Certidão de registo criminal falsa: deteção de fraude com IA
Como detetar uma certidão de registo criminal falsa ou alterada por IA em processos de recrutamento: sinais de alerta, quadro legal e protocolo para RH.

Resumir este artigo com
Um candidato que precisa de comprovar idoneidade para uma vaga com contacto com menores, para um posto em segurança privada ou para uma função financeira regulada tem, por vezes, um incentivo direto para adulterar a sua certidão de registo criminal — ou, cada vez mais, para gerar uma versão sintética que oculta uma condenação. Ao mesmo tempo, a maioria dos empregadores privados portugueses nem sequer pode legalmente exigir este documento, o que desloca o risco para outros papéis do processo de recrutamento e cria confusão sobre o que é, de facto, permitido pedir. Este artigo explica o que é a certidão de registo criminal, quem a pode exigir, que sinais denunciam uma falsificação física ou gerada por IA, e que protocolo os departamentos de RH e as empresas de background check podem aplicar.
Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico ou regulatório.
O que é a certidão de registo criminal e onde se pede
A certidão de registo criminal é o documento emitido pela Direção-Geral da Administração da Justiça (DGAJ), do Ministério da Justiça, que certifica a existência ou ausência de condenações penais de um cidadão. O pedido pode ser feito por qualquer pessoa maior de 16 anos sobre si própria, através do Portal da Justiça, do balcão de identificação criminal ou por via consular, sendo o certificado devolvido em PDF assinado digitalmente e acompanhado de um código de acesso.
O código de acesso inscrito no certificado permite consultar online a versão atualizada do documento durante 90 dias a partir da data de emissão, através do portal registocriminal.justica.gov.pt, segundo a informação oficial disponibilizada pela DGAJ. Este código é, na prática, o único mecanismo de verificação de autenticidade acessível a terceiros sem intervenção judicial — e é sistematicamente ignorado por quem se limita a olhar para o documento em PDF ou papel.
Quem pode exigir a certidão — e porque isso importa para o risco de fraude
A regra geral em Portugal é que o empregador privado não pode exigir a certidão de registo criminal a um candidato, salvo exceções previstas por lei. O princípio decorre do artigo 17.º do Código do Trabalho, que limita a recolha de dados pessoais do candidato ao estritamente necessário para avaliar a aptidão para o posto em causa, e da Lei n.º 37/2015, de 5 de maio (Lei da Identificação Criminal), que revogou a antiga Lei n.º 57/98 e regula o acesso à informação registada.
Pedir a certidão de registo criminal fora dos casos previstos por lei — funções com contacto regular com menores, segurança privada e certas funções reguladas do setor financeiro — constitui violação do artigo 17.º do Código do Trabalho, consultável no Diário da República. Esta limitação legal tem uma consequência prática para quem faz verificação de antecedentes: quando o certificado não pode ser exigido, o candidato que tem algo a esconder falsifica com mais frequência outros documentos — declarações de experiência profissional, cartas de recomendação, certidões de habilitações — em vez do próprio registo criminal, precisamente porque este raramente chega a ser pedido. Já nos setores onde a certidão é legalmente exigível, é o próprio documento que se torna alvo direto de fraude.
| Setor / função | Pode exigir certidão de registo criminal | Base legal |
|---|---|---|
| Contacto regular e direto com menores | Sim | Regime de acesso a atividades com menores |
| Segurança privada | Sim | Regime jurídico da atividade de segurança privada |
| Funções reguladas no setor financeiro | Sim, quando exigido por idoneidade regulatória | Regulação setorial específica |
| Recrutamento em empresas privadas, regra geral | Não | Art. 17.º do Código do Trabalho |
| Voluntariamente entregue pelo próprio candidato | Sim, se apresentada por iniciativa própria | Lei n.º 37/2015 |
Sinais de alerta: certidão adulterada fisicamente vs. gerada por IA
Uma certidão de registo criminal falsificada revela sempre algum desvio face ao original, independentemente da técnica usada para a produzir. A tabela seguinte distingue os sinais típicos de cada método, porque a forma de verificação muda consoante a origem da fraude.
| Sinal de alerta | Adulteração física ou de PDF simples | Documento gerado ou alterado por IA |
|---|---|---|
| Código de acesso | Ausente, ilegível ou inexistente na consulta online | Presente mas inválido, ou copiado de um certificado alheio |
| Tipografia e layout | Fontes inconsistentes com o modelo oficial da DGAJ | Layout quase idêntico mas com espaçamento e alinhamento irregulares em campos-chave |
| Assinatura digital do PDF | Ausente ou removida na reimpressão do documento | Documento recriado sem cadeia de assinatura digital válida, ou com metadados fabricados |
| Conteúdo do registo | Rasura ou remoção visível de uma menção de condenação | Texto "sem condenações" gerado de forma coerente mas sem correspondência com o código de acesso |
| Dados pessoais | Nome ou data de nascimento alterados manualmente | Campos gerados com dados plausíveis mas incoerentes com outros documentos do processo (Cartão de Cidadão, NIF) |
| Verificação cruzada | Falha imediata ao introduzir o código no portal oficial | Código inexistente, expirado ou associado a outra pessoa no sistema da DGAJ |
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoQuadro legal: falsificação de documento e limites RGPD
A falsificação da certidão de registo criminal enquadra-se no crime de falsificação de documento previsto no artigo 256.º do Código Penal, sendo agravada por se tratar de documento autêntico emitido por entidade pública. A falsificação de documento autêntico é punida com pena de prisão de 6 meses a 5 anos ou multa de 60 a 600 dias, nos termos do artigo 256.º, n.º 3, do Código Penal, conforme o lexicão jurídico do Diário da República. A este crime soma-se, quando aplicável, a burla por obtenção de vantagem patrimonial através do documento falsificado — por exemplo, a admissão numa função que exige idoneidade comprovada.
Do lado da recolha de dados, a verificação de antecedentes criminais implica o tratamento de dados sensíveis sujeitos ao RGPD e à Lei n.º 58/2019. O empregador que recolhe legitimamente uma certidão de registo criminal — porque a função se enquadra numa das exceções legais — deve limitar o tratamento à finalidade declarada, obter base legal adequada e não conservar o documento além do necessário para a decisão de contratação. A CNPD é a autoridade de controlo competente e publica orientações específicas sobre dados de candidatos.
O que perguntam recrutadores e candidatos sobre este documento
Em fóruns e grupos de RH em Portugal, três dúvidas repetem-se com frequência quando o tema da certidão de registo criminal surge num processo de contratação. A primeira, recorrente entre pequenas empresas: se é legal pedir o certificado "só para ter a certeza", mesmo fora das funções que legalmente o exigem — a resposta é não, e insistir nesse pedido expõe a empresa a uma reclamação junto da CNPD por recolha excessiva de dados. A segunda, típica de candidatos: se uma condenação antiga, já cumprida, aparece sempre no certificado, ou se existe algum mecanismo de "reabilitação" que a remove — a resposta depende do tipo de pena e dos prazos de cancelamento previstos na Lei n.º 37/2015, que variam consoante a gravidade da condenação. A terceira, mais próxima do tema deste artigo: como confirmar que um certificado recebido por email ou em PDF não foi manipulado, quando a empresa não tem acesso direto ao sistema da DGAJ.
Sobre esta última questão, a resposta prática está no próprio desenho do documento oficial: o código de acesso impresso no certificado permite reconsultar a versão atualizada diretamente no portal da DGAJ durante 90 dias, o que torna a verificação independente de qualquer confiança no ficheiro recebido — desde que alguém se dê ao trabalho de a fazer.
Impacto para empregadores e empresas de background check
Um certificado falso aceite sem verificação não é apenas um problema de conformidade — tem custo financeiro direto quando se traduz numa contratação indevida em função sensível. Segundo o PwC Global Economic Crime and Fraud Survey 2022, 46% das organizações inquiridas globalmente reportaram ter sofrido fraude, corrupção ou outro crime económico nos 24 meses anteriores, uma tendência estável desde 2018 (PwC). A fraude documental na fase de admissão — diplomas, referências, certidões — é um dos vetores de entrada mais comuns para este tipo de crime organizacional, precisamente porque ocorre antes de qualquer controlo interno estar ativo.
O relatório da ACFE também é relevante para o argumento a favor de controlos proativos: de acordo com o ACFE Report to the Nations 2024, os controlos ativos e a análise de dados de forma proativa reduzem significativamente o tempo e o custo de deteção de fraude ocupacional face à deteção reativa por denúncia, segundo o ACFE. Aplicado ao recrutamento, isto significa que verificar um documento sensível no momento da admissão custa muito menos do que descobrir, meses depois, que um colaborador em função regulada nunca deveria ter sido contratado.
Protocolo de verificação em 4 passos
A verificação de uma certidão de registo criminal recebida num processo de recrutamento ganha em ser sistemática, sobretudo porque este é um dos poucos documentos oficiais portugueses com verificação online nativa disponível a qualquer terceiro.
- Confirmar que a função justifica legalmente o pedido. Antes de solicitar o documento, confirmar que a vaga se enquadra numa das exceções previstas por lei — contacto com menores, segurança privada, função financeira regulada — para evitar recolha ilícita de dados.
- Reconsultar o código de acesso no portal oficial. Introduzir o código impresso no certificado em registocriminal.justica.gov.pt para confirmar que o documento corresponde a um registo real, válido e não expirado.
- Analisar o ficheiro digital recebido. Verificar a presença e validade da assinatura digital do PDF, os metadados do ficheiro e eventuais sinais de edição, recorte ou geração por IA nos campos de texto.
- Cruzar os dados com o restante dossier. Nome, data de nascimento e número de identificação civil devem ser coerentes com o Cartão de Cidadão e demais documentos já validados do mesmo candidato — a mesma lógica de coerência documental que aplicámos à deteção de fraude em cartas de condução e à fraude de CV e diplomas gerados por IA.
Automatizar a verificação sem substituir o julgamento humano
A verificação manual de cada certidão não escala quando uma empresa de background check ou um departamento de RH processa dezenas de dossiers por semana em setores regulados. A plataforma CheckFile integra a validação estrutural do documento e a análise de coerência entre campos numa única verificação, aplicável ao mesmo tipo de fluxo descrito no nosso guia de verificação documental por setor. A cobertura de deteção assenta numa metodologia que combina OCR, análise de metadados e regras de negócio, com validação cruzada sobre múltiplos campos de cada documento, em vez de depender de uma única verificação visual.
Nenhum sistema garante a deteção de 100% dos documentos falsificados, e a certidão de registo criminal continua a exigir, sempre que o risco o justifique, confirmação direta junto da DGAJ através do código de acesso. Uma camada adicional de deteção de sinais de geração por IA está disponível consoante a configuração de cada cliente, funcionando como complemento aos controlos estruturais já existentes — nunca como substituto da verificação na fonte oficial. Esta arquitetura está descrita na nossa página de segurança e os planos disponíveis constam da página de preços. Para aprofundar especificamente a deteção de documentos gerados por IA e deepfakes em contexto de background check, consulte a verificação de documentos gerados por IA e deepfakes como complemento dos seus controlos existentes, ou contacte a nossa equipa para uma demonstração adaptada ao seu processo de RH.
Perguntas frequentes
Um empregador privado pode pedir a certidão de registo criminal a um candidato?
Regra geral, não. O artigo 17.º do Código do Trabalho limita a recolha de dados pessoais ao estritamente necessário para o posto, e a Lei n.º 37/2015 só permite o pedido nas exceções legalmente previstas — contacto regular com menores, segurança privada e certas funções financeiras reguladas. Fora destes casos, o candidato pode entregar o documento voluntariamente, mas o empregador não pode condicionar a candidatura à sua apresentação.
Como confirmo que uma certidão de registo criminal recebida por email não é falsa?
Introduza o código de acesso impresso no certificado no portal registocriminal.justica.gov.pt para reconsultar a versão atualizada do documento, válida durante 90 dias a partir da emissão. Se o código não existir, estiver expirado ou devolver dados diferentes dos apresentados, o documento é inválido ou foi adulterado.
Uma condenação antiga desaparece automaticamente da certidão de registo criminal?
Depende do tipo e da gravidade da pena. A Lei n.º 37/2015 prevê prazos de cancelamento das anotações no registo, variáveis consoante a natureza da condenação, findos os quais deixam de constar do certificado comum solicitado pelo próprio titular. Não existe, contudo, nenhum mecanismo legítimo para remover uma condenação ainda dentro do prazo de registo — qualquer certificado que o faça foi adulterado.
Que pena arrisca quem falsifica uma certidão de registo criminal em Portugal?
A falsificação de documento autêntico, categoria em que se enquadra a certidão de registo criminal emitida pela DGAJ, é punida com pena de prisão de 6 meses a 5 anos ou multa de 60 a 600 dias, nos termos do artigo 256.º, n.º 3, do Código Penal. Quem usa o documento falsificado para obter uma vantagem, como a admissão a um posto de trabalho, pode ainda responder por burla em concurso com o crime de falsificação.
Vale a pena investir em verificação automatizada se a empresa recebe poucas certidões por ano?
Depende do risco associado a cada admissão não detetada: uma única contratação indevida em função com contacto com menores ou em posto financeiro regulado gera exposição legal e reputacional desproporcional ao volume processado. Nesses setores, mesmo um volume baixo de verificações justifica um protocolo estruturado, ainda que não plenamente automatizado.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.