Abordagem Baseada no Risco PLD/FT: Modelo de Scoring de Clientes 2026

A Abordagem Baseada no Risco em PLD/FT: enquadramento jurídico e obrigações

A abordagem baseada no risco (ABR) na prevenção do branqueamento de capitais e do financiamento do terrorismo (PLD/FT) consiste em calibrar as medidas de diligência devida ao nível real de risco que cada cliente, produto ou canal representa. A Lei n.º 83/2017, de 18 de agosto, nos artigos 8.º a 10.º, impõe a todas as entidades obrigadas a adoção de medidas proporcionais ao risco identificado.

Síntese fundamental: "A Recomendação 1 do GAFI (2012, atualizada em 2023) estabelece que os países devem exigir às instituições financeiras que identifiquem, avaliem e compreendam os riscos de branqueamento de capitais e financiamento do terrorismo, aplicando medidas de diligência proporcionadas a esses riscos. Portugal transpôs este princípio através da Lei 83/2017 e da Diretiva (UE) 2021/1640 (6.ª DLBC/AMLD6)."

A Instrução do Banco de Portugal n.º 9/2021 desenvolve os critérios concretos de avaliação do risco aplicáveis ao setor financeiro. O Banco de Portugal supervisiona o cumprimento e pode iniciar procedimentos sancionatórios por deficiências na avaliação do risco.

A ABR não é uma opção: é uma obrigação jurídica transversal a todas as entidades abrangidas pela Lei 83/2017, que inclui bancos, seguradoras, prestadores de serviços de pagamento, notários, advogados, agentes imobiliários, revisores oficiais de contas e operadores de criptoativos. A ausência de metodologia documentada para avaliação e segmentação do risco de clientes constitui, por si só, uma infração passível de coima independentemente da ocorrência de qualquer facto de branqueamento.

O quadro jurídico português alinha-se integralmente com o regime europeu: a Diretiva (UE) 2021/1640 (AMLD6) reforçou as obrigações de identificação do beneficiário efetivo, aumentou a lista de crimes subjacentes ao branqueamento e introduziu sanções penais para as pessoas singulares responsáveis por infrações cometidas em nome de entidades coletivas.

As quatro dimensões do risco na diligência devida ao cliente

Uma avaliação de risco eficaz abrange quatro categorias distintas, que devem ser sistematicamente documentadas no processo de admissão e revisão de cada cliente.

1. Risco geográfico: Países na lista cinzenta ou negra do GAFI, territórios sujeitos a sanções da UE ou da ONU, e jurisdições identificadas pelo Banco de Portugal ou pela Comissão Europeia como de risco elevado. A simples residência ou nacionalidade num desses territórios eleva automaticamente o perfil de risco do cliente, exigindo escrutínio adicional independentemente de outros fatores.

2. Risco do cliente: Se o cliente é uma pessoa politicamente exposta (PPE) ou pessoa relacionada, se a estrutura de titularidade efetiva é opaca ou recorre a entramados societários complexos offshore, e se opera em setores associados a maior risco de PLD/FT (jogo, imobiliário, criptoativos, intensivo em numerário). As PPE são consideradas de risco elevado durante pelo menos 12 meses após cessação de funções, podendo este período ser estendido conforme avaliação individual.

3. Risco do produto ou serviço: As transferências transfronteiriças, a banca privada, os ativos virtuais e as operações em numerário apresentam risco inerente elevado face aos produtos bancários de retalho standard. Produtos que oferecem anonimato acrescido ou que permitem movimentações rápidas de fundos entre jurisdições exigem medidas de controlo proporcionalmente mais intensas.

4. Risco do canal de distribuição: As relações não presenciais, as apresentações por terceiros não regulados e as relações de correspondência bancária requerem escrutínio adicional ao abrigo do artigo 36.º da Lei 83/2017. A identificação eletrónica remota, quando realizada através de meios certificados ao abrigo do Regulamento eIDAS, pode mitigar parcialmente o risco do canal não presencial.

Síntese fundamental: "Segundo o Relatório da ACFE de 2024, os métodos manuais de deteção identificam apenas 37% dos casos de fraude, com um atraso médio de 87 dias entre o início da fraude e a sua descoberta, sublinhando a necessidade de uma avaliação de riscos sistemática e automatizada."

Construir uma matriz de scoring de risco de clientes

Um modelo de scoring bem estruturado atribui um peso numérico a cada dimensão de risco, combina-os numa pontuação global e mapeia essa pontuação a um nível de diligência devida específico. A tabela seguinte ilustra um referencial de ponderação habitual para entidades obrigadas em Portugal:

As pontuações agrupam-se em quatro níveis: Baixo (0–30) — diligência simplificada; Médio (31–60) — diligência padrão; Elevado (61–80) — diligência reforçada; Muito elevado (81–100) — diligência reforçada com aprovação obrigatória da administração.

A construção da matriz deve ser documentada em política interna aprovada pelo órgão de administração, com revisão anual mínima ou sempre que ocorram alterações significativas ao perfil de risco da entidade ou ao enquadramento regulatório. A ponderação dos fatores pode variar conforme o modelo de negócio: uma entidade especializada em criptoativos atribuirá naturalmente maior peso ao fator de produto do que um banco de retalho tradicional.

O modelo de scoring deve ainda integrar indicadores dinâmicos — alertas de monitorização de transações, notícias adversas, alterações nos registos públicos de beneficiários efetivos — que permitam atualizar a classificação de risco em tempo real sem aguardar a revisão periódica programada.

Para mais informação sobre metodologias de avaliação do risco, consulte o nosso artigo sobre avaliação de riscos de conformidade.

DDC simplificada, padrão e reforçada: quando aplicar cada nível

O regime de diligência devida estrutura-se em três níveis claramente definidos na Lei 83/2017, sendo proibido aplicar um nível inferior ao que o perfil de risco do cliente objetivamente impõe.

Diligência devida simplificada (Art. 35.º): Aplicável exclusivamente quando o cliente e o produto apresentam risco objetivamente reduzido — por exemplo, entidades financeiras supervisionadas, administrações públicas ou sociedades cotadas em mercados regulados. Não implica ausência de controlos, mas menor intensidade de verificação. A entidade obrigada deve documentar os fundamentos da aplicação de DDC simplificada e manter capacidade de elevar o nível de diligência em caso de surgimento de fatores de risco adicionais.

Diligência devida padrão: Nível predefinido para a maioria dos clientes de retalho e PME. Inclui identificação do cliente, verificação da titularidade efetiva e compreensão da finalidade da relação de negócio. Revisão periódica anual ou perante eventos desencadeadores como alteração da atividade, mudança de titularidade efetiva, ou movimentações atípicas incompatíveis com o perfil declarado.

Diligência devida reforçada (Art. 37.º): Obrigatória para PPE, correspondência bancária transfronteiriça, clientes de países terceiros de elevado risco e relações não presenciais de risco elevado. Exige aprovação da direção de topo, documentação robusta da origem dos fundos e do património, e monitorização contínua intensificada com limiar de alerta mais baixo. Para clientes PPE, a entidade obrigada deve obter aprovação da administração antes do estabelecimento ou continuação da relação de negócio.

Síntese fundamental: "O Banco de Portugal pode aplicar coimas até 5 milhões de euros ou 10% do volume de negócios anual por incumprimentos graves do regime de PLD/FT, incluindo deficiências na aplicação da abordagem baseada no risco."

A distinção entre os três níveis não é meramente formal: implica diferenças substantivas na documentação recolhida, na frequência de revisão, nos limiares de monitorização de transações e nos procedimentos de aprovação interna. Aplicar DDC padrão a um cliente que objetivamente requer DDC reforçada é, nos termos da Lei 83/2017, uma infração grave, independentemente de qualquer resultado em termos de deteção de branqueamento.

Consulte também o nosso guia completo de conformidade AML para as melhores práticas de cumprimento normativo.

Automatizar a avaliação do risco com tecnologia

A avaliação manual do risco é inerentemente inconsistente: diferentes analistas, perante o mesmo processo de cliente, frequentemente atribuem classificações distintas, gerando risco regulatório e lacunas na pista de auditoria. A escalabilidade é também um problema crítico: uma entidade com milhares de clientes não consegue rever manualmente cada perfil com a frequência que a regulação exige.

A plataforma CheckFile cobre mais de 3.200 tipos de documentos em 32 jurisdições, permitindo automatizar a verificação documental de identidade, titularidade efetiva e morada à escala. O sistema utiliza análise multicamada — verificação estrutural, análise de metadados e verificação de consistência entre documentos — para detetar discrepâncias que a revisão manual poderia não identificar. Esta abordagem é especialmente relevante para a deteção de documentos falsificados ou manipulados digitalmente, que têm registado crescimento significativo nos últimos anos.

Para entidades financeiras que necessitam de fluxos de trabalho KYC específicos, a pontuação automatizada integra-se diretamente nos processos de admissão de clientes, reduzindo o tempo de decisão e criando uma pista de auditoria completa e imutável. A automatização garante ainda a aplicação consistente dos critérios de scoring, eliminando a variabilidade introduzida pela subjetividade humana e facilitando a demonstração de conformidade perante supervisores.

A integração com listas de sanções, bases de dados de PPE e registos de beneficiários efetivos permite atualizar automaticamente os perfis de risco quando surgem novos fatores — sem aguardar a revisão periódica manual. Consulte a nossa página de segurança para detalhes sobre a gestão de dados conforme ao RGPD e as medidas técnicas e organizativas implementadas para proteção dos dados pessoais dos clientes verificados.

Os preços das soluções de verificação automatizada estão disponíveis na nossa página de preços. Consulte também o nosso guia de conformidade documental para um enquadramento integral de gestão documental alinhado com os requisitos da Lei 83/2017 e da regulação europeia.

Perguntas frequentes

A abordagem baseada no risco é obrigatória para todas as entidades obrigadas em Portugal?

Sim. O artigo 8.º da Lei n.º 83/2017 impõe a todas as entidades obrigadas — instituições financeiras, notários, advogados, agentes imobiliários, revisores oficiais de contas — a obrigação de aplicar medidas de diligência devida proporcionais ao risco identificado. A ausência de uma avaliação de riscos documentada constitui, por si só, um incumprimento passível de sanção pelo Banco de Portugal.

Qual a diferença entre a DDC simplificada e a DDC reforçada?

A diligência simplificada aplica-se quando tanto o cliente como o produto apresentam risco objetivamente baixo (entidades reguladas, administrações públicas), reduzindo a intensidade da verificação. A diligência reforçada é imposta para PPE, países terceiros de elevado risco e relações não presenciais de risco elevado: exige aprovação da direção de topo, documentação da origem dos fundos e vigilância contínua intensificada.

Com que frequência deve ser revista a classificação de risco de um cliente?

A revisão periódica dos perfis de risco deve realizar-se pelo menos anualmente para os clientes em diligência padrão, e com maior frequência — tipicamente de seis em seis meses — para os clientes em diligência reforçada. Qualquer evento desencadeador (mudança de atividade, aparecimento numa lista de sanções, alteração da titularidade efetiva) obriga a uma revisão imediata.

Quais as sanções do Banco de Portugal por incumprimento da ABR?

O Banco de Portugal pode aplicar sanções que vão da admoestação à coima até 5 milhões de euros ou 10% do volume de negócios anual para infrações muito graves. Nos últimos anos, várias entidades financeiras foram sancionadas especificamente por não possuírem uma avaliação de risco devidamente documentada ou por não aplicarem o nível de diligência adequado ao perfil de risco dos seus clientes.

---

Aviso legal: Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico. Os requisitos regulatórios podem mudar. Consulte um profissional qualificado para aconselhamento específico à sua situação.