KYC para prestadores de serviços de pagamento: conformidade PSD3 2026
Guia das obrigações KYC/BCFT dos prestadores de serviços de pagamento (PSP) em Portugal: Lei 83/2017, PSD3, Banco de Portugal, UIF e automatização em 2026.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokOs prestadores de serviços de pagamento (PSP) em Portugal estão sujeitos às obrigações de prevenção do branqueamento de capitais e do financiamento do terrorismo (BCFT) estabelecidas na Lei n.º 83/2017, de 18 de agosto, e supervisionados pelo Banco de Portugal (para instituições de pagamento e de moeda eletrónica) e pela Unidade de Informação Financeira (UIF) da Polícia Judiciária. Em 2026, a preparação para a transposição da Diretiva (UE) 2024/1640 (AMLD6) e do Regulamento (UE) 2024/1624 (AMLR), com prazo limite de 10 de julho de 2027, exige que os PSP revistem e reforcem os seus dispositivos KYC.
Este artigo tem carácter informativo e não constitui aconselhamento jurídico, financeiro ou regulatório. Consulte um profissional qualificado para a sua situação específica.
Que PSP estão sujeitos a obrigações KYC em Portugal?
A Lei n.º 83/2017 define o universo das entidades obrigadas. No âmbito dos serviços de pagamento, estão incluídos:
| Categoria de PSP | Exemplos | Supervisor principal |
|---|---|---|
| Instituições de crédito | Bancos, caixas de crédito agrícola | Banco de Portugal + UIF |
| Instituições de pagamento (IP) | Fintechs de pagamento, agregadores | Banco de Portugal |
| Instituições de moeda eletrónica (IME) | Carteiras digitais, cartões pré-pagos | Banco de Portugal |
| Prestadores de serviços de criptoativos (PSCA) | Exchanges, custodiantes (sob MiCA) | CMVM + Banco de Portugal |
| Plataformas de financiamento colaborativo | Crowdfunding de empréstimos | CMVM |
O artigo 23.º da Lei n.º 83/2017 impõe a identificação e verificação da identidade dos clientes antes do estabelecimento de qualquer relação de negócio, bem como em operações ocasionais de valor igual ou superior a 15 000 euros. O Banco de Portugal publicou orientações específicas sobre o cumprimento desta obrigação pelas instituições de pagamento em Portugal. Fonte: Lei n.º 83/2017, Diário da República
Enquadramento regulatório: Lei 83/2017, PSD3 e normativa europeia
Lei n.º 83/2017 de Prevenção do Branqueamento de Capitais Esta lei transpôs para o direito português a 4.ª Diretiva Antibranqueamento (4AMLD). O artigo 24.º estabelece as medidas de diligência simplificada; os artigos 35.º a 37.º regulam a diligência reforçada aplicável a clientes de alto risco, pessoas politicamente expostas (PPE) e relações com países de risco elevado. A Lei n.º 58/2020, de 31 de agosto, adaptou esta lei à 5AMLD, alargando o âmbito aos prestadores de serviços de criptoativos.
Regulamento (UE) 2023/1113 sobre transferências de fundos Em vigor desde 26 de dezembro de 2024, este regulamento exige que os PSP acompanhem todas as transferências eletrónicas com informação completa sobre o ordenante e o beneficiário, independentemente da moeda e do montante. Os PSP que ofereçam transferências imediatas devem filtrar as suas bases de dados imediatamente após qualquer alteração das listas de sanções da UE ou nacionais, e pelo menos diariamente. Fonte: Regulamento (UE) 2023/1113, EUR-Lex
AMLD6 (Diretiva (UE) 2024/1640) e AMLR (Regulamento (UE) 2024/1624) Com prazo de transposição de 10 de julho de 2027, estes textos alargam o perímetro a prestadores de serviços de criptoativos adicionais, harmonizam os limiares de diligência devida a nível europeu e estabelecem a Autoridade Europeia de Combate ao Branqueamento de Capitais (AMLA), operacional desde início de 2026. Fonte: Diretiva (UE) 2024/1640, EUR-Lex
PSD3 e Regulamento de Serviços de Pagamento (PSR) O acordo político provisório sobre PSD3 e o PSR foi alcançado a 27 de novembro de 2025. A transposição nacional em Portugal prevê-se para 2027-2028. PSD3 introduzirá a verificação IBAN/nome obrigatória para transferências SEPA e redistribuirá a responsabilidade em caso de fraude.
Para uma visão completa do quadro AMLD6, consulte o nosso guia de conformidade AMLD6 para entidades obrigadas.
Obrigações KYC concretas para PSP em Portugal
Diligência devida normal
A diligência devida normal é obrigatória antes do estabelecimento de qualquer relação de negócio e em operações ocasionais de valor igual ou superior a 15 000 euros. Para clientes pessoas singulares, os PSP devem recolher e verificar:
- Nome completo, data de nascimento, nacionalidade e domicílio
- Documento de identificação oficial válido — Cartão de Cidadão (com o chip NFC) ou Passaporte
- Número de Identificação Fiscal (NIF)
- Natureza e objeto da relação de negócio
Para clientes pessoas coletivas, a diligência devida estende-se à identificação dos beneficiários efetivos — pessoas singulares que detenham direta ou indiretamente mais de 25 % do capital ou dos direitos de voto, ou que de outro modo controlem a entidade — por consulta ao Registo Central do Beneficiário Efetivo (RCBE), gerido pelo Instituto dos Registos e do Notariado (IRN).
A abordagem multicamada do CheckFile — que combina extracção OCR, verificação de metadados e validação cruzada entre documentos — permite aos PSP automatizar estes controlos com o nível de rastreabilidade exigido pelo Banco de Portugal.
Diligência devida reforçada: situações e procedimentos
Os artigos 35.º a 37.º da Lei n.º 83/2017 determinam as situações que obrigam a medidas reforçadas:
- Pessoas politicamente expostas (PPE): titulares de cargos públicos de alto nível, membros do governo, magistrados de tribunais superiores e os seus familiares próximos
- Clientes com ligações a países de risco elevado identificados pelo GAFI: atualização periódica disponível em FATF High-Risk Jurisdictions
- Operações complexas ou de montante elevado sem finalidade económica aparente
- Relações de negócio estabelecidas à distância: clientes integrados exclusivamente por via digital, sem presença física
A diligência reforçada inclui obrigatoriamente a obtenção de informação adicional sobre a origem do património e dos fundos, bem como a aprovação da alta administração antes do início da relação com uma PPE.
Para aprofundar os procedimentos de diligência devida reforçada, consulte o nosso guia da diligência devida reforçada.
Monitorização contínua das transações
Os PSP são obrigados a manter vigilância permanente sobre as relações de negócio, ao abrigo do artigo 30.º da Lei n.º 83/2017:
| Medida | Frequência mínima | Evento desencadeador |
|---|---|---|
| Revisão das transações | Contínua | Anomalias detetadas pelo sistema de monitorização |
| Atualização do dossier KYC | Conforme perfil de risco | Caducidade de documentos, alteração de atividade |
| Triagem de listas de sanções | Diária (mínimo) | Alteração de listas UE, ONU, OFAC |
| Revisão de PPE | Contínua | Eleições, nomeações, exonerações |
| Comunicação à UIF | Sempre que haja suspeição | Operação atípica ou injustificada |
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoLimiares regulatórios para PSP em Portugal
| Tipo de operação | Diligência simplificada | Diligência normal | Diligência reforçada |
|---|---|---|---|
| Transferência eletrónica pontual | < 1 000 € (nome + conta) | ≥ 1 000 € | Perfil de risco elevado |
| Câmbio de divisas | < 1 000 € | ≥ 1 000 € | País de risco GAFI |
| Moeda eletrónica recarregável | < 250 €/mês uso anónimo | ≥ 250 €/mês ou recarregável | Uso transfronteiriço |
| Cartão pré-pago não recarregável | ≤ 150 € valor máximo | > 150 € ou recarregável | PPE ou cliente desconhecido |
O transporte físico de fundos em montante igual ou superior a 10 000 euros está sujeito a declaração obrigatória junto das autoridades aduaneiras.
Comunicações à UIF: obrigações de reporte
A Unidade de Informação Financeira (UIF), integrada na Polícia Judiciária, é o organismo nacional que recebe, analisa e difunde as comunicações de operações suspeitas em Portugal. Todo o PSP obrigado deve comunicar à UIF qualquer operação relativamente à qual existam suspeitas de branqueamento de capitais ou de financiamento do terrorismo.
As obrigações de reporte incluem:
- Comunicação prévia à execução da operação sempre que possível
- Manutenção de confidencialidade absoluta — revelar a comunicação ao cliente é crime
- Conservação de toda a documentação motivadora durante sete anos
- Designação de um responsável pelo cumprimento das obrigações BCFT
Fonte: Banco de Portugal, Prevenção do Branqueamento de Capitais
Sanções do Banco de Portugal: consequências do incumprimento
O Banco de Portugal dispõe de poderes sancionatórios previstos no Capítulo V da Lei n.º 83/2017:
- Coimas: até ao maior dos seguintes montantes — 10 % do volume de negócios total anual, o dobro do benefício obtido, ou 5 milhões de euros (para pessoas coletivas)
- Admoestação pública: sanção publicada no sítio do Banco de Portugal e no Diário da República
- Inibição dos membros da administração responsáveis
- Revogação da autorização: sanção máxima que implica a cessação definitiva da atividade
Automatizar a conformidade KYC com CheckFile
A verificação automatizada de documentos é uma necessidade operacional para PSP que processam elevados volumes de integração de clientes. O CheckFile disponibiliza uma API integrável diretamente nos fluxos de onboarding:
- Verificação de mais de 3 200 tipos de documentos de 32 jurisdições, incluindo Cartão de Cidadão, passaportes e documentos estrangeiros
- Extracção automática de dados biográficos com controlos de coerência entre campos
- Deteção de documentos adulterados, gerados por IA ou com metadados manipulados
- Arquivo conforme das evidências de verificação durante sete anos para auditorias do Banco de Portugal
- Integração direta com sistemas de gestão de risco de cliente (CRM, core banking)
Para complementar a sua abordagem baseada no risco na segmentação de clientes AML, o CheckFile atribui automaticamente indicadores de risco a cada dossier verificado. Consulte o nosso guia de preços para opções de acesso à API.
Perguntas frequentes
Um PSP deve verificar a identidade de todos os seus clientes?
Sim, mas a intensidade das diligências varia consoante o perfil de risco. A diligência simplificada aplica-se a produtos de baixo risco (ex.: cartões pré-pagos não recarregáveis ≤ 150 €). A diligência normal abrange a maioria dos clientes. A diligência reforçada é obrigatória para PPE, clientes com vínculos a países de risco GAFI e operações complexas sem finalidade económica aparente.
Com que frequência deve ser atualizado o dossier KYC de um cliente?
O dossier deve ser atualizado sempre que ocorram alterações significativas na situação do cliente e segundo os intervalos definidos na política interna de risco. O Banco de Portugal recomenda: revisão anual para clientes de alto risco e PPE, bienal para risco médio, e quinquenal para baixo risco.
As neobancos e fintechs têm as mesmas obrigações que os bancos tradicionais?
Sim, para os serviços cobertos pela respetiva autorização. Uma instituição de pagamento autorizada pelo Banco de Portugal tem as mesmas obrigações BCFT que uma instituição de crédito para os serviços de pagamento que presta. A diferença reside no âmbito da autorização, não no nível de cumprimento exigido.
O que muda com AMLD6 para os PSP?
AMLD6 e o AMLR alargam o perímetro a prestadores de serviços de criptoativos adicionais, harmonizam os limiares de diligência a nível europeu e reforçam os poderes de supervisão da AMLA. A transposição para o direito português está prevista para 10 de julho de 2027.
Que informação deve acompanhar uma transferência ao abrigo do Regulamento (UE) 2023/1113?
Para transferências superiores a 1 000 euros, os PSP devem transmitir: nome completo do ordenante, número de conta do ordenante, endereço do ordenante, número de documento de identificação e data de nascimento. Para transferências inferiores a 1 000 euros, são suficientes o nome e o número de conta, exceto em caso de suspeição de branqueamento ou financiamento do terrorismo.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.