A conformidade AML exige a deteção de documentos falsificados?

Sim: a conformidade AML obriga à deteção de documentos falsificados. O artigo 24.º da Lei n.º 83/2017, de 18 de agosto, de prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo (BCFT) exige que as entidades obrigadas identifiquem e verifiquem a identidade do cliente com documentos válidos e fidedignos. Um documento falsificado não satisfaz este requisito: a sua utilização no processo de diligência devida constitui um incumprimento da obrigação de identificação e, consequentemente, uma infração sancionável pelo Banco de Portugal.

Esta não é uma interpretação extensiva da lei. É a leitura direta do texto legal, confirmada pela doutrina supervisora do Banco de Portugal e pelas Recomendações 10 e 13 do GAFI. Nas secções seguintes analisa-se o fundamento jurídico, as implicações práticas e as medidas de deteção exigíveis.

Este artigo destina-se exclusivamente a fins informativos e não constitui aconselhamento jurídico, financeiro ou regulatório. As referências normativas são exatas à data de publicação. Consulte um profissional qualificado para obter orientação adaptada à sua situação.

O que diz a Lei 83/2017 sobre a verificação de documentos

A Lei 83/2017 estabelece a verificação de documentos fidedignos como condição essencial da diligência devida normal. O artigo 24.º determina que as entidades obrigadas devem identificar os clientes "com recurso a documentos, dados ou informações obtidos de fonte fiável e independente" antes de estabelecer qualquer relação de negócio ou executar qualquer operação.

O artigo 24.º da Lei n.º 83/2017 (Diário da República, 1.ª série, n.º 159) exige a verificação da identidade do cliente por meio de documentos fidedignos: um documento falsificado não reúne este requisito e torna qualquer processo de identificação em que tenha sido utilizado num incumprimento da diligência devida.

O Decreto-Lei n.º 227/2015 e as instruções do Banco de Portugal desenvolvem os requisitos mínimos de verificação. A Diretiva (UE) 2024/1640 — sexta Diretiva AML —, em fase de transposição para o direito português, reforça estas exigências ao prever explicitamente medidas de combate à fraude documental na fase de identificação.

Tipos de diligência devida e exigência documental

A diligência devida simplificada não dispensa a verificação da autenticidade do documento; apenas permite adiar a comprovação em casos expressamente previstos. Em nenhum nível do esquema de diligência devida é admissível aceitar um documento falsificado como válido.

Por que um documento falsificado invalida a diligência devida

Um documento falsificado invalida automaticamente o processo de identificação porque faz recair sobre a entidade obrigada a responsabilidade de ter incumprido o dever de verificação. A cadeia causal é direta: se a identidade do cliente não pôde ser verificada com um documento autêntico, a relação de negócio carece de base de diligência devida válida, e qualquer operação realizada nesse contexto pode configurar branqueamento de capitais facilitado por omissão de controlo.

O GAFI, nas suas Recomendações 10 e 13 (FATF Recommendations 2023), identifica a verificação da autenticidade documental como elemento essencial da diligência devida sobre o cliente: os países devem exigir às instituições financeiras que confiram que os documentos de identificação não foram alterados nem falsificados.

O GAFI identifica as seguintes tipologias de fraude documental mais frequentes em esquemas de branqueamento:

• Documentos de identidade adulterados: modificação de dados como nome, data de nascimento ou fotografia num documento genuíno por meios físicos ou digitais.
• Documentos integralmente falsificados: réplicas de documentos oficiais produzidas por meios externos ao organismo emissor.
• Identidades sintéticas: combinação de dados reais e inventados para criar uma identidade que supera controlos básicos de consistência mas não existe nos registos oficiais.
• Documentos autênticos obtidos fraudulentamente: documentos emitidos pelo organismo oficial mas com base em declarações falsas na fase de pedido.

A análise interna da CheckFile revela que mais de 40 % das tentativas de fraude documental envolvem documentos de identidade com características de segurança adulteradas. Esta tipologia é especialmente prevalente na fase de onboarding remoto, onde a verificação presencial não é possível.

O que exige o Banco de Portugal na prática

O Banco de Portugal, enquanto supervisor das entidades de crédito e instituições financeiras no âmbito da Lei 83/2017, emitiu orientações explícitas sobre os requisitos de verificação documental. A doutrina supervisora do Banco de Portugal é clara: a mera receção de uma cópia de um documento não constitui verificação suficiente quando existam indícios de adulteração.

O Banco de Portugal aplicou coimas no âmbito da supervisão BCFT num montante acumulado de 11,3 milhões de euros entre 2020 e 2023, em grande parte por deficiências nos procedimentos de identificação e verificação de clientes, incluindo ausência de controlos adequados para detetar documentos adulterados (Banco de Portugal — Relatório de Supervisão 2023).

Entre as decisões sancionatórias publicadas, destacam-se casos em que a causa principal da infração foi a inexistência de procedimentos para detetar documentos de identidade adulterados apresentados durante o onboarding. As sanções impostas nesses processos variaram entre dezenas de milhares e vários milhões de euros, dependendo do volume de clientes afetados e da reiteração da conduta.

A CMVM, enquanto supervisora do mercado de capitais, e a ASF, supervisora do setor segurador, aplicam critérios equivalentes nos respetivos âmbitos setoriais. A Autoridade Tributária fiscaliza o cumprimento das obrigações BCFT em setores como imobiliário e comércio de bens de elevado valor.

O Banco de Portugal advertiu igualmente para o risco específico do onboarding digital: na identificação não presencial, a entidade tem obrigação de adotar medidas técnicas que garantam um nível de segurança equivalente ao da identificação presencial, incluindo a verificação dos elementos de segurança do documento por sistemas de análise de imagem.

Boas práticas de deteção de documentos falsificados

A deteção eficaz de documentos falsificados exige combinar procedimentos manuais estruturados com ferramentas automatizadas. Nenhuma das duas abordagens é suficiente por si só à escala de operações de uma entidade financeira moderna.

A verificação manual sem suporte tecnológico é insuficiente para detetar falsificações digitais avançadas: segundo a análise do GAFI 2023, mais de 60 % das falsificações detetadas em processos de KYC digital apresentam adulterações invisíveis a olho nu sem ferramentas específicas.

Verificação manual: sinais de alerta

Os analistas de conformidade devem prestar atenção aos seguintes indicadores na revisão de documentos:

• Inconsistências entre a fotografia e outros dados biométricos do titular
• Discrepâncias no tipo de letra, tamanho ou alinhamento dos campos do documento
• Ausência ou deterioração anormal de elementos de segurança (hologramas, marcas de água, microimpressão)
• Bordas irregulares ou zonas da imagem com pixelização anómala, indicativa de edição digital
• Numeração do documento ou código MRZ (zona de leitura automática nos passaportes) inconsistente com o formato oficial do país emissor
• Dados de validade ou data de emissão incoerentes com o tipo de documento ou a regulamentação do país

Verificação automatizada: capacidades recomendadas

Os sistemas de verificação documental automatizada devem incorporar:

• Análise de autenticidade dos elementos de segurança físicos e digitais
• Verificação da coerência do código MRZ e do chip NFC em documentos compatíveis
• Deteção de manipulação de metadados em imagens de documentos enviados eletronicamente
• Verificação da zona de imagem do titular para detetar substituição de fotografia
• Análise do nível de erro (ELA, do inglês Error Level Analysis) para identificar zonas da imagem editadas digitalmente

A deteção por inteligência artificial atua como complemento indispensável nos processos de KYC digital. As soluções de deteção de deepfakes e documentos manipulados por IA permitem escalar os controlos de autenticidade documental sem aumentar proporcionalmente os recursos humanos dedicados à revisão manual. Este tipo de ferramentas é especialmente relevante para entidades com elevado volume de onboarding remoto.

Para uma visão abrangente sobre a gestão da conformidade documental, consulte o guia de conformidade documental e o guia de conformidade AML. Para as obrigações decorrentes da sexta Diretiva AML, veja o guia de conformidade AMLD6 para entidades obrigadas.

As soluções de KYC para entidades financeiras permitem integrar a verificação de autenticidade documental nos fluxos de onboarding existentes, com total rastreabilidade dos registos de diligência.

CheckFile oferece análise documental baseada em IA com suporte para Cartão de Cidadão, passaporte, título de residência e documentos de 32 jurisdições, com integração por API nos sistemas de conformidade.

Perguntas frequentes

A minha entidade está obrigada a verificar se um documento de identidade é autêntico?

Sim. O artigo 24.º da Lei n.º 83/2017 exige verificar a identidade do cliente com documentos "fidedignos". Esta exigência implica adotar medidas razoáveis para confirmar que o documento apresentado é autêntico e não foi adulterado. O nível de comprovação exigido deve ser proporcional ao risco do cliente e da operação, mas em nenhum caso se pode limitar à mera receção de uma cópia sem verificação.

O que acontece se a minha entidade aceitar um documento falsificado sem o saber?

A Lei n.º 83/2017 não exige dolo para que se configure uma infração à obrigação de diligência devida. Se a entidade não dispunha de procedimentos adequados para detetar a falsificação, ou se os procedimentos existentes não foram corretamente aplicados, pode incorrer em infração grave ou muito grave. As sanções podem atingir 5 milhões de euros para pessoas singulares e 10 % do volume de negócios anual para pessoas coletivas. A existência de um programa de conformidade robusto e documentado pode ser considerada como circunstância atenuante.

A verificação não presencial cumpre os requisitos da Lei 83/2017?

Sim, desde que sejam adotadas medidas técnicas que garantam um nível de segurança equivalente ao da identificação presencial. O Banco de Portugal e as orientações do GAFI permitem a identificação não presencial mediante videoconferência ou outros meios tecnológicos que permitam verificar os elementos de segurança do documento e a concordância entre o titular e o documento. A utilização de sistemas de deteção de deepfakes e análise de autenticidade documental é uma medida técnica adequada para estes fins.

Que documentos aceita a Lei 83/2017 como válidos para a identificação de pessoas singulares?

Para pessoas singulares residentes em Portugal, a Lei n.º 83/2017 e as instruções do Banco de Portugal admitem o Cartão de Cidadão, o passaporte ou o título de residência válido. Em todos os casos, o documento deve estar em vigor no momento da identificação. A verificação deve incluir a confirmação da validade, dos dados do titular e da autenticidade dos elementos de segurança do documento.

Qual é o papel da inteligência artificial na conformidade AML de documentos?

A IA não substitui a obrigação legal de verificar documentos, mas permite cumpri-la de forma mais eficaz e escalável. Os sistemas de verificação documental baseados em IA podem detetar padrões de adulteração invisíveis a olho nu, analisar metadados de imagens e verificar a coerência do código MRZ em tempo real. O Banco de Portugal considera estas ferramentas como medidas técnicas adequadas para a identificação não presencial, desde que integradas num programa de conformidade documentado e supervisionado.

Para situar este risco na oferta CheckFile, consulte a nossa abordagem de deteção IA e deepfake.