Skip to content
Deteção IA & DeepfakeNovo

Sinais IA, sintéticos, deepfakes

Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Conformidade8 min de leitura

Know Your Supplier (KYS): verificação de fornecedores e conformidade

Guia completo sobre KYS em Portugal: obrigações legais, Lei 83/2017, Banco de Portugal, due diligence e passos práticos para verificar fornecedores em 2026.

Equipe CheckFile
Equipe CheckFile·
Illustration for Know Your Supplier (KYS): verificação de fornecedores e conformidade — Conformidade

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

O Know Your Supplier (KYS) designa o conjunto de procedimentos de diligência devida que uma empresa aplica aos seus fornecedores e prestadores de serviços antes e durante uma relação comercial. À semelhança do KYC (Know Your Customer) no setor financeiro, o KYS visa identificar os riscos jurídicos, financeiros e reputacionais associados a cada terceiro. Em Portugal, a Lei n.º 83/2017 de prevenção do branqueamento de capitais e do financiamento do terrorismo e as obrigações emergentes da Diretiva CSDDD (transposta progressivamente até 2026) tornaram esta diligência incontornável para as empresas de maior dimensão e, de forma crescente, para as suas cadeias de fornecimento.

Segundo dados do Centro Nacional de Cibersegurança (CNCS), a fraude ao falso fornecedor — em que criminosos se fazem passar por fornecedores legítimos para desviar pagamentos — registou um crescimento significativo em Portugal em 2024 e 2025, com perdas médias por empresa que ultrapassam os 15.000 €. Um programa KYS estruturado é uma das respostas mais eficazes para prevenir estes desvios.

O que cobre o KYS e por que é necessário em Portugal

Um programa KYS robusto aborda três dimensões de risco: a identidade legal do fornecedor (NIPC, certidão permanente do registo comercial, beneficiários efetivos), a solidez financeira (contas depositadas na Conservatória, rating creditício, ausência de processos de insolvência) e a reputação regulatória (listas de sanções, media negativos, ligações a pessoas politicamente expostas).

A Lei n.º 83/2017 obriga as entidades financeiras, seguradoras, notários, advogados e demais entidades obrigadas a identificar e verificar a identidade dos seus clientes e, em determinadas circunstâncias, dos terceiros com quem operam. O Banco de Portugal supervisiona o cumprimento por parte das instituições financeiras e pode aplicar sanções que chegam a 5 milhões de euros para infrações muito graves nos termos do artigo 168.º da Lei n.º 83/2017.

A Diretiva de Diligência Devida Empresarial em matéria de Sustentabilidade (CSDDD), aprovada pelo Parlamento Europeu em 2024, obriga as grandes empresas europeias a realizar due diligence sobre as suas cadeias de abastecimento em matéria de direitos humanos e ambiente. Portugal iniciou a transposição durante 2025-2026. A CMVM supervisiona as obrigações de reporte ESG para as sociedades cotadas.

Diploma Aplicação Obrigação KYS principal
Lei n.º 83/2017 (BCFT) Entidades obrigadas (bancos, seguradoras, notários, advogados) Identificação e verificação de clientes e terceiros
Código dos Contratos Públicos Empresas a concurso público Certificação de cumprimento fiscal e laboral
CSDDD (transposição 2025-2026) Empresas >500 trabalhadores e >150M€ volume de negócios Due diligence de sustentabilidade na cadeia de abastecimento
RGPD (Lei n.º 58/2019) Todas as empresas Proteção de dados pessoais tratados no processo KYS

As 5 etapas de um processo KYS eficaz

Etapa 1 — Recolha documental inicial. Antes de qualquer encomenda ou compromisso contratual, solicite sistematicamente: certidão permanente de registo comercial (via eportugal.gov.pt), NIPC ativo, atas com identificação dos gerentes/administradores, declaração de beneficiários efetivos conforme o Registo Central do Beneficiário Efetivo (RCBE), e NIB/IBAN acompanhado de carta-confirmação bancária.

Etapa 2 — Verificação de dados legais. Confirme o NIPC junto da Autoridade Tributária e Aduaneira e verifique a situação registal na Conservatória competente. Consulte o RCBE (rcbe.justica.gov.pt) para confirmar os beneficiários efetivos. Para fornecedores estrangeiros, utilize o registo nacional equivalente e a base de dados do SARI (Sistema de Alerta de Risco Imobiliário) quando aplicável.

Etapa 3 — Triagem de sanções e PEPs. A triagem deve cobrir as listas da União Europeia (sanctionsmap.eu), a lista SDN da OFAC para transações em dólares, as listas das Nações Unidas e o Registo de Titulares de Cargos Políticos para deteção de Pessoas Politicamente Expostas. As entidades financeiras têm obrigação legal desta triagem ao abrigo da Lei n.º 83/2017, artigo 26.º e seguintes.

Etapa 4 — Análise de riscos ESG e reputacionais. Inclua pesquisas de media negativos (adverse media screening) e, consoante o risco, um questionário de autoavaliação de sustentabilidade alinhado com a ISO 20400:2017 (Compras Sustentáveis). As empresas sujeitas a contratação pública devem também verificar o cumprimento das obrigações laborais e de igualdade nos termos do Código dos Contratos Públicos.

Etapa 5 — Monitorização contínua. Configure alertas automáticos sobre alterações no registo comercial (mudanças de gerência, dissolução), publicações no Diário da República (dre.pt) e atualizações de listas de sanções. Qualquer pedido de alteração de dados bancários deve ativar um protocolo de verificação independente — é precisamente neste momento que se concentra a fraude ao falso fornecedor.

A fraude ao falso fornecedor: o risco mais frequente

Nos fóruns de compliance e tesouraria, a questão mais recorrente é: «Como validamos uma alteração de NIB sem risco de transferir para um defraudador?»

Três controlos operacionais previnem a maioria destes casos:

  1. Confirmação telefónica obrigatória. Perante qualquer pedido de alteração bancária por email, telefone para o número registado no seu ERP, nunca para o número indicado no email.
  2. Dupla autorização. Qualquer modificação de dados bancários deve contar com aprovação de duas pessoas distintas, incluindo um responsável financeiro.
  3. Verificação automatizada de IBAN. Utilize um serviço de verificação documental automatizada que cruze a titularidade da conta com os dados legais do fornecedor. A CheckFile suporta mais de 3.200 tipos de documentos em 32 jurisdições, incluindo os documentos empresariais portugueses.

A Diretiva AMLD6 (Diretiva (UE) 2024/1640), com entrada em vigor progressiva a partir de 2027, reforça as obrigações de due diligence das entidades financeiras quanto aos seus prestadores de serviços e contrapartes de elevado risco.

Para mais informação sobre a deteção de documentos falsificados, consulte o nosso artigo sobre técnicas de deteção de fraude documental com IA.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Pedir um piloto gratuito

KYS, KYC e KYB: distinções essenciais

Os três acrónimos cobrem âmbitos distintos mas complementares:

  • KYC (Know Your Customer): Verificação de identidade de clientes, obrigatória para entidades financeiras ao abrigo da Lei n.º 83/2017. Cobre identificação, beneficiários efetivos e monitorização transacional.
  • KYB (Know Your Business): Aplicado no onboarding de clientes empresariais, verifica a existência legal, estrutura de propriedade e conformidade regulatória da empresa cliente. Veja o nosso guia KYB.
  • KYS (Know Your Supplier): Aplicado a fornecedores e subcontratados, cobre o risco da cadeia de abastecimento, anticorrupção e obrigações de sustentabilidade. Não se limita a setores regulados.

Um programa de gestão de risco de terceiros (TPRM) maduro integra as três dimensões sob um único enquadramento, habitualmente gerido em conjunto pelas funções de Compliance, Jurídico e Compras.

Construir e conservar o dossier KYS

A Lei n.º 83/2017 estabelece para as entidades obrigadas um prazo de conservação de sete anos após o termo da relação de negócio (artigo 51.º). Para empresas não sujeitas a esta lei, a recomendação prática é conservar a documentação KYS durante a vigência do contrato mais cinco anos adicionais, alinhando com o prazo geral de prescrição civil.

O dossier KYS deve incluir:

  • Documentos recolhidos e data de verificação
  • Resultados das triagens de sanções e media negativos
  • Identidade de quem realizou e validou cada verificação
  • Histórico de alterações bancárias com evidência de verificação associada

A CheckFile armazena todos os registos de verificação numa pista de auditoria com integridade garantida, conforme a ISO 27001, para cumprir os requisitos de rastreabilidade do seu dossier KYS. Consulte os planos de preços para fluxos de verificação de fornecedores.

Perguntas frequentes

O KYS é obrigatório para todas as empresas portuguesas?

A Lei n.º 83/2017 estabelece obrigações diretas para as entidades financeiras e demais entidades obrigadas. Para as restantes empresas, as obrigações surgem indiretamente: a CSDDD imporá due diligence de sustentabilidade às grandes empresas, e as PME que trabalham com grandes clientes recebem cada vez mais questionários KYS como requisito de qualificação.

Como verifico os beneficiários efetivos de um fornecedor em Portugal?

O Registo Central do Beneficiário Efetivo (RCBE), gerido pelo Instituto dos Registos e do Notariado, contém a informação sobre beneficiários efetivos de pessoas coletivas. O acesso público foi ampliado com a transposição da 5.ª Diretiva AML (Diretiva (UE) 2018/843).

Qual a diferença entre qualificação de fornecedores e KYS?

A qualificação de fornecedores avalia a capacidade técnica, qualidade e condições comerciais. O KYS centra-se especificamente na identidade legal, solvência, beneficiários efetivos e risco regulatório (sanções, anticorrupção, BCFT). Ambos podem integrar-se num processo unificado de gestão de fornecedores, mas abordam dimensões de risco diferentes.

Com que frequência renovar a verificação KYS?

Pelo menos uma vez por ano para todos os fornecedores ativos, e de imediato perante qualquer evento desencadeante: mudança de gerência, alteração de dados bancários, renovação contratual ou alertas em media negativos. Os fornecedores de maior risco (setores sensíveis, países de risco elevado segundo o GAFI) requerem monitorização contínua com alertas automáticos.

O que fazer se um fornecedor não passar o processo KYS?

Documente as conclusões, escale para a direção e o assessor jurídico, e aplique uma decisão baseada no risco: diligência reforçada para casos limite, suspensão de pagamentos pendentes de esclarecimento em caso de anomalias bancárias, e rescisão da relação perante incumprimentos graves de sanções. Neste último caso, as entidades obrigadas devem comunicar a operação suspeita ao Departamento Central de Investigação e Ação Penal (DCIAP) e à Unidade de Informação Financeira (UIF) nos termos da Lei n.º 83/2017.

Este artigo tem carácter informativo e não constitui aconselhamento jurídico. As obrigações legais variam conforme a dimensão da empresa, o setor e a natureza das relações comerciais. Consulte um advogado especializado para uma análise adaptada à sua situação.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Artigos relacionados

Conformidade8 min

Conformidade AML para Gestores de Patrimônio e Assessores 2026

Guia completo das obrigações BCFT para gestores de patrimônio, CIF e SGIIC em Portugal 2026: KYC, diligência reforçada, comunicações à UIF e automação documental.

Ler
Conformidade9 min

Diretiva 2019/1937 sobre denunciantes: conformidade e documentação 2026

Obrigações documentais completas para cumprir a Lei n.º 93/2021 e a Diretiva UE 2019/1937: canais de comunicação, prazos, registos e sanções em Portugal.

Ler
Conformidade8 min

Comunicação de Operações Suspeitas: Guia de Conformidade AML 2026

Como comunicar operações suspeitas em Portugal em 2026: obrigações ao abrigo da Lei 83/2017, reporte ao DCIAP e UIF, portal único de comunicação e sanções aplicáveis.

Ler