CARF e DAC8: Conformidade Cripto em 2026
CARF DAC8 conformidade ativos criptográficos declarações 2026: obrigações de declaração para plataformas cripto em Portugal, dados KYC, prazos e sanções.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokA partir de 1 de janeiro de 2026, todas as plataformas de criptoativos que operem na União Europeia ficaram obrigadas a recolher e declarar dados fiscais dos seus utilizadores ao abrigo do CARF (Quadro de Declaração de Criptoativos da OCDE) e da DAC8 (Diretiva UE 2023/2226). A primeira troca efetiva de informações entre administrações fiscais ocorrerá até 30 de setembro de 2027. As plataformas portuguesas que não disponham de processos KYC robustos e automatizados correm o risco de incumprir prazos irreversíveis e de enfrentar sanções proporcionais ao montante não declarado.
Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulamentar. As referências regulamentares são exatas à data de publicação. Consulte um profissional qualificado para orientação adaptada à sua situação.
O que é o CARF e porque as plataformas de criptoativos estão obrigadas
O CARF — Crypto-Asset Reporting Framework — é o quadro internacional de declaração de criptoativos desenvolvido pela OCDE e adotado em agosto de 2022. O seu objetivo é transpor para o universo dos ativos digitais a lógica já existente na Norma Comum de Comunicação (CRS), que rege a troca automática de informações bancárias entre países.
Ao contrário do CRS, que se centra em contas bancárias tradicionais, o CARF foi desenhado especificamente para capturar a realidade das transações em criptoativos: a ausência de intermediários centralizados obrigatórios, a pseudonimidade dos endereços de carteira e a facilidade de movimentação transfronteiriça de valor sem recurso ao sistema bancário clássico.
A lógica subjacente é simples: se um contribuinte português detém ações numa corretora estrangeira, a administração fiscal portuguesa já recebe informação automática sobre esses ativos através do CRS. Sem o CARF, os mesmos contribuintes poderiam deter milhões em Bitcoin ou Ethereum sem que a Autoridade Tributária e Aduaneira (AT) alguma vez recebesse qualquer notificação. O CARF fecha essa lacuna.
Por que razão as plataformas estão diretamente obrigadas? Porque o CARF impõe obrigações não aos utilizadores finais, mas aos chamados Prestadores de Serviços de Criptoativos Obrigados à Declaração (Reporting Crypto-Asset Service Providers, ou RCASPs). São as plataformas que devem recolher, verificar e transmitir os dados — não os clientes individualmente.
Referência normativa: OCDE, Crypto-Asset Reporting Framework and Amendments to the Common Reporting Standard, agosto de 2022. Disponível em https://www.oecd.org/en/publications/crypto-asset-reporting-framework-and-amendments-to-the-common-reporting-standard_46cfe6cb-en.html.
DAC8: a transposição europeia do CARF em Portugal
A Diretiva (UE) 2023/2226 do Conselho, designada DAC8 por ser a oitava alteração à Diretiva de Cooperação Administrativa (DAC), transpõe o CARF para o ordenamento jurídico europeu e vincula os 27 Estados-Membros a aplicá-lo de forma harmonizada.
A DAC8 não se limita a copiar o CARF: vai mais longe, aplicando também as regras à troca de informações sobre moedas eletrónicas e a certos instrumentos de moeda fiduciária em formato digital. Em Portugal, a AT é a autoridade destinatária das declarações DAC8 — é à AT que as plataformas devem entregar a informação sobre os seus utilizadores residentes ou registados em Portugal.
O enquadramento regulatório nacional em que a DAC8 se insere inclui:
- Lei n.º 83/2017, de 18 de agosto: quadro português de prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo (ABC/CFT), que já abrange os prestadores de serviços de criptoativos para efeitos de registo e supervisão do Banco de Portugal.
- Regulamento (UE) 2023/1114 (MiCA): quadro harmonizado de autorização e supervisão de prestadores de serviços de criptoativos na UE, com a CMVM como autoridade competente para a generalidade dos criptoativos em Portugal (ver MiCA 2026: KYC e Regras de Identidade para Cripto).
- AMLA e AMLD6: o novo pacote antibranqueamento europeu reforça ainda mais a supervisão dos prestadores de serviços de criptoativos (ver AMLD6: Guia de Conformidade para Entidades Obrigadas).
A DAC8 não substitui nenhuma destas obrigações — acrescenta uma camada de declaração fiscal automática sobre o que já existe em matéria de ABC/CFT e licenciamento MiCA.
Que entidades estão sujeitas à declaração CARF/DAC8
O âmbito de aplicação da DAC8 é definido pelo conceito de Prestador de Serviços de Criptoativos Obrigado à Declaração (RCASP). Em termos práticos, estão abrangidas as seguintes categorias de entidades:
| Tipo de Entidade | Exemplos | Âmbito de Obrigação |
|---|---|---|
| Plataformas de troca centralizadas (CEX) | Exchanges que permitem a compra/venda de cripto contra moeda fiduciária ou outros criptoativos | Obrigação integral de declaração |
| Carteiras digitais custodiais | Prestadores que detêm chaves privadas em nome dos clientes | Obrigação integral de declaração |
| Corretores de criptoativos | Entidades que executam ordens em nome de clientes | Obrigação integral de declaração |
| Plataformas DeFi com nexo de controlo | Plataformas descentralizadas em que existe uma entidade que exerce controlo efetivo | Obrigação sujeita a avaliação caso a caso |
| Emissores de tokens de moeda eletrónica | Emissores de stablecoins referenciados a moeda fiduciária | Abrangidos pela extensão DAC8 ao CRS revisto |
Ficam fora do âmbito as carteiras não custodiais (self-custody) e as plataformas puramente peer-to-peer sem intermediário identificável. No entanto, a fronteira entre DeFi e CeFi é objeto de escrutínio crescente por parte das autoridades, pelo que qualquer plataforma com dúvidas sobre o seu enquadramento deve procurar parecer jurídico especializado.
Em Portugal, os prestadores de serviços de criptoativos (PSCA) estão registados no Banco de Portugal para efeitos de supervisão AML/CFT e, com o MiCA, passaram a necessitar de autorização da CMVM para a prestação de serviços de criptoativos na aceção do Regulamento.
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoDados KYC obrigatórios ao abrigo do CARF/DAC8
A DAC8 exige que as plataformas recolham, verifiquem e declarem um conjunto específico de dados sobre cada utilizador sujeito a declaração. O nível de rigor exigido vai claramente além de um simples registo de email:
Para pessoas singulares:
- Nome completo
- Morada de residência
- Data de nascimento
- País ou países de residência fiscal
- NIF (Número de Identificação Fiscal) — o equivalente português do TIN (Tax Identification Number)
Para pessoas coletivas:
- Denominação social
- Morada da sede social
- Número de identificação fiscal (NIPC em Portugal)
- País de constituição e de residência fiscal
- Informação sobre beneficiários efetivos (em articulação com as regras de titularidade efetiva da AMLD6)
O "interruptor de corte" (cut-off switch)
Um dos elementos mais operacionalmente exigentes da DAC8 é a obrigação de interruptor de corte: se um utilizador não fornecer o seu NIF após dois avisos formais da plataforma, esta é obrigada a bloquear as suas transações de troca (exchange transactions). A plataforma não pode simplesmente continuar a aceitar transações enquanto aguarda a conformidade do utilizador — tem de agir.
Este mecanismo tem implicações diretas para os fluxos de onboarding e para a gestão de utilizadores existentes (KYC remediation). Plataformas que não tenham sistemas automatizados de acompanhamento do estado de conformidade de cada utilizador enfrentarão dificuldades significativas na implementação prática deste requisito. Para uma visão mais ampla sobre conformidade documental, consulte o nosso Guia de Conformidade Documental.
A CheckFile disponibiliza verificação automática de NIF e documentos de identidade em tempo real, o que permite às plataformas implementar este fluxo de bloqueio sem intervenção manual.
Calendário e primeiras obrigações declarativas
O calendário de implementação da DAC8 é preciso e não comporta atrasos:
| Data | Obrigação |
|---|---|
| 1 de janeiro de 2026 | Início do período de recolha de dados: as plataformas devem começar a recolher e registar os dados KYC e de transação exigidos |
| 31 de dezembro de 2026 | Fim do primeiro período de declaração anual |
| 30 de setembro de 2027 | Prazo para a primeira troca automática de informações entre as administrações fiscais dos Estados-Membros da UE |
| Anualmente após 2027 | Repetição do ciclo: recolha durante o ano civil, declaração até 30 de setembro do ano seguinte |
O que isto significa na prática: as plataformas que não tivessem os seus sistemas KYC prontos em janeiro de 2026 já estão a acumular dados em falta que terão de recuperar antes de setembro de 2027. Quanto mais tarde for iniciado o processo de remediação, mais complexo e custoso se tornará.
A AT, enquanto administração fiscal portuguesa, receberá os dados de todas as plataformas com nexo a Portugal — seja por terem sede em Portugal, por estarem registadas junto do Banco de Portugal ou, nos casos de registo único europeu, por Portugal ser o Estado-Membro de registo para efeitos DAC8.
Sanções por incumprimento
A DAC8 estabelece um regime sancionatório proporcional ao montante não declarado. Ao contrário de multas fixas, as sanções são calculadas em função do valor das transações ou dos ativos em causa que não foram objeto de declaração adequada — o que cria um incentivo muito forte ao cumprimento integral, especialmente para plataformas com volumes de transação elevados.
Os Estados-Membros têm alguma margem na transposição do regime sancionatório, mas a diretiva exige que as sanções sejam "efetivas, proporcionadas e dissuasoras". Em Portugal, o enquadramento das coimas administrativas na área fiscal segue o Regime Geral das Infrações Tributárias (RGIT), que prevê sanções que podem ser agravadas em caso de incumprimento reiterado ou de ocultação deliberada de informação.
Para além das sanções administrativas, o incumprimento da DAC8 pode ter consequências ao nível da supervisão prudencial:
- Banco de Portugal: pode suspender ou cancelar o registo de prestadores de criptoativos por violação grave de obrigações regulamentares.
- CMVM: pode revogar a autorização MiCA em caso de incumprimento persistente das obrigações de transparência e declaração.
- AT: pode instaurar procedimentos de determinação e liquidação de imposto em falta, com juros e coimas adicionais, para os contribuintes cujos dados não foram declarados.
Em situações de suspeita de crime fiscal ou branqueamento de capitais, o DCIAP (Departamento Central de Investigação e Ação Penal) e a Polícia Judiciária podem ser envolvidos.
Como automatizar a verificação documental KYC para o CARF
A conformidade CARF/DAC8 não é um exercício de uma só vez — é um processo contínuo que acompanha todo o ciclo de vida do utilizador na plataforma: onboarding, verificação periódica, remediação de dados em falta e resposta a eventos desencadeadores (mudança de residência fiscal, transmissão de dados inconsistentes, etc.).
As plataformas que ainda dependem de verificação manual de documentos de identidade enfrentam três desafios concretos:
- Escala: verificar manualmente NIF, moradas e documentos de identidade para dezenas de milhares de utilizadores é operacionalmente inviável sem automação.
- Qualidade dos dados: erros de transcrição e documentos desatualizados geram dados incorretos que se propagarão para as declarações DAC8 — com potencial sancionatório.
- Rastreabilidade: a DAC8 exige que as plataformas possam demonstrar que realizaram diligência devida adequada. Um sistema manual raramente produz o nível de registo e auditoria necessário.
A CheckFile, através da sua solução KYC para instituições financeiras, permite a verificação automática de documentos de identidade, NIF e dados de morada em tempo real, com rastreio completo de cada verificação para efeitos de auditoria. O processo reduz em até 80% o tempo de onboarding, mantendo o nível de rigor exigido pela DAC8.
Para garantir a segurança dos dados recolhidos no processo KYC — um requisito tanto do RGPD como das boas práticas de conformidade —, a infraestrutura de segurança da CheckFile garante encriptação em repouso e em trânsito, controlo de acessos baseado em funções e logs de auditoria imutáveis.
Para organizações que pretendam avaliar os custos e benefícios de uma solução automatizada, a página de tarifas da CheckFile oferece planos adaptados a diferentes volumes de verificação, desde startups até exchanges de grande dimensão.
Perguntas frequentes
O CARF aplica-se a plataformas DeFi sediadas fora da UE que tenham utilizadores em Portugal?
Em princípio, sim, se a plataforma exercer controlo efetivo sobre os ativos e puder ser identificada como RCASP. A DAC8 prevê um mecanismo de registo único para plataformas de países terceiros que sejam consideradas obrigadas a declarar. No entanto, a aplicação prática a plataformas puramente descentralizadas sem entidade jurídica identificável continua a ser um tema em desenvolvimento nas orientações das autoridades fiscais europeias. Plataformas com utilizadores europeus significativos devem obter parecer jurídico específico.
O que acontece se um utilizador recusar fornecer o seu NIF?
Após dois avisos formais sem resposta, a plataforma é obrigada a bloquear as transações de troca desse utilizador — é o mecanismo de "interruptor de corte" previsto na DAC8. O utilizador pode continuar a deter os seus ativos na plataforma, mas não pode executar novas operações de troca até fornecer o NIF. A plataforma deve manter registo documental dos avisos enviados e das datas relevantes para efeitos de auditoria.
As obrigações DAC8 substituem as obrigações AML/KYC já existentes ao abrigo da Lei n.º 83/2017?
Não. As obrigações DAC8 acrescentam-se às obrigações AML/KYC existentes — não as substituem. Uma plataforma portuguesa deve simultaneamente: (i) cumprir as obrigações de due diligence e declaração de operações suspeitas ao Banco de Portugal ao abrigo da Lei n.º 83/2017; (ii) deter autorização MiCA e cumprir os requisitos de KYC do Regulamento (UE) 2023/1114; e (iii) declarar à AT os dados de transação e identidade ao abrigo da DAC8. Os dados recolhidos para efeitos AML/KYC podem ser reutilizados para cumprir as obrigações DAC8, desde que contenham todos os campos exigidos (em particular o NIF).
Como posso saber se a minha plataforma está tecnicamente pronta para a primeira declaração de setembro de 2027?
A preparação técnica envolve três dimensões: (i) recolha de dados — verificar se o sistema de onboarding captura e valida todos os campos obrigatórios (nome, morada, data de nascimento, NIF, país de residência fiscal); (ii) qualidade dos dados — rever os registos existentes de utilizadores para identificar campos em falta e lançar uma campanha de remediação; e (iii) formato de declaração — garantir que o sistema de extração de dados produz ficheiros no formato XML Schema definido pela OCDE/DAC8. A interoperabilidade com o portal de entrega da AT deve ser testada com antecedência suficiente.
Para uma visão integrada de todas as obrigações de conformidade documental que se aplicam à sua organização, consulte o nosso Guia de Conformidade Documental — a referência central para prestadores de serviços financeiros e de criptoativos em Portugal.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.