apenas porque passaram por uma ferramenta de privacidade, ele expropria valor com base em uma presunção de culpa, invertendo o ônus da prova e violando a soberania tecnológica do indivíduo sobre seu ativo.
Portanto, a IN 2.291/2025 é a tentativa final do Estado de intermediar uma tecnologia desenhada para ser desintermediada. Para o investidor médio, a mensagem é clara: a era da privacidade de seus ativos digitais está prestes a acabar, mas a era da complexidade burocrática, da inviabilidade operacional e do risco de segurança pessoal apenas começou. O Brasil escolheu o caminho do controle em detrimento da inovação, forçando o mercado a escolher entre a submissão aos grandes bancos ou a fuga em massa para a descentralização radical.
