Skip to content
Deteção IA & DeepfakeNovo

Sinais IA, sintéticos, deepfakes

Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Conformidade14 min de leitura

Diligência Devida Reforçada (EDD): Guia de Conformidade AML

Guia completo sobre Diligência Devida Reforçada (DDR/EDD) em Portugal: quando é obrigatória ao abrigo da Lei 83/2017, processo passo a passo, documentação exigida e automação com o CheckFile.

Equipe CheckFile
Equipe CheckFile·
Illustration for Diligência Devida Reforçada (EDD): Guia de Conformidade AML — Conformidade

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

A Diligência Devida Reforçada (DDR, ou EDD na sigla inglesa Enhanced Due Diligence) é o conjunto de medidas adicionais que as entidades obrigadas devem aplicar quando uma relação de negócio apresenta fatores de risco elevado. Em Portugal, estas obrigações estão consagradas nos artigos 35.º a 43.º da Lei n.º 83/2017, de 18 de agosto, o Regime Geral de Prevenção e Repressão do Branqueamento de Capitais e do Financiamento do Terrorismo (RJBC), e são supervisionadas pelo Banco de Portugal. A omissão das medidas de DDR pode implicar coimas até 5 milhões de euros ou 10% do volume de negócios anual (Art. 172.º Lei 83/2017).

Este artigo tem carácter meramente informativo e não constitui aconselhamento jurídico, financeiro ou regulatório. As referências regulatórias são exatas à data de publicação. Consulte um profissional qualificado para obter orientação adaptada à sua situação específica.

Para uma visão geral do quadro de diligência devida, consulte o nosso guia de conformidade documental. Se procura uma checklist prática de DDC por setor, consulte o artigo sobre diligência devida do cliente por setor.

O que é a Diligência Devida Reforçada (DDR/EDD)?

A Diligência Devida Reforçada é o nível máximo de controlos no âmbito do Conhecimento do Cliente (KYC). Situa-se acima da diligência normal (DDC/CDD) e exige medidas adicionais quando o risco de branqueamento de capitais ou financiamento do terrorismo é significativamente elevado.

O fundamento conceptual da DDR reside na abordagem baseada no risco (RBA, Risk-Based Approach) promovida pelas Recomendações do GAFI: os controlos devem ser proporcionais ao risco identificado. Quando esse risco ultrapassa os limites ordinários, a diligência padrão é insuficiente.

A DDR implica, no mínimo:

  • Verificação reforçada de identidade: documentos adicionais que confirmem a identidade do cliente e, quando aplicável, do beneficiário efetivo.
  • Determinação da origem dos fundos (SOF) e da origem do património (SOW): prova documental de que os ativos provêm de fontes legítimas.
  • Aprovação pela direção de topo antes do início ou da continuação da relação de negócio.
  • Monitorização reforçada e contínua das transações ao longo de toda a relação.

DDC simplificada vs. DDC reforçada: quando se aplica cada uma?

Uma questão frequente entre os profissionais de conformidade é a distinção entre os três níveis de diligência devida e, em particular, quando se deve aplicar a DDC simplificada e quando é obrigatória a DDC reforçada. A resposta depende inteiramente da avaliação de risco:

DDC simplificada (SDD): aplica-se quando o risco de branqueamento de capitais ou financiamento do terrorismo é comprovadamente baixo. A lei permite reduzir a intensidade das medidas, mas não suprime a obrigação de identificação. Os casos típicos são organismos de direito público, entidades cotadas em mercados regulamentados ou produtos financeiros de baixo risco. É fundamental documentar a fundamentação que suporta a aplicação do nível simplificado.

DDC normal (CDD): é o nível padrão aplicável à generalidade das relações de negócio. Compreende identificação, verificação documental, compreensão do propósito da relação e monitorização contínua.

DDC reforçada (DDR/EDD): é obrigatória sempre que estejam presentes fatores de risco elevado previstos na lei. Não é discricionária: a entidade obrigada não pode optar por aplicar DDC normal quando a lei impõe a DDR. A distinção crítica face à DDC simplificada é que a DDR acrescenta obrigações (SOF, SOW, aprovação da direção), enquanto a SDD reduz ou adapta as medidas mínimas.

O Regulamento (UE) 2024/1624 (AMLR), aplicável a partir de 1 de julho de 2027, irá harmonizar estes requisitos à escala europeia, reforçando as obrigações de DDR para Pessoas Politicamente Expostas (PPE) e países de alto risco.

Quando é obrigatória a DDR em Portugal?

Os artigos 35.º a 43.º da Lei n.º 83/2017 estabelecem os fatores que ativam automaticamente a obrigação de aplicar medidas de diligência reforçada. A Instrução do Banco de Portugal n.º 18/2021 concretiza os requisitos de prevenção do branqueamento de capitais para as instituições de crédito supervisionadas.

Fator desencadeante DDR Base legal Descrição
Pessoas Politicamente Expostas (PPE) Art. 35.º-43.º Lei 83/2017 Pessoas que exercem ou exerceram funções públicas relevantes, seus familiares diretos e pessoas reconhecidas como estreitamente associadas
Países terceiros de alto risco Art. 36.º Lei 83/2017 Clientes ou operações vinculados a países incluídos na lista da Comissão Europeia ou nas listas cinzenta/negra do GAFI
Banca correspondente Art. 37.º Lei 83/2017 Relações de correspondência com instituições de crédito de países terceiros
Operações não presenciais de alto risco Art. 38.º Lei 83/2017 Relações de negócio iniciadas à distância quando o risco não é mitigado por outros fatores
Estruturas de propriedade complexa Art. 36.º Lei 83/2017 Trusts, fundações, estruturas fiduciárias ou entidades com titularidade efetiva difícil de determinar
Transações incomuns sem justificação económica aparente Art. 39.º Lei 83/2017 Operações que não correspondem a uma lógica comercial ou pessoal razoável
Setores de alto risco Lei 83/2017 e orientações BdP Prestadores de serviços de ativos virtuais (PSAV), casinos, comerciantes de artigos de elevado valor

O National Risk Assessment 2023 de Portugal, publicado pelo Ministério das Finanças, identificou o setor imobiliário, as transações em dinheiro e os serviços de ativos virtuais como áreas de risco acrescido que devem ser objeto de especial atenção no contexto da DDR.

Processo DDR: 7 passos para a conformidade

Um processo de DDR bem estruturado deve ser auditável na sua totalidade. O itinerário seguinte é adaptado ao quadro jurídico português:

Passo 1 — Identificação do fator de risco: Determinar que fator desencadeante ativa a DDR (PPE, país de risco, estrutura complexa, transação incomum). Esta avaliação deve constar documentada no processo do cliente.

Passo 2 — Verificação reforçada de identidade: Obter documentos de identificação adicionais: Cartão de Cidadão e passaporte em simultâneo, ou Cartão de Cidadão mais uma segunda fonte independente (extrato bancário recente, comprovativo de morada oficial). Para pessoas coletivas, certidão comercial atualizada (< 3 meses), pacto social e documentação de todos os beneficiários efetivos com participação superior a 25%.

Passo 3 — Determinação da origem dos fundos (SOF): Obter prova documental da proveniência concreta dos fundos utilizados na operação ou relação de negócio. Ver a secção específica sobre SOF e SOW mais adiante.

Passo 4 — Determinação da origem do património (SOW): Obter documentação que comprove como o cliente acumulou o seu património global. Esta obrigação é especialmente exigente no caso das PPE.

Passo 5 — Aprovação pela direção de topo: A relação de negócio ou a operação devem ser aprovadas por um cargo diretivo de nível adequado. A aprovação deve ficar registada por escrito com indicação do cargo, da data e dos fundamentos.

Passo 6 — Monitorização reforçada de transações: Estabelecer alertas específicos e limiares de monitorização adaptados ao perfil de risco do cliente. A frequência de revisão do processo deve ser pelo menos semestral para relações de alto risco.

Passo 7 — Documentação e conservação: Conservar todos os documentos e registos durante um mínimo de 7 anos após o termo da relação de negócio (Art. 51.º Lei 83/2017). Documentar as conclusões da avaliação de risco e as decisões adotadas.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Pedir um piloto gratuito

Documentação necessária no âmbito da DDR

A documentação exigida varia consoante o tipo de cliente e o fator desencadeante específico da DDR. A tabela seguinte apresenta os documentos mais frequentemente solicitados:

Categoria documental Pessoas singulares Pessoas coletivas PPE (adicional)
Identidade Cartão de Cidadão/passaporte vigente + segunda fonte independente Certidão comercial (< 3 meses) + pacto social + CC de todos os representantes Declaração de exercício de funções + certidão ou nomeação do cargo público
Beneficiário efetivo (UBO) N/A (cliente = beneficiário) Declaração de beneficiário efetivo, estrutura societária completa, documentos de identidade de todos os UBO Confirmação expressa da relação PPE para familiares e associados
Origem dos fundos (SOF) Extrato bancário (< 3 meses), confirmação de transferência com origem, contrato de compra e venda Extratos de contas bancárias empresariais, contrato ou fatura da operação que origina os fundos Declaração jurada de origem + documentação de suporte
Origem do património (SOW) Declaração de IRS (últimos 2 anos), escrituras de imóveis, contratos de trabalho ou de negócio Contas anuais auditadas (últimos 2 exercícios), histórico de investimentos Declaração de rendimentos e interesses públicos (se existir), declarações fiscais
Justificação da operação Descrição do propósito económico, contrato subjacente Carta de propósito de negócio, plano de negócios se aplicável N/A adicional, mas escrutínio acrescido

SOF e SOW: como distingui-los na prática

Uma questão recorrente entre os profissionais de conformidade é a distinção entre a origem dos fundos (SOF, Source of Funds) e a origem do património (SOW, Source of Wealth) e que documentos são aceites pelas entidades obrigadas em Portugal.

A distinção é a seguinte:

  • SOF responde à pergunta "de onde provém o dinheiro utilizado nesta operação concreta?". É transacional e específico. Documentos aceites pelo Banco de Portugal: extrato bancário da conta de origem, comprovativo de transferência que indique a conta de proveniência, contrato ou fatura que explique a operação.

  • SOW responde a "como acumulou o cliente o seu património em geral?". É biográfico e abrangente. Documentos aceites: declarações de IRS, contas anuais, escrituras de imóveis adquiridos, contratos de trabalho, certidões de herança, sentenças de divórcio que documentem a adjudicação de bens.

Ambos são exigíveis na DDR, mas o SOW adquire especial relevância nas relações com PPE, dado que o seu património pode ter-se acumulado em contextos de risco de corrupção. Para uma PPE que justifica a origem com "poupanças", a entidade obrigada deve exigir documentação fiscal e bancária plurianual que suporte essa afirmação.

DDC padrão vs. DDR (EDD): diferenças fundamentais

Dimensão DDC padrão (CDD) Diligência Devida Reforçada (DDR/EDD)
Âmbito de aplicação Clientes de risco normal ou baixo Clientes com fatores de risco elevado (PPE, países de risco, estruturas complexas)
Documentação de identidade CC/passaporte + comprovativo de morada Documentos adicionais, segunda fonte independente, documentação do beneficiário efetivo
Origem dos fundos Nem sempre explicitamente exigida Obrigatória, com documentação fidedigna
Origem do património Não exigida Obrigatória para PPE e relações de alto risco
Aprovação da direção Não necessária Requerida antes do início ou continuação da relação
Monitorização Contínua padrão Reforçada: alertas específicos, limiares reduzidos, revisão semestral mínima
Base legal Art. 24.º-34.º Lei 83/2017 Art. 35.º-43.º Lei 83/2017
Coimas por omissão Contraordenações graves (Art. 170.º Lei 83/2017) Contraordenações muito graves (Art. 169.º Lei 83/2017): até 5 M EUR ou 10% do volume de negócios

Monitorização contínua nas relações de alto risco

A DDR não termina com a integração do cliente: é um processo contínuo. As Recomendações GAFI 10 e 12 exigem uma vigilância permanente das relações de negócio, com especial intensidade para clientes de alto risco.

As práticas de monitorização contínua recomendadas incluem:

  • Revisão periódica do processo DDR: mínimo semestral para PPE e clientes de países de alto risco; anual para outros perfis de risco elevado.
  • Alertas transacionais específicos: limiares mais baixos do que na DDC padrão, padrões de fracionamento, transações com contrapartes em jurisdições de risco.
  • Verificação de alterações de estado: consulta periódica de listas de sanções, atualizações da lista PPE e alterações na estrutura de titularidade efetiva.
  • Reavaliação perante eventos desencadeantes: início de atividades em novos setores, alterações societárias relevantes, operações incomuns.

Segundo o Relatório ACFE 2024 Report to the Nations, apenas 37% das fraudes são detetadas por controlos manuais, com um atraso médio de deteção superior a 80 dias. A monitorização automatizada reduz estruturalmente este atraso.

Para um guia completo sobre anti money laundering em Portugal, consulte o nosso guia AML de conformidade.

Automatizar a DDR com o CheckFile

A instrução manual de um processo DDR completo — identificação reforçada, SOF, SOW, aprovação da direção — pode consumir horas de trabalho da equipa de conformidade. O CheckFile automatiza as etapas repetitivas deste processo:

  • Verificação documental automatizada: autenticação de Cartão de Cidadão, passaporte, certidões e extratos bancários através de inteligência artificial, com deteção de alterações e documentos sintéticos.
  • Recolha estruturada de documentos DDR: fluxos de trabalho configuráveis que solicitam ao cliente exatamente os documentos necessários em função do fator desencadeante (PPE, país de risco, estrutura complexa), com instruções claras sobre o que é aceite.
  • Integração com listas de sanções e PPE: cotejo em tempo real face a bases de dados de PPE e sanções internacionais, com alertas automáticos perante coincidências.
  • Monitorização contínua: notificações automáticas quando um cliente existente aparece em novas listas ou quando a sua documentação está próxima de expirar.
  • Rastreabilidade de auditoria: processo completo com registo temporal, histórico de documentos e registo de aprovações para facilitar inspeções do Banco de Portugal.

Descubra como o CheckFile apoia as entidades financeiras e as entidades obrigadas no cumprimento eficiente das suas obrigações de DDR. Consulte a nossa política de segurança e os planos disponíveis.

Perguntas frequentes

Quando termina a obrigação de DDR com uma PPE?

A obrigação de diligência reforçada para uma PPE não cessa automaticamente quando a pessoa abandona o seu cargo público. O artigo 43.º da Lei n.º 83/2017 estabelece que a entidade obrigada deve continuar a tratar o cliente como PPE durante um período mínimo de 12 meses, mantendo a DDR enquanto o risco associado ao historial público for considerado relevante. Na prática, muitas entidades mantêm o estatuto DDR durante 24 meses após a cessação do cargo e realizam, posteriormente, uma avaliação individualizada.

O que acontece se o cliente recusar fornecer documentação SOF ou SOW?

Se o cliente recusar apresentar a documentação de origem de fundos ou de património exigida para a DDR, a entidade obrigada não pode iniciar ou deve pôr termo à relação de negócio (Art. 28.º Lei 83/2017). Adicionalmente, se a recusa gerar suspeitas, a entidade obrigada deve ponderar a comunicação ao DCIAP ao abrigo do artigo 52.º da Lei n.º 83/2017. A recusa em si não obriga automaticamente à comunicação, mas constitui um fator de risco a ponderar.

Quais são as coimas por não aplicar DDR quando é obrigatória?

A omissão de medidas de diligência reforçada quando legalmente exigíveis constitui contraordenação muito grave ao abrigo do artigo 169.º da Lei n.º 83/2017. As coimas previstas no artigo 172.º atingem até 5 milhões de euros ou 10% do volume de negócios anual total da entidade, o valor que for mais elevado. Podem igualmente ser aplicadas sanções acessórias como a inibição de exercício de funções por parte dos administradores responsáveis.

Como determinar se um país está na "lista de alto risco" para efeitos de DDR?

As listas relevantes são: (1) a lista de países terceiros de alto risco adotada pela Comissão Europeia em aplicação da Diretiva Anti-Branqueamento; (2) a lista de jurisdições sob monitorização intensificada (lista cinzenta) e a lista de jurisdições de alto risco (lista negra) do GAFI. Ambas as listas são atualizadas periodicamente e devem ser consultadas de forma contínua. Uma ligação a qualquer dessas jurisdições ativa a DDR independentemente do perfil individual do cliente.

A DDR deve ser aplicada também aos beneficiários efetivos (UBO) de uma empresa cliente?

Sim. Quando a DDR é ativada pelo risco associado a uma pessoa coletiva cliente, as medidas de diligência reforçada estendem-se a todos os seus beneficiários efetivos identificados (pessoas singulares com participação direta ou indireta igual ou superior a 25%). Isto inclui a obtenção de documentação de identidade, declaração de origem do património e, se algum dos beneficiários efetivos for PPE, a aplicação integral do regime DDR previsto para PPE.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Artigos relacionados

Conformidade8 min

KYC Perpétuo (pKYC): Monitoramento Contínuo de Clientes 2026

O KYC perpétuo substitui revisões periódicas por monitoramento contínuo do risco do cliente. Obrigações AMLD6, Banco de Portugal, implementação e vantagens para entidades obrigadas em Portugal.

Ler
Conformidade9 min

Triagem de colaboradores no comércio a retalho 2026

Guia completo sobre a triagem de colaboradores no retalho em Portugal: verificação de antecedentes, RGPD, Código do Trabalho e melhores práticas para equipas de RH.

Ler
Conformidade12 min

EU AI Act e mídia sintética: obrigações de divulgação para empresas 2026

O artigo 50 do AI Act obriga empresas que usem IA generativa a marcar e divulgar conteúdo sintético a partir de agosto de 2026. Quem cumpre, o que exige e as sanções.

Ler