Resolução CVM 175, ativos virtuais e tokenização: o que muda para fundos e emissores
Resposta direta
A Resolução CVM 175 consolidou o regime dos fundos de investimento brasileiros e, pela primeira vez, admitiu ativos virtuais como ativos investíveis, com limites e requisitos de custódia. A competência da CVM, porém, é definida pela natureza do ativo: um token é valor mobiliário quando configura contrato de investimento coletivo (art. 2º, IX, da Lei 6.385/76), nos termos do Parecer de Orientação CVM 40/2022; nesse caso, oferta, custódia e prestadores entram no regime da CVM. Ativos virtuais que não são valores mobiliários seguem a Lei 14.478/2022 e o Banco Central.
Principais conclusões
- ›A Resolução CVM 175 unificou o marco dos fundos e permitiu, dentro de limites, que FIFs invistam em ativos virtuais negociados em entidades reguladas, no Brasil ou no exterior.
- ›A fronteira de competência não é o rótulo do token: se ele se enquadra como contrato de investimento coletivo (art. 2º, IX, da Lei 6.385/76), é valor mobiliário e a CVM regula a oferta.
- ›O Parecer de Orientação CVM 40/2022 aplica um teste funcional (essência do Howey) para classificar tokens de pagamento, de utilidade e lastreados em ativos.
- ›Tokens de recebíveis e de renda fixa tendem a ser valores mobiliários e podem equivaler a securitização (Lei 14.430/2022), conforme os Ofícios-Circulares CVM/SSE 4 e 6 de 2023.
- ›O uso de DLT ou smart contract não descaracteriza o ativo como valor mobiliário nem dispensa registro, custódia qualificada e governança.
- ›Custódia segura de chaves, segregação de patrimônio, auditoria de contratos inteligentes e gestão de risco cibernético tornam-se controles de conformidade, não apenas de TI.
O que a Resolução CVM 175 mudou para os fundos
Publicada em dezembro de 2022, a Resolução CVM 175 substituiu a Instrução CVM 555 e dezenas de normas correlatas, consolidando em um único regime a constituição, o funcionamento e a prestação de serviços dos fundos de investimento. A estrutura passou a separar uma parte geral, comum a todos os fundos, de anexos normativos por tipo, entre eles o Anexo I (Fundos de Investimento Financeiro, FIF) e o Anexo II (Fundos de Investimento em Direitos Creditórios, FIDC).
A mudança que interessa diretamente a quem opera cripto e tokenização foi o reconhecimento expresso dos ativos virtuais como classe investível. Antes, a exposição a criptoativos exigia veículos no exterior; com a 175, fundos brasileiros podem investir em ativos virtuais negociados em entidades autorizadas a funcionar por reguladores no Brasil ou em jurisdições com regulação equivalente, observados limites de concentração que variam conforme o público do fundo, de varejo a investidores qualificados e profissionais.
Para a gestora, a consequência prática é que a exposição a cripto deixa de ser uma engenharia jurídica offshore e passa a ser uma decisão de produto sujeita às regras de elegibilidade de ativos, de marcação a mercado e, sobretudo, de custódia e controles internos. É nesse ponto que conformidade regulatória e segurança da informação deixam de ser trilhos paralelos.
A fronteira de competência: valor mobiliário (CVM) ou ativo virtual (BACEN)
A pergunta que define o regime aplicável não é se o ativo usa blockchain, e sim qual a sua natureza jurídica. A Lei 14.478/2022 e o Banco Central cuidam das prestadoras de serviços de ativos virtuais (VASPs) e dos ativos virtuais em geral. Mas essa lei é expressa ao excluir do seu conceito de ativo virtual aquilo que já é valor mobiliário, cuja disciplina permanece com a CVM.
O critério está no art. 2º, inciso IX, da Lei 6.385/76: são valores mobiliários, quando ofertados publicamente, quaisquer títulos ou contratos de investimento coletivo que gerem direito de participação, parceria ou remuneração cujos rendimentos advenham do esforço do empreendedor ou de terceiros. Um token que reúna esses elementos, captação pública, investimento em dinheiro, expectativa de retorno e dependência do esforço de um terceiro, é valor mobiliário, ainda que se autointitule utility token.
Na prática, há um mesmo ativo com dois caminhos possíveis. Se for valor mobiliário, a oferta, a negociação, a custódia e os prestadores de serviço estão sob a CVM, e a emissão sem registro ou dispensa é irregular. Se não for, segue o trilho da Lei 14.478/2022 e do BACEN. A leitura equivocada dessa fronteira é uma das principais fontes de risco regulatório para tokenizadoras e fintechs de investimento.
Quando um token é valor mobiliário: o Parecer de Orientação CVM 40/2022
Em outubro de 2022, a CVM publicou o Parecer de Orientação 40, que consolida o entendimento da autarquia sobre criptoativos no mercado de valores mobiliários. O documento adota uma abordagem funcional: o que importa é a essência econômica do ativo, não o nome ou a tecnologia. A partir disso, propõe uma taxonomia inicial com tokens de pagamento, tokens de utilidade e tokens referenciados a ativos (asset-backed).
A análise de enquadramento aplica, na essência, o teste consagrado internacionalmente (Howey) e já incorporado à jurisprudência da CVM em torno do contrato de investimento coletivo: aporte em dinheiro, caráter coletivo, expectativa de benefício econômico e esforço preponderante de um empreendedor ou de terceiros. Presentes esses elementos numa oferta pública, há valor mobiliário. O Parecer reforça que a caracterização independe de manifestação prévia da CVM e que cabe ao ofertante avaliar o enquadramento.
O Parecer também esclarece que tokens podem assumir naturezas híbridas e mudar de classificação ao longo do tempo, o que torna a análise um exercício contínuo, e não um carimbo na emissão. Para o jurídico de uma tokenizadora, isso significa documentar a tese de enquadramento, monitorar mudanças de funcionalidade do token e tratar o smart contract como parte do desenho regulatório, porque é nele que direitos econômicos prometidos no white paper efetivamente se realizam ou falham.
Tokens de recebíveis e renda fixa: securitização sob outra roupagem
Em 2023, ao detectar emissões de tokens com promessa de renda, a Superintendência de Supervisão de Securitização da CVM publicou os Ofícios-Circulares CVM/SSE 4/2023 e 6/2023. A mensagem é direta: tokens de recebíveis e tokens de renda fixa, quando ofertados publicamente com promessa de remuneração, tendem a se enquadrar como contratos de investimento coletivo e, em muitos casos, equivalem a operações de securitização disciplinadas pela Lei 14.430/2022.
Os ofícios consolidam três pontos relevantes para o desenho de produto. Primeiro, o uso de DLT na emissão não descaracteriza a natureza de valor mobiliário. Segundo, a oferta exige registro ou dispensa na CVM e observância do regime aplicável, inclusive de securitização quando cabível. Terceiro, os prestadores de serviço envolvidos na tokenização assumem responsabilidades regulatórias, e não apenas tecnológicas.
Para tokenizadoras, isso reposiciona o produto: a originação dos recebíveis, a verificação do lastro, a custódia dos ativos subjacentes e a fidelidade entre o que o smart contract executa e o que o material de oferta promete passam a ser elementos de conformidade auditáveis. A divergência entre código e prospecto deixa de ser bug e vira risco jurídico.
Custódia, segregação e prestadores de serviço no regime da 175
A Resolução 175 organiza a cadeia de prestadores essenciais do fundo, com destaque para o administrador e o gestor, e prevê responsabilidades de custódia, controladoria e escrituração. Quando o ativo do fundo é um ativo virtual, dois princípios clássicos do mercado de capitais ganham contornos técnicos novos: a segregação do patrimônio do fundo em relação ao do prestador e a guarda segura dos ativos.
Segregar patrimônio, no mundo cripto, não é apenas contábil. Envolve segregação efetiva de endereços e wallets por fundo, controle de quem detém as chaves privadas, política de uso de carteiras frias e quentes, e governança de assinaturas. Custódia qualificada de criptoativos significa, na prática, ser capaz de demonstrar que a entidade controla as chaves, que elas estão protegidas contra comprometimento e perda, e que há recuperação testada em cenário de desastre, perda de signatário ou incidente.
Os prestadores que assumem custódia e administração de fundos com exposição a ativos virtuais precisam tratar a gestão de chaves como controle financeiro de primeira ordem. Um vazamento de chave ou uma falha na governança de assinaturas múltiplas não é incidente de TI isolado: pode significar perda definitiva do ativo do fundo e exposição de responsabilidade do prestador perante cotistas e regulador.
Segurança da informação e gestão de risco como dever de conformidade
Tanto o regime de fundos quanto a regulação de mercado de capitais esperam dos prestadores controles internos, gestão de risco e segurança da informação compatíveis com a natureza e a complexidade da atividade. Para quem lida com ativos virtuais e tokenização, esses controles têm uma camada adicional: o risco de que uma falha técnica, em chaves, em contratos inteligentes ou em integrações, se converta diretamente em perda patrimonial irreversível e em descumprimento regulatório.
Na prática, espera-se uma política de segurança que cubra gestão de identidade e acesso com segregação de funções, monitoramento e resposta a incidentes, gestão de continuidade e recuperação, testes de intrusão periódicos sobre aplicações e infraestrutura, e auditoria independente do código dos smart contracts antes e depois da implantação. Em tokenização, o contrato inteligente é parte do produto regulado: vulnerabilidades de reentrância, controle de acesso ou lógica de mint e burn têm efeito direto sobre os direitos dos investidores.
É aqui que segurança e jurídico convergem. Documentar a tese de enquadramento do token, manter trilhas de auditoria, evidenciar custódia segura de chaves e comprovar testes e auditorias passam a compor o dossiê de conformidade que sustenta a relação com a CVM e com os cotistas. Tratar segurança como evidência regulatória, e não como custo de TI, é o que diferencia uma operação madura.
Como a Decripte apoia gestoras, fintechs e tokenizadoras
A Decripte é uma empresa brasileira de cibersegurança B2B. Para o mercado de capitais cripto, atuamos onde a segurança técnica encontra a conformidade: na proteção da custódia e das chaves, na auditoria do que efetivamente roda em produção e na construção da evidência que o regulador e os cotistas esperam.
Nas frentes de Segurança Web3 e Segurança Normativa, apoiamos a revisão de arquitetura de custódia e gestão de chaves, a auditoria de smart contracts antes da implantação, testes de intrusão sobre aplicações e infraestrutura e a estruturação de controles de gestão de risco e resposta a incidentes alinhados ao que o regime de fundos e o mercado de valores mobiliários esperam.
O objetivo é prático: permitir que o jurídico defenda a tese de enquadramento com lastro técnico, que o gestor demonstre custódia e segregação adequadas e que o produto tokenizado entre em operação com o código auditado e a postura de segurança documentada. Conformidade e segurança, no mesmo trilho.
Como se adequar
- 1
Classifique o ativo antes de desenhar o produto
Antes da emissão, avalie se o token configura contrato de investimento coletivo (art. 2º, IX, da Lei 6.385/76) à luz do Parecer de Orientação CVM 40/2022. Documente a tese de enquadramento por escrito e identifique se o trilho é CVM (valor mobiliário) ou Lei 14.478/2022 e BACEN.
- 2
Defina o regime de oferta e os prestadores
Se for valor mobiliário, mapeie a necessidade de registro ou dispensa, o eventual enquadramento como securitização (Lei 14.430/2022) e os prestadores obrigatórios. Para fundos, alinhe a exposição a ativos virtuais aos limites e requisitos da Resolução CVM 175 conforme o público-alvo.
- 3
Estruture a custódia e a segregação de chaves
Implante segregação de wallets por fundo ou emissão, política de carteiras frias e quentes, e governança de assinaturas múltiplas. Garanta que a entidade comprove controle das chaves privadas e que exista procedimento testado de recuperação diante de perda ou comprometimento.
- 4
Audite o smart contract antes de implantar
Submeta o contrato inteligente a auditoria de segurança independente, verificando controle de acesso, lógica de emissão e resgate, e ausência de vulnerabilidades conhecidas. Confirme que o que o código executa corresponde ao que o material de oferta promete aos investidores.
- 5
Implemente controles de segurança e gestão de risco
Estabeleça gestão de identidade com segregação de funções, monitoramento e resposta a incidentes, continuidade e recuperação, e testes de intrusão periódicos sobre aplicações e infraestrutura, dimensionados à criticidade da custódia de ativos virtuais.
- 6
Monte o dossiê de conformidade auditável
Reúna a tese de enquadramento, relatórios de auditoria de código, evidências de custódia e segregação, registros de testes de intrusão e trilhas de incidentes. Esse conjunto sustenta a relação com a CVM, com auditores e com cotistas, e reduz risco em supervisão.
- 7
Monitore mudanças de funcionalidade e de norma
Trate o enquadramento como exercício contínuo: reavalie quando o token mudar de funcionalidade e acompanhe a agenda regulatória da CVM, que segue ajustando anexos da 175 e regras de crowdfunding voltadas à tokenização de recebíveis.
Perguntas frequentes
A Resolução CVM 175 permite que fundos brasileiros invistam em criptomoedas?
Sim. A Resolução CVM 175 reconheceu os ativos virtuais como classe investível e permite que Fundos de Investimento Financeiro tenham exposição a ativos virtuais negociados em entidades autorizadas por reguladores no Brasil ou em jurisdições com regulação equivalente, observados limites de concentração que variam conforme o público do fundo. Antes da 175, essa exposição dependia de veículos no exterior.
Como saber se o meu token é valor mobiliário ou ativo virtual?
O critério é a natureza jurídica, não a tecnologia. Se o token, ofertado publicamente, configura contrato de investimento coletivo (art. 2º, IX, da Lei 6.385/76), com aporte, caráter coletivo, expectativa de retorno e esforço de terceiros, é valor mobiliário e fica sob a CVM, segundo o Parecer de Orientação 40/2022. Se não reunir esses elementos, segue como ativo virtual, sob a Lei 14.478/2022 e o Banco Central.
Tokens de recebíveis e de renda fixa são valores mobiliários?
Em regra, tendem a ser. Nos Ofícios-Circulares CVM/SSE 4/2023 e 6/2023, a CVM indicou que tokens de recebíveis e de renda fixa ofertados publicamente com promessa de remuneração costumam configurar contrato de investimento coletivo e, frequentemente, equivalem a operações de securitização da Lei 14.430/2022, exigindo registro ou dispensa e observância do regime aplicável.
Usar blockchain ou smart contract dispensa o registro na CVM?
Não. A CVM é expressa ao afirmar que o uso de DLT ou de qualquer outra tecnologia na emissão não descaracteriza a natureza do ativo como valor mobiliário. Se há valor mobiliário em oferta pública, aplicam-se as exigências de registro ou dispensa, custódia e prestadores, independentemente da camada tecnológica utilizada.
Quais controles de segurança a CVM espera de quem custodia ativos virtuais?
Embora os detalhes técnicos variem, o regime espera controles internos, gestão de risco e segurança da informação compatíveis com a atividade. Na prática, isso inclui custódia segura e segregada de chaves, governança de assinaturas, monitoramento e resposta a incidentes, continuidade e recuperação, testes de intrusão e auditoria de smart contracts, com evidências documentadas para fins de supervisão.
Qual a diferença entre a Resolução 175 e a Lei 14.478/2022?
A Lei 14.478/2022 é o marco legal dos ativos virtuais e das VASPs, com o Banco Central como regulador, e exclui do seu conceito o que já é valor mobiliário. A Resolução CVM 175 é o marco dos fundos de investimento e trata, entre outros pontos, da exposição de fundos a ativos virtuais. Um mesmo token pode cair em um trilho ou em outro conforme sua natureza jurídica.
A classificação de um token pode mudar com o tempo?
Sim. O Parecer de Orientação CVM 40/2022 reconhece tokens híbridos e admite que a classificação evolua conforme a funcionalidade do ativo muda. Por isso, recomenda-se tratar o enquadramento como análise contínua, reavaliando a cada alteração relevante de funcionalidade, governança ou promessa de retorno do token.
Como a Decripte ajuda uma gestora ou tokenizadora a se adequar?
A Decripte é uma empresa de cibersegurança B2B que atua na interseção entre segurança técnica e conformidade. Apoiamos revisão de arquitetura de custódia e gestão de chaves, auditoria de smart contracts, testes de intrusão e estruturação de controles de gestão de risco e resposta a incidentes, gerando a evidência técnica que sustenta a tese de enquadramento e a relação com a CVM e os cotistas.
Fontes
A Decripte implementa a conformidade — sem você montar um time interno.
Diagnóstico de aderência, controles técnicos auditáveis, pentest e documentação para o regulador/auditor. Ou comece de graça vendo o que já está exposto.
