Due Diligence Reputacional: Guia Completo de Metodologia e Red Flags [2026]

Em junho de 2025, uma única semana trouxe más notícias para três multinacionais brasileiras. Todas compartilhavam o mesmo problema: parceiros comerciais que pareciam confiáveis — até que não eram mais. Processos judiciais, sanções internacionais e manchetes negativas revelaram o que uma due diligence reputacional adequada teria descoberto meses antes.

Os números confirmam que esse risco não é exceção. Segundo o estudo "Diagnóstico das Fraudes no Brasil" da Grant Thornton, 63% das empresas brasileiras detectaram ao menos uma fraude nos últimos 12 meses. E o Indicador de Tentativas de Fraude da Serasa Experian registrou quase 7 milhões de tentativas de fraude apenas no primeiro semestre de 2025 — um aumento de 29,5% em relação ao ano anterior.

A due diligence reputacional é a ferramenta que separa empresas que descobrem problemas cedo daquelas que os descobrem tarde demais. Neste guia, você vai aprender exatamente como implementá-la: desde as fontes certas de pesquisa até a construção de um sistema de scoring que classifica riscos de forma objetiva.

O que é Due Diligence Reputacional?

Due diligence reputacional é um processo investigativo estruturado para avaliar a integridade e os riscos associados à reputação de parceiros, fornecedores, clientes e terceiros em geral. Diferente da due diligence financeira ou jurídica tradicional, ela foca em sinais que não aparecem em balanços ou contratos — mas que podem destruir o valor de uma relação comercial.

Definição e conceito

O termo "due diligence" vem do latim e significa "diligência devida" — o cuidado razoável que uma pessoa ou empresa deve ter antes de entrar em um acordo ou transação. Quando aplicamos esse conceito à reputação, estamos investigando:

• Histórico de integridade — envolvimento em fraudes, corrupção, práticas antiéticas
• Exposição midiática — notícias negativas, crises de imagem, escândalos
• Redes de relacionamento — vínculos com PEPs, empresas sancionadas, grupos criminosos
• Conformidade regulatória — histórico de multas, sanções, processos administrativos
• Presença em listas restritivas — OFAC, ONU, listas de sanções internacionais

Diferença para due diligence tradicional (financeira/jurídica)

A due diligence financeira responde: "Essa empresa tem capacidade de pagar?" A due diligence jurídica pergunta: "Existem impedimentos legais para esse negócio?" Já a due diligence reputacional investiga uma questão mais sutil: "Essa empresa pode nos causar dano de imagem ou nos expor a riscos regulatórios?"

Tipo de Due Diligence	Foco Principal	Fontes Típicas
Financeira	Solvência, liquidez, endividamento	Balanços, demonstrativos, certidões negativas
Jurídica	Litígios, contratos, passivos legais	Processos judiciais, contratos, pareceres
Reputacional	Integridade, exposição midiática, riscos ocultos	Mídias, listas de sanções, OSINT, redes sociais

Na prática, as três se complementam. Uma empresa pode estar financeiramente saudável e juridicamente regular, mas ter um histórico de práticas questionáveis que vai respingar em quem se associar a ela.

Quando aplicar DD reputacional

A due diligence reputacional é especialmente crítica em cenários de alto risco:

• Fusões e aquisições — antes de incorporar outra empresa e seus passivos reputacionais
• Parcerias estratégicas — quando o nome da sua empresa estará associado a outra
• Contratação de fornecedores críticos — especialmente em setores regulados
• Onboarding de clientes de alto valor — para evitar lavagem de dinheiro e fraudes
• Entrada em novos mercados — onde parceiros locais são desconhecidos
• Contratação de executivos C-level — que representarão a empresa publicamente

Por que a Due Diligence Reputacional é Essencial para sua Empresa

Em 2013, o Brasil criou uma das leis anticorrupção mais rígidas do mundo. Desde então, ignorar a reputação de terceiros deixou de ser apenas arriscado — tornou-se potencialmente ilegal.

Lei Anticorrupção (12.846/13) e responsabilidade objetiva

A Lei nº 12.846/2013 — conhecida como Lei Anticorrupção brasileira — introduziu um conceito que mudou o jogo: a responsabilidade objetiva. Isso significa que sua empresa pode ser punida por atos de corrupção praticados por terceiros em seu benefício, mesmo que você não soubesse ou não tivesse autorizado.

As penalidades são severas:

• Multa administrativa de 0,1% a 20% do faturamento bruto (nunca inferior à vantagem obtida)
• Publicação extraordinária da decisão condenatória
• Perdimento de bens, direitos ou valores relacionados à infração
• Suspensão ou interdição parcial das atividades
• Dissolução compulsória da pessoa jurídica em casos extremos

A lei também prevê que a existência de programas de compliance e mecanismos de integridade — incluindo processos de due diligence — são considerados atenuantes na aplicação das sanções.

Riscos de não fazer DD reputacional

Empresas que negligenciam a análise reputacional de terceiros se expõem a:

1. Responsabilização solidária — ser punida por atos de parceiros ou fornecedores
2. Dano à marca — associação com empresas ou pessoas envolvidas em escândalos
3. Sanções internacionais — impedimento de fazer negócios com entidades globais
4. Perda de contratos — empresas com compliance robusto exigem DD de seus fornecedores
5. Custos de remediação — investigações internas, advogados, gestão de crise

Cases de empresas prejudicadas por terceiros

Os casos mais emblemáticos seguem um padrão: a empresa contratou um parceiro sem investigar adequadamente, e esse parceiro estava envolvido em práticas ilegais. Quando o escândalo veio à tona, a contratante foi arrastada junto.

A Operação Lava Jato expôs dezenas de situações assim. Empresas que pagaram propinas por meio de intermediários — muitas vezes sem conhecimento dos níveis executivos mais altos — enfrentaram multas bilionárias e destruição de valor de mercado. Em vários casos, uma simples consulta a listas de PEPs ou análise de mídias negativas teria revelado os red flags.

Fontes de Pesquisa para Due Diligence Reputacional

Uma due diligence reputacional é tão boa quanto suas fontes. Investigadores experientes combinam dados oficiais, listas internacionais, inteligência de mídias e técnicas de OSINT para construir um retrato completo.

Fontes oficiais: processos judiciais, CVM, BACEN, tribunais

O primeiro passo é sempre verificar registros públicos oficiais:

• Processos judiciais — Tribunais de Justiça estaduais, TRFs, TST (trabalhistas)
• CVM — Comissão de Valores Mobiliários para empresas de capital aberto
• BACEN — Banco Central para instituições financeiras
• CADE — Conselho Administrativo de Defesa Econômica (práticas anticompetitivas)
• Receita Federal — situação cadastral de CNPJs e CPFs
• Juntas Comerciais — alterações societárias, quadro de sócios, histórico
• CGU — Cadastro de Empresas Inidôneas e Suspensas (CEIS)
• CNEP — Cadastro Nacional de Empresas Punidas
• TCU — Tribunal de Contas da União (irregularidades em contratos públicos)

Listas restritivas: OFAC, ONU, UE, PEPs

As listas de sanções internacionais são fontes críticas para identificar riscos de compliance:

• OFAC (EUA) — Office of Foreign Assets Control, lista SDN
• ONU — Listas de sanções do Conselho de Segurança
• União Europeia — Lista consolidada de sanções
• FATF/GAFI — Países de alto risco e não cooperativos
• Listas de PEPs — Pessoas Politicamente Expostas e seus associados

Uma empresa ou pessoa presente em qualquer dessas listas representa risco elevado e pode inviabilizar transações com parceiros internacionais.

Mídias e notícias negativas

A análise de mídias revela informações que não aparecem em registros oficiais — pelo menos não imediatamente. Escândalos, investigações, denúncias de ex-funcionários, práticas trabalhistas questionáveis: tudo isso aparece na mídia antes de virar processo.

Uma pesquisa eficaz de mídias deve cobrir:

• Veículos nacionais de grande circulação
• Mídia especializada do setor de atuação
• Portais de notícias regionais
• Agências de fact-checking
• Arquivos históricos (notícias antigas podem revelar padrões)

Redes sociais e OSINT

OSINT (Open Source Intelligence) é a prática de coletar e analisar informações de fontes abertas. Redes sociais são uma mina de ouro para investigadores:

• LinkedIn — confirmar vínculos profissionais, histórico de carreira
• Facebook/Instagram — estilo de vida incompatível com renda declarada
• Twitter/X — posicionamentos públicos, conexões políticas
• Glassdoor — depoimentos de ex-funcionários sobre cultura corporativa
• Reclame Aqui — histórico de reclamações de clientes

A análise de OSINT também inclui verificação de domínios de internet, registros WHOIS, vazamentos de dados e participação em fóruns específicos.

Questionários e verificação in loco

Algumas informações só podem ser obtidas diretamente:

• Questionários de due diligence — formulários padronizados que o terceiro deve preencher
• Visitas técnicas — verificar se instalações e operações condizem com o declarado
• Entrevistas — conversas com funcionários, vizinhos, concorrentes
• Verificação de referências — contato com outros clientes ou parceiros

Red Flags: Sinais de Alerta na Análise Reputacional

Red flags são sinais de alerta que indicam risco elevado. A presença de um red flag não significa necessariamente que há problema — mas exige investigação aprofundada.

PEPs e exposição política

Pessoas Politicamente Expostas (PEPs) são indivíduos que ocupam ou ocuparam cargos públicos relevantes, além de seus familiares próximos e associados conhecidos. O conceito inclui:

• Chefes de Estado e de governo
• Ministros e secretários de Estado
• Membros do Legislativo (deputados, senadores, vereadores com projeção)
• Dirigentes de partidos políticos
• Altos funcionários do Judiciário
• Dirigentes de estatais e autarquias
• Oficiais de alta patente das Forças Armadas

PEPs não são automaticamente problemáticos, mas representam maior risco de corrupção devido ao acesso a recursos públicos e processos decisórios. Relacionamentos com PEPs exigem Enhanced Due Diligence (EDD).

Processos judiciais relevantes

Nem todo processo judicial é red flag. O foco deve estar em:

• Ações por fraude, estelionato, apropriação indébita
• Processos de improbidade administrativa
• Ações trabalhistas em volume atípico (pode indicar práticas ruins)
• Execuções fiscais significativas
• Falências e recuperações judiciais
• Processos criminais por crimes financeiros ou contra a administração pública

Presença em listas de sanções

A presença em listas de sanções é um dos red flags mais graves. Pode indicar:

• Envolvimento com terrorismo ou financiamento terrorista
• Violações de direitos humanos
• Tráfico de drogas ou armas
• Corrupção internacional
• Evasão de sanções

Empresas que mantêm relacionamento com entidades sancionadas podem perder acesso ao sistema financeiro internacional e enfrentar sanções secundárias.

Mídias negativas recorrentes

Uma notícia negativa isolada pode ser ruído. Padrões de cobertura negativa são sinais sérios:

• Múltiplas denúncias de práticas similares ao longo do tempo
• Cobertura em veículos diferentes sobre os mesmos problemas
• Histórico de crises de imagem mal gerenciadas
• Padrão de reação agressiva ou processual contra a imprensa

Empresas recém-criadas ou sem histórico

Empresas com pouco tempo de existência ou histórico não verificável merecem atenção especial:

• Fundação recente sem justificativa clara
• Capital social incompatível com as operações propostas
• Ausência de site, presença digital ou referências verificáveis
• Endereço em escritório virtual ou local de difícil localização

Conflitos de interesse e vínculos suspeitos

Redes de relacionamento podem revelar conflitos de interesse:

• Sócios em comum com concorrentes do cliente
• Vínculos familiares com agentes públicos relacionados ao negócio
• Participação em empresas que já foram sancionadas
• Padrão de constituição de empresas em nome de terceiros (laranjas)

Alterações societárias frequentes

Mudanças constantes no quadro societário podem indicar:

• Tentativas de ocultar beneficiários finais
• Estratégias para escapar de responsabilização
• Operações de lavagem de dinheiro
• Estruturas complexas sem justificativa operacional

Metodologia: Como Fazer Due Diligence Reputacional Passo a Passo

A profundidade da due diligence deve ser proporcional ao risco. Nem todo terceiro exige o mesmo nível de escrutínio — o que seria inviável operacionalmente e financeiramente.

Nível 1: Background check básico

O nível inicial é aplicável a terceiros de baixo risco e grande volume:

Escopo:

• Validação de dados cadastrais (CNPJ, CPF)
• Consulta a listas de sanções e PEPs
• Verificação de situação cadastral na Receita Federal
• Busca básica de mídias negativas

Quando usar:

• Fornecedores de baixo valor
• Transações pontuais
• Clientes de baixo ticket

Prazo típico: 24-48 horas

Nível 2: Análise intermediária com fontes múltiplas

O segundo nível combina múltiplas fontes para uma visão mais completa:

Escopo:

• Tudo do Nível 1, mais:
• Pesquisa em tribunais (cível, trabalhista, criminal)
• Análise de histórico societário
• Verificação de vínculos com PEPs
• Pesquisa expandida de mídias
• Consulta a cadastros negativos (CEIS, CNEP)

Quando usar:

• Fornecedores estratégicos
• Parcerias de médio prazo
• Clientes de valor significativo

Prazo típico: 3-5 dias úteis

Nível 3: Investigação aprofundada (DDI)

O Due Diligence Investigativo (DDI) é reservado para situações de alto risco:

Escopo:

• Tudo dos níveis anteriores, mais:
• Investigação de beneficiário final (UBO)
• Análise de redes de relacionamento
• Verificação de fonte de recursos
• Entrevistas e checagem de referências
• Verificação in loco quando aplicável
• Análise de OSINT avançado
• Cruzamento de dados de múltiplas jurisdições

Quando usar:

• Fusões e aquisições
• Parcerias estratégicas de longo prazo
• Terceiros com presença de red flags
• Situações com exposição regulatória significativa

Prazo típico: 10-20 dias úteis

Critérios para definir o nível de diligência

A escolha do nível deve considerar:

Fator	Baixo Risco	Médio Risco	Alto Risco
Valor da transação	< R$ 100 mil	R$ 100 mil - 1 milhão	> R$ 1 milhão
Duração do relacionamento	Pontual	6-24 meses	> 24 meses
Setor	Baixo risco regulatório	Médio risco	Alto risco (gov, saúde, defesa)
Geografia	Baixo risco	Médio risco	Alto risco / sancionado
Exposição a PEPs	Nenhuma	Indireta	Direta

Checklist prático de verificação

Dados básicos:

• CNPJ ativo e regular
• Endereço verificado
• Objeto social compatível
• Tempo de existência adequado
• Capital social proporcional

Consultas obrigatórias:

• Listas de sanções (OFAC, ONU, UE)
• Lista de PEPs
• CEIS/CNEP
• Processos judiciais
• Mídias negativas

Análise societária:

• Identificação dos sócios e administradores
• Verificação de beneficiário final
• Histórico de alterações
• Vínculos com outras empresas

Scoring de Risco Reputacional

Uma due diligence sem critérios objetivos depende demais de interpretação individual. O scoring de risco transforma achados em números comparáveis e decisões auditáveis.

Como criar uma matriz de risco

Uma matriz eficaz atribui pesos a diferentes categorias de risco:

Exemplo de estrutura:

Categoria	Peso	Critérios
Listas de sanções	40	Presença em listas OFAC, ONU, UE
Processos judiciais	20	Volume, natureza, valores envolvidos
Mídias negativas	15	Frequência, gravidade, recência
Exposição a PEPs	15	Direta, indireta, histórica
Estrutura societária	10	Complexidade, offshore, alterações

Critérios de pontuação objetivos

Cada achado recebe uma pontuação baseada em gravidade:

Exemplo — Processos judiciais:

• Nenhum processo relevante: 0 pontos
• Processos cíveis de baixo valor: 1-2 pontos
• Processos trabalhistas recorrentes: 3-5 pontos
• Processos por fraude/corrupção: 8-10 pontos
• Condenação transitada em julgado: 15+ pontos

Classificação: baixo, médio, alto risco

Com base na pontuação total, o terceiro é classificado:

• Baixo risco (0-20 pontos): Aprovação automática, monitoramento padrão
• Médio risco (21-50 pontos): Aprovação com restrições, enhanced monitoring
• Alto risco (51+ pontos): Requer aprovação de alçada superior, EDD obrigatório
• Inaceitável (red flags críticos): Rejeição recomendada

Automatização do scoring com tecnologia

O volume de terceiros em grandes empresas torna a análise manual inviável. Plataformas de automação como o Sherlocker permitem:

• Consulta simultânea a dezenas de fontes
• Aplicação automática de regras de scoring
• Alertas em tempo real quando status muda
• Dashboards de gestão do portfolio de terceiros
• Trilhas de auditoria completas

Documentação e Relatórios de DD Reputacional

Uma due diligence bem executada mas mal documentada perde valor. A documentação é o que comprova o cuidado da empresa em caso de questionamento regulatório.

Estrutura do dossiê probatório

O dossiê deve conter:

1. Identificação do terceiro — razão social, CNPJ, endereço, representantes
2. Escopo da análise — fontes consultadas, período, nível de profundidade
3. Achados — descrição objetiva de cada informação encontrada
4. Evidências — prints, certidões, documentos que suportam os achados
5. Análise de risco — classificação e justificativa
6. Recomendação — aprovação, rejeição ou condições
7. Assinaturas — responsáveis pela análise e pela aprovação

Como apresentar resultados para stakeholders

Diferentes audiências precisam de diferentes níveis de detalhe:

• Comitê de compliance: Relatório completo com análise e recomendação
• Área de negócios: Resumo executivo com decisão e principais riscos
• Alta direção: Dashboard com indicadores agregados
• Auditoria: Acesso ao dossiê completo e trilha de decisões

Evidências e logs de auditoria

Toda consulta deve gerar registro:

• Data e hora da consulta
• Fonte consultada
• Usuário responsável
• Resultado obtido
• Ações tomadas

Esses logs são essenciais para demonstrar que a empresa manteve processos consistentes de verificação.

Integração com programa de compliance

A due diligence reputacional não é um processo isolado. Ela deve se integrar ao programa de compliance da empresa:

• Políticas de relacionamento com terceiros
• Código de conduta para fornecedores
• Cláusulas contratuais anticorrupção
• Processos de monitoramento contínuo
• Canal de denúncias

Enhanced Due Diligence (EDD): Quando Aplicar

O Enhanced Due Diligence — ou Diligência Reforçada — é um nível intensificado de verificação exigido em situações de risco elevado.

Casos obrigatórios de diligência reforçada

A regulamentação brasileira e internacional exige EDD em situações específicas:

• Relacionamento com PEPs ou seus associados
• Terceiros em países de alto risco (listas GAFI)
• Estruturas societárias complexas ou opacas
• Transações sem propósito econômico aparente
• Terceiros em setores de alto risco (jogos, armas, commodities)
• Correspondência bancária internacional

PEPs e transações de alto risco

Segundo as recomendações do GAFI (Grupo de Ação Financeira Internacional), relacionamentos com PEPs exigem:

• Aprovação de alçada superior para iniciar o relacionamento
• Medidas adequadas para estabelecer a fonte de riqueza e de recursos
• Monitoramento intensificado e contínuo da relação de negócios

O GAFI também recomenda que PEPs continuem sendo tratados como tal por pelo menos 12 meses após deixarem o cargo público.

Requisitos GAFI e CVM

A CVM (Comissão de Valores Mobiliários) incorporou as recomendações do GAFI nas suas normas para o mercado de capitais brasileiro. Instituições financeiras e participantes do mercado devem:

• Manter políticas, procedimentos e controles internos de PLD/FTP
• Aplicar abordagem baseada em risco na verificação de clientes
• Implementar EDD para situações de alto risco
• Manter registros por pelo menos 5 anos
• Comunicar operações suspeitas ao COAF

Documentação adicional necessária

O EDD exige documentação mais extensa:

• Comprovação de fonte de recursos e riqueza
• Análise de propósito e natureza do relacionamento
• Aprovações de níveis hierárquicos superiores
• Plano de monitoramento intensificado
• Justificativa documentada para manter o relacionamento

Tecnologia e Automação na Due Diligence Reputacional

O volume de terceiros que empresas médias e grandes gerenciam torna impossível uma abordagem puramente manual. A tecnologia não é luxo — é necessidade operacional.

Limitações do processo manual

Processos manuais de due diligence sofrem de:

• Inconsistência — diferentes analistas aplicam critérios diferentes
• Lentidão — cada análise consome horas de trabalho
• Escalabilidade limitada — impossível acompanhar volume de terceiros
• Desatualização — análises pontuais não capturam mudanças
• Risco de erro humano — fontes esquecidas, dados mal interpretados

Plataformas de automação e orquestração

Soluções modernas de due diligence automatizam:

• Coleta de dados de múltiplas fontes em paralelo
• Aplicação consistente de regras de scoring
• Geração automática de relatórios padronizados
• Workflows de aprovação configuráveis
• Integração com sistemas de gestão de fornecedores

IA aplicada à investigação reputacional

A inteligência artificial está transformando a due diligence:

• Processamento de linguagem natural — análise de mídias em escala
• Reconhecimento de entidades — identificação automática de pessoas e empresas
• Detecção de padrões — identificação de redes de relacionamento suspeitas
• Análise preditiva — identificação de riscos antes que se materializem
• Tradução automática — análise de fontes em múltiplos idiomas

Plataformas como o Sherlocker combinam IA treinada em investigação com acesso a bases de dados especializadas, permitindo análises que levariam dias em minutos.

Monitoramento contínuo de terceiros

Due diligence não é um evento único. Terceiros aprovados hoje podem desenvolver problemas amanhã. O monitoramento contínuo:

• Detecta mudanças em tempo real (novos processos, mídias negativas, sanções)
• Envia alertas automáticos quando status de risco muda
• Permite revisão periódica automatizada
• Mantém histórico de evolução do risco

Segundo a Pesquisa Global sobre Fraudes e Crimes Econômicos 2024 da PwC, apenas 50% das empresas brasileiras têm risk scoring integrado em seus programas de gestão de terceiros. As que têm estão significativamente mais protegidas.

Conclusão: Due Diligence Reputacional como Vantagem Competitiva

A due diligence reputacional deixou de ser uma formalidade burocrática. Em um ambiente onde 63% das empresas detectam fraudes e a responsabilidade objetiva pode alcançar quem não fez nada diretamente errado, investigar terceiros é autodefesa.

As empresas que implementam processos robustos de DD reputacional conseguem:

• Evitar surpresas — problemas descobertos cedo custam menos
• Negociar melhor — conhecer riscos é poder na negociação
• Atender reguladores — demonstrar diligência em caso de investigação
• Proteger a marca — não ser arrastado por escândalos de terceiros
• Fechar negócios — compliance robusto é pré-requisito para muitos clientes

O investimento em tecnologia de automação e IA — como as soluções do Sherlocker — permite que mesmo empresas com grandes volumes de terceiros mantenham processos consistentes, auditáveis e atualizados.

Não espere o problema aparecer para começar a investigar. A due diligence reputacional é a linha de defesa que você constrói antes de precisar dela.

---

Perguntas Frequentes (FAQ)

O que é due diligence reputacional?

Due diligence reputacional é um processo investigativo para avaliar riscos de integridade e reputação de terceiros — parceiros, fornecedores, clientes. Ela analisa histórico de fraudes, exposição midiática, vínculos com PEPs, presença em listas de sanções e outros indicadores que podem representar risco para quem se relaciona com essas entidades.

Qual a diferença entre due diligence e background check?

Background check é geralmente uma verificação básica de antecedentes (dados cadastrais, processos, situação fiscal). Due diligence é um conceito mais amplo que inclui análise aprofundada de riscos, verificação de fontes múltiplas, scoring e tomada de decisão estruturada. Todo background check pode fazer parte de uma due diligence, mas due diligence vai além.

Quais são os principais red flags em due diligence?

Os principais sinais de alerta incluem: presença em listas de sanções, envolvimento com Pessoas Politicamente Expostas (PEPs), processos judiciais por fraude ou corrupção, mídias negativas recorrentes, empresas recém-criadas sem histórico, estruturas societárias complexas sem justificativa e alterações societárias frequentes.

O que é Enhanced Due Diligence (EDD)?

Enhanced Due Diligence é um nível intensificado de verificação aplicado em situações de alto risco — como relacionamento com PEPs, terceiros em países sancionados ou transações de valor elevado. Exige aprovação de alçadas superiores, verificação de fonte de recursos e monitoramento mais frequente.

Quais fontes consultar em due diligence reputacional?

Uma DD reputacional completa consulta: listas de sanções internacionais (OFAC, ONU, UE), cadastros de PEPs, processos judiciais (cível, trabalhista, criminal), cadastros públicos (CEIS, CNEP, Receita), mídias e notícias, redes sociais e fontes de OSINT, além de questionários diretos e verificações in loco quando necessário.

Por que a Lei Anticorrupção brasileira torna a due diligence obrigatória?

A Lei 12.846/2013 estabelece responsabilidade objetiva — empresas podem ser punidas por atos de terceiros em seu benefício, mesmo sem conhecimento ou autorização. Ter processos documentados de due diligence é considerado atenuante e demonstra que a empresa tomou precauções razoáveis.