Skip to content
Deteção IA & DeepfakeNovo

Sinais IA, sintéticos, deepfakes

Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Conformidade14 min de leitura

Conformidade KYC/AML para Neobancos e Bancos Digitais: Guia Completo 2026

Guia completo das obrigações KYC/AML para neobancos e bancos digitais em Portugal e na UE em 2026: AMLD6, AMLR, Banco de Portugal, onboarding digital, deteção de vivacidade e sanções regulatórias.

Equipe CheckFile
Equipe CheckFile·
Illustration for Conformidade KYC/AML para Neobancos e Bancos Digitais: Guia Completo 2026 — Conformidade

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Os neobancos e bancos digitais estão sujeitos às mesmas obrigações de prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo (BCFT) que a banca tradicional, com a particularidade de que o seu modelo de onboarding inteiramente digital os expõe a riscos específicos que os reguladores europeus têm vindo a sancionar de forma explícita. A transposição da Diretiva (UE) 2024/1640 (AMLD6) até 10 de julho de 2027 e a aplicação direta do Regulamento (UE) 2024/1624 (AMLR) a partir da mesma data estabelecem um quadro harmonizado que obriga a rever todos os procedimentos em vigor. Este guia detalha os requisitos aplicáveis em Portugal, as principais causas de sanção e como construir um programa de conformidade robusto.

Enquadramento regulatório aplicável a neobancos em Portugal e na UE

O enquadramento regulatório dos neobancos em Portugal e na UE articula-se em três níveis: regulamentação europeia de aplicação direta, diretivas de transposição nacional e legislação portuguesa específica.

O Regulamento (UE) 2024/1624 (AMLR) será de aplicação direta em todos os Estados-Membros a partir de 10 de julho de 2027, eliminando as divergências de transposição que permitiram a alguns neobancos beneficiar de quadros nacionais menos exigentes para operar em mercados com requisitos mais rigorosos. (EUR-Lex, AMLR)

A nível europeu, os instrumentos fundamentais são:

  • AMLD6 — Diretiva (UE) 2024/1640: transposição obrigatória até 10 de julho de 2027. Alarga o catálogo de infrações subjacentes ao branqueamento, endurece as sanções máximas para pessoas coletivas (até 10% do volume de negócios anual) e reforça a cooperação entre unidades de informação financeira.
  • AMLR — Regulamento (UE) 2024/1624: aplicação direta a partir de 10 de julho de 2027. Harmoniza os procedimentos de diligência devida, fixa os limiares para operações em numerário em 10.000 euros em toda a UE e estabelece as condições do onboarding digital sem presença física.
  • AMLA — Regulamento (UE) 2024/1620: cria a Autoridade Europeia de Combate ao Branqueamento de Capitais, que assumirá a supervisão direta de até 40 entidades transfronteiriças de maior risco a partir de 1 de janeiro de 2028.

A nível nacional, o quadro é composto por:

  • Lei n.º 83/2017, de 18 de agosto, de combate ao branqueamento de capitais e ao financiamento do terrorismo (BCFT): diploma base que transpõe as diretivas europeias para o direito português.
  • Banco de Portugal: supervisor prudencial e autoridade competente para BCFT na generalidade das instituições de crédito e instituições de pagamento.
  • CMVM (Comissão do Mercado de Valores Mobiliários): supervisora para entidades que prestam serviços de investimento, incluindo plataformas financeiras digitais com componente de intermediação.
  • ASF (Autoridade de Supervisão de Seguros e Fundos de Pensões): competente para entidades de seguros que oferecem produtos de poupança com risco de branqueamento.
  • UIF (Unidade de Informação Financeira): integrada na Polícia Judiciária, é o centro nacional de receção de comunicações de operações suspeitas.

As orientações da EBA EBA/GL/2021/21 (atualizadas em outubro de 2023) estabelecem que os processos de onboarding digital sem agente humano em tempo real devem incorporar deteção de vivacidade ("liveness detection") para mitigar o risco de fraude com imagens estáticas ou vídeos pré-gravados. (EBA, EBA/GL/2021/21)

Requisitos KYC para o onboarding digital

Os requisitos KYC para o onboarding digital de neobancos seguem o esquema de diligência devida ordinária (CDD) ou reforçada (EDD) em função do perfil de risco do cliente, com especificidades decorrentes da ausência de contacto presencial.

Identificação e verificação de identidade em modo remoto

O artigo 25.º da Lei n.º 83/2017 permite a identificação não presencial desde que o processo garanta um nível de segurança equivalente à verificação presencial. Os documentos aceites para pessoas singulares são o Cartão de Cidadão, passaporte ou título de residência válido. Para pessoas coletivas: certidão permanente do registo comercial, NIPC, identificação dos representantes legais e dos beneficiários efetivos com participação superior a 25%.

As orientações EBA/GL/2021/21, na atualização de outubro de 2023, exigem que qualquer processo de onboarding digital sem intervenção humana em tempo real incorpore deteção de vivacidade certificada, como medida indispensável para mitigar a fraude de identidade sintética e os ataques de apresentação.

A deteção de vivacidade ativa exige que o cliente execute ações aleatórias durante a captura (piscar os olhos, rodar a cabeça, ler uma frase), dificultando o uso de fotografias estáticas ou deepfakes de baixa qualidade. A verificação passiva apenas satisfaz os requisitos EBA quando acompanhada de análise de metadados do dispositivo e verificação cruzada de documentos.

A plataforma CheckFile suporta mais de 3.200 tipos de documentos em 32 jurisdições, permitindo verificar documentos de identidade de clientes internacionais com o mesmo rigor analítico que os documentos portugueses, incluindo análise multicamada (estrutural, metadados, consistência entre documentos).

Diligência devida simplificada e reforçada

Os neobancos podem aplicar diligência simplificada (SDD) apenas quando o perfil de risco do cliente, o produto e a geografia o justificam de forma documentada. A AMLD6 restringe o âmbito da SDD: ficam excluídos todos os clientes com ligação a jurisdições de alto risco GAFI, pessoas politicamente expostas (PPE) e seus associados, e estruturas de propriedade opacas.

A diligência reforçada (EDD) é obrigatória para:

  • Clientes provenientes de países incluídos nas listas de alto risco da Comissão Europeia ou do GAFI.
  • Pessoas Politicamente Expostas (PPE) e os seus familiares de primeiro grau e colaboradores próximos.
  • Operações sem justificação económica aparente que ultrapassem 15.000 euros.
  • Estruturas de propriedade que dificultem a identificação do beneficiário efetivo real.
Tipo de cliente Nível de diligência Revisão periódica Aprovação pela direção
Baixo risco (residente PT, produto padrão) Simplificada (SDD) De 5 em 5 anos Não exigida
Risco normal Ordinária (CDD) De 3 em 3 anos Não exigida
Alto risco (PPE, jurisdição de risco) Reforçada (EDD) Anual Sim, direção de topo
Estrutura opaca ou propriedade não identificável Reforçada (EDD) Semestral Sim, comité de compliance

Para aprofundar os procedimentos de diligência devida, consulte o nosso guia sobre diligência devida reforçada para clientes de alto risco.

Obrigações AML: monitorização e comunicações de operações suspeitas

As obrigações AML dos neobancos em matéria de monitorização de transações e comunicação de operações suspeitas regem-se pelos artigos 29.º, 43.º e 44.º da Lei n.º 83/2017.

Monitorização contínua de transações

O artigo 29.º da Lei n.º 83/2017 exige o acompanhamento permanente da relação de negócio, incluindo o escrutínio das transações para garantir que são coerentes com o conhecimento que a entidade tem do cliente, da sua atividade económica e do seu perfil de risco.

Os sistemas de monitorização de transações dos neobancos devem ser capazes de detetar, no mínimo:

  • Operações atípicas em comparação com o comportamento histórico do cliente (anomalias estatísticas).
  • Transferências fracionadas que possam constituir estratificação (smurfing), em particular séries de operações abaixo de 1.000 euros em intervalos de 24 a 72 horas.
  • Envios internacionais frequentes para jurisdições de alto risco GAFI.
  • Entradas de numerário recorrentes seguidas de transferências imediatas.
  • Utilização da conta como mero intermediário de trânsito sem atividade económica justificada.

O Banco de Portugal, na Carta-Circular n.º 12/2025/DSC, alertou as entidades supervisionadas para o aumento de tentativas de branqueamento através da abertura de contas em múltiplos neobancos com a mesma identidade ou com identidades sintéticas, tirando partido dos processos de onboarding totalmente automatizados. (Banco de Portugal)

Comunicação de operações suspeitas à UIF

As entidades obrigadas devem comunicar à UIF, através do sistema SIUIF, todas as operações sobre as quais existam suspeitas ou certezas de que os fundos provêm de atividade criminosa (artigo 43.º da Lei n.º 83/2017). A comunicação deve ser efetuada antes da execução da operação sempre que possível, sem informar o cliente — o "tipping off" é expressamente proibido pelo artigo 86.º da mesma lei.

Para um guia detalhado sobre a gestão de comunicações de operações suspeitas, consulte o nosso artigo sobre conformidade AML e comunicações à UIF.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Pedir um piloto gratuito

Falhas comuns e sanções regulatórias

As falhas mais frequentes em neobancos que resultaram em sanções regulatórias concentram-se em três áreas: onboarding insuficiente, monitorização deficiente e comunicações tardias ou incompletas ao supervisor.

Casos de referência na indústria

O N26 foi multado em 4,25 milhões de euros pelo BaFin alemão em 2021 por falhas sistemáticas na notificação de operações suspeitas de branqueamento de capitais. A autoridade alemã verificou que o volume de operações suspeitas comunicadas era substancialmente inferior ao esperado para uma entidade com o tamanho e o perfil de risco do N26, apontando para deficiências nos sistemas de deteção. (BaFin)

O Starling Bank (Reino Unido) foi sancionado com 29 milhões de libras pela FCA em outubro de 2024 por ter ativado contas de clientes de alto risco sem completar os procedimentos de diligência devida exigidos e por manter controlos de sanções financeiras com deficiências estruturais. O caso evidenciou que a velocidade de crescimento dos neobancos pode criar lacunas de conformidade quando os processos não escalam ao mesmo ritmo que a base de clientes.

Causas frequentes de incumprimento

Os auditores de conformidade identificam recorrentemente as seguintes debilidades em neobancos:

  • Onboarding excessivamente automatizado: os limiares de rejeição automática são demasiado baixos ou demasiado altos, gerando fricção desnecessária para clientes legítimos ou, no sentido oposto, aceitando perfis que deveriam passar por revisão manual.
  • Atualização deficiente de processos: os clientes cujo onboarding foi feito antes de 2020 têm frequentemente documentação de identidade expirada ou perfis de risco que não foram revistos após alterações na situação pessoal ou profissional.
  • Ausência de controlos sobre beneficiários efetivos em contas de empresa: muitos neobancos oferecem contas de negócio mas aplicam apenas CDD individual ao representante, sem verificar a estrutura de propriedade completa.
  • Alertas de monitorização não geridos: os sistemas geram alertas, mas a proporção de alertas revistos e encerrados com documentação adequada é baixa, o que numa inspeção do Banco de Portugal é interpretado como ausência de controlo efetivo.

Como construir um programa de conformidade sólido

Um programa de conformidade KYC/AML robusto para um neobanco deve articular-se em torno de cinco componentes interdependentes.

1. Política de aceitação de clientes (PAC) documentada

A PAC deve definir os critérios de admissão e rejeição por categoria de cliente, produto e geografia. Deve ser aprovada pelo órgão de administração e revista pelo menos anualmente. A ausência de uma PAC formal é um dos primeiros elementos que o Banco de Portugal verifica numa inspeção.

2. Avaliação contínua do risco com modelos dinâmicos

O modelo de risco de clientes não pode ser estático. Deve ser atualizado em função de alterações na atividade transacional, dos eventos de alerta do sistema de monitorização e das mudanças nas circunstâncias do cliente. Os modelos estáticos que atribuem uma pontuação de risco no momento do onboarding e não a reveem são insuficientes ao abrigo do artigo 30.º da Lei n.º 83/2017.

3. Verificação documental com análise multicamada

A verificação de documentos de identidade deve ir além da leitura OCR do Cartão de Cidadão ou passaporte. A análise multicamada inclui a verificação da integridade estrutural do documento (tipografia, zonas de segurança, MRZ), a análise de metadados digitais (para documentos enviados como imagem), e a consistência entre os dados do documento e outras fontes (bases de dados de identidade, histórico de moradas).

A plataforma CheckFile para soluções bancárias KYC combina estes três níveis de análise num fluxo automatizado que reduz os falsos positivos sem comprometer a taxa de deteção de documentos fraudulentos.

4. Formação contínua da equipa de compliance

O artigo 47.º da Lei n.º 83/2017 exige que todos os colaboradores que interajam com clientes ou com o sistema de alertas recebam formação específica em BCFT pelo menos uma vez por ano. A formação deve incluir cenários atualizados com as tipologias de branqueamento mais recentes e as obrigações decorrentes da AMLD6.

5. Infraestrutura de dados e auditoria

A AMLD6 (Diretiva (UE) 2024/1640) exige que as entidades obrigadas consigam responder a pedidos de informação do Banco de Portugal ou da AMLA em prazos muito curtos, o que implica dispor de sistemas de gestão documental que permitam recuperar qualquer processo de cliente com todo o seu histórico de alterações de forma imediata.

Toda a documentação de clientes, alertas gerados e resoluções adotadas deve ser conservada durante um mínimo de sete anos a contar do terminus da relação de negócio (artigo 51.º da Lei n.º 83/2017). Este prazo de sete anos é superior ao mínimo europeu de cinco anos previsto na AMLD6, pelo que a legislação portuguesa permanece mais exigente neste ponto.

Para uma visão integrada da construção de programas de conformidade documental, consulte o guia estruturante de conformidade documental para entidades financeiras.

Conheça também o caso de estudo de onboarding KYC para fintech com CheckFile, onde se detalham os resultados obtidos em redução de tempos e melhoria nas taxas de deteção.

Consulte a nossa página de segurança e certificações para conhecer os padrões técnicos que suportam a infraestrutura de verificação documental da CheckFile.

Perguntas frequentes

Os neobancos estão sujeitos às mesmas obrigações BCFT que a banca tradicional?

Sim. Os neobancos e bancos digitais que operam com licença bancária, de instituição de moeda eletrónica (IME) ou de instituição de pagamento (IP) em Portugal estão integralmente sujeitos à Lei n.º 83/2017 e às orientações do Banco de Portugal, independentemente de o modelo de negócio ser exclusivamente digital. A forma de distribuição do serviço — aplicação móvel, plataforma web — não altera as obrigações de fundo, embora determine os mecanismos admissíveis de verificação de identidade em modo remoto.

O que exigem as orientações EBA para o onboarding digital sem presença física?

As orientações EBA/GL/2021/21, na atualização de outubro de 2023, exigem que os processos de onboarding digital sem intervenção humana em tempo real incorporem deteção de vivacidade certificada (liveness detection), verificação da autenticidade do documento de identidade com técnicas forenses automatizadas, e uma avaliação do risco de fraude baseada em sinais do dispositivo (endereço IP, geolocalização, impressão digital do dispositivo). A ausência de deteção de vivacidade em processos de onboarding não supervisionados constitui incumprimento direto destas orientações.

Quando passará a AMLA a supervisionar diretamente os neobancos?

A Autoridade Europeia de Combate ao Branqueamento de Capitais (AMLA), criada pelo Regulamento (UE) 2024/1620, assumirá a supervisão direta de até 40 entidades transfronteiriças de maior risco a partir de 1 de janeiro de 2028. Os critérios de seleção priorizam entidades que operam em seis ou mais Estados-Membros e com volumes significativos de transações internacionais. Os neobancos com operações pan-europeias devem antecipar esta supervisão adaptando já as suas estruturas de governação de compliance.

Qual é a sanção máxima por incumprimento BCFT em Portugal?

A Lei n.º 83/2017, no seu artigo 87.º, classifica as infrações em leves, graves e muito graves. As infrações muito graves podem resultar em coimas de 5 milhões de euros para pessoas singulares e de 5 milhões de euros ou 10% do volume de negócios anual para pessoas coletivas (o montante que for mais elevado), publicação da sanção com identificação da entidade, revogação da autorização e inibição dos administradores responsáveis. A AMLD6 elevará os limiares máximos para pessoas coletivas em determinadas situações, exigindo adaptação do regime sancionatório português antes de julho de 2027.

Como automatizar a verificação documental no onboarding sem perder taxa de deteção?

A automatização eficiente do onboarding KYC combina verificação documental com análise multicamada (estrutural, metadados, consistência entre documentos), deteção de vivacidade ativa e uma camada de revisão manual para os casos que ultrapassem um limiar de risco predefinido. A plataforma CheckFile integra estes três componentes num fluxo unificado, com suporte para mais de 3.200 tipos de documentos em 32 jurisdições. Consulte os planos e preços para conhecer as opções disponíveis para neobancos e entidades fintech.

Este artigo tem caráter informativo e não constitui assessoria jurídica. As entidades obrigadas devem consultar assessores especializados em BCFT para adaptar os procedimentos à sua situação específica.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Artigos relacionados

Conformidade8 min

Know Your Supplier (KYS): verificação de fornecedores e conformidade

Guia completo sobre KYS em Portugal: obrigações legais, Lei 83/2017, Banco de Portugal, due diligence e passos práticos para verificar fornecedores em 2026.

Ler
Conformidade8 min

Conformidade AML para Gestores de Patrimônio e Assessores 2026

Guia completo das obrigações BCFT para gestores de patrimônio, CIF e SGIIC em Portugal 2026: KYC, diligência reforçada, comunicações à UIF e automação documental.

Ler
Conformidade9 min

Diretiva 2019/1937 sobre denunciantes: conformidade e documentação 2026

Obrigações documentais completas para cumprir a Lei n.º 93/2021 e a Diretiva UE 2019/1937: canais de comunicação, prazos, registos e sanções em Portugal.

Ler