Prevenção de Fraude em Pagamentos: Verificação Documental para Fintechs
Guia completo de prevenção de fraude em pagamentos por verificação documental. Obrigações PSD2, AMLD6, Banco de Portugal, CMVM e melhores práticas para processadores de pagamento em 2026.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokA prevenção de fraude em pagamentos para fintechs e processadores de pagamento consiste em implementar controlos técnicos, documentais e regulatórios para identificar e bloquear transações fraudulentas antes de gerarem perdas financeiras. Em Portugal, estas obrigações derivam principalmente da transposição da Diretiva de Serviços de Pagamento 2 (DSP2) pelo Decreto-Lei n.º 91/2018 e das obrigações de prevenção e combate ao branqueamento de capitais estabelecidas pela Lei n.º 83/2017.
As tentativas de fraude documental dirigidas a entidades de pagamento aumentaram 23 % entre 2024 e 2025 segundo a análise da nossa plataforma. As identidades sintéticas geradas por IA representam já 12 % do total de fraude documental detetada em 2025, contra apenas 3 % em 2024. Para processadores de pagamento e fintechs, a verificação documental é a primeira linha de defesa, atuando antes de qualquer sistema de monitorização de transações.
Este artigo tem carácter exclusivamente informativo e não constitui aconselhamento jurídico, financeiro ou regulatório.
O que é a fraude em pagamentos e por que afeta especialmente as fintechs
A fraude em pagamentos consiste na utilização de documentos falsos, roubados ou manipulados para iniciar ou desviar transações de pagamento. As fintechs têm uma exposição desproporcionada porque o seu processo de adesão simplificado — a sua principal vantagem competitiva — é também o ponto de entrada que os grupos de fraude exploram primeiro.
Utilizadores de fóruns de compliance destacam que grupos organizados de fraude testam sistematicamente as novas plataformas fintech nas semanas seguintes ao seu lançamento, antes de os modelos de risco estarem calibrados. O Banco de Portugal publica regularmente alertas sobre tipologias de fraude em meios de pagamento, documentando o aumento de tentativas de usurpação de identidade nos processos de adesão digital.
As plataformas de BNPL (compra agora, pague depois) e os serviços de crédito instantâneo são particularmente vulneráveis: oferecem benefício económico imediato com processos de verificação que, em muitos casos, ficam aquém do rigor exigido pela legislação BCFT.
Tipologias de fraude que afetam os processadores de pagamento
Os processadores de pagamento e as fintechs enfrentam tipologias de fraude documental distintas da banca tradicional:
| Tipo de fraude | Mecanismo | Sectores mais afetados |
|---|---|---|
| Fraude de identidade sintética | Combina elementos de identidade reais e gerados por IA | BNPL, crédito instantâneo |
| Fraude ao comerciante (KYB) | Documentos empresariais falsificados, contas bancárias desviadas | Marketplaces, payfacs |
| Fraude na abertura de conta | Comprovativos de morada falsos, recibos de vencimento falsificados | Neobancas, carteiras digitais |
| Fraude por transferência autorizada | Engenharia social com documentos de pagamento legítimos | Banca aberta |
| Fraude de estorno | Extratos bancários fabricados para contestar transações válidas | E-commerce, BNPL |
O índice de risco documental para o sector bancário atinge 7,6 sobre 10 no nosso modelo de pontuação proprietário (calculado como: Frequência × 0,40 + Impacto Financeiro × 0,35 + Dificuldade de Deteção × 0,25). As plataformas de ativos digitais pontuam 8,1 sobre 10, refletindo a combinação de valores de transação elevados e liquidação irreversível.
A verificação documental como primeira linha de defesa
A verificação documental para pagamentos cobre três momentos críticos do ciclo de vida do pagamento, não apenas a adesão inicial.
Na adesão do cliente (KYC): A verificação de identidade é obrigatória para todas as instituições de pagamento autorizadas pelo Banco de Portugal ao abrigo do artigo 36.º da Lei n.º 83/2017. Inclui verificação do Cartão de Cidadão, NIF ou passaporte, comprovativo de morada e — para clientes de maior risco — documentação sobre a origem dos fundos.
Na adesão de comerciantes (KYB): Os operadores de marketplace e os payment facilitators devem verificar os documentos de todos os seus sub-comerciantes. Este é o ponto mais negligenciado da prevenção de fraude em pagamentos. Um payfac que não verifica corretamente os seus comerciantes assume responsabilidade direta perante as redes de cartões e os bancos adquirentes.
Nas re-verificações periódicas: A Diretiva (UE) 2024/1640 (AMLD6) exige re-verificação quando ocorrem eventos de mudança de risco: padrões de transação inusuais, alterações nos dados do beneficiário, superação de limiares acumulados ou transações para jurisdições de alto risco do GAFI.
A nossa solução de verificação para banca e fintech automatiza os três níveis de controlo com uma taxa de deteção de fraude de 94,8 % e uma taxa de falsos positivos de 3,2 %.
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoQuadro regulatório aplicável em Portugal
As entidades de pagamento que operam em Portugal estão sujeitas a um quadro regulatório sobreposto que estrutura diretamente as suas obrigações documentais.
Decreto-Lei n.º 91/2018: Transpõe a DSP2 para o direito português. Exige Autenticação Forte do Cliente (SCA) para pagamentos eletrónicos remotos superiores a 30 euros. O Banco de Portugal supervisiona o cumprimento e pode impor sanções incluindo a revogação da autorização.
Lei n.º 83/2017 (BCFT): Impõe obrigações de diligência devida no conhecimento do cliente (KYC), incluindo verificação documental de identidade antes de estabelecer uma relação de negócio. A diligência devida reforçada aplica-se a clientes de maior risco, pessoas politicamente expostas (PEP) e relações de correspondência.
CMVM (Comissão do Mercado de Valores Mobiliários): Co-supervisora para entidades de pagamento que operam em mercados de capitais. As fintechs com atividade em investimentos ou instrumentos financeiros devem cumprir tanto os requisitos do Banco de Portugal como os da CMVM.
| Instrumento regulatório | Obrigação principal | Autoridade supervisora |
|---|---|---|
| DL n.º 91/2018 (DSP2) | SCA, segurança dos dados de pagamento | Banco de Portugal |
| Lei n.º 83/2017 (BCFT) | KYC/DDC, monitorização contínua | Banco de Portugal |
| Diretiva 2024/1640 (AMLD6) | Titularidade efetiva, re-verificação | Banco de Portugal |
| DORA — Regulamento UE 2022/2554 | Resiliência operacional digital | Banco de Portugal / BCE |
KYB: O ponto cego na prevenção de fraude em pagamentos
O KYB (Know Your Business) é o processo de verificação dos documentos empresariais de um comerciante antes de o autorizar a processar pagamentos numa plataforma. É o ponto sistematicamente mais negligenciado para operadores de marketplace e payment facilitators.
Um payfac ou operador de marketplace que não verifica corretamente os seus sub-comerciantes assume responsabilidade direta perante as redes de cartões pelo fraude gerado através desses comerciantes, incluindo estornos, multas das redes e possível ação regulatória do Banco de Portugal.
Os documentos exigidos para cada sub-comerciante incluem:
- Certidão Permanente de registo comercial atualizada (menos de três meses)
- Pacto social ou estatutos atualizados
- Declaração de beneficiários efetivos ao Registo Central do Beneficiário Efetivo (RCBE)
- Verificação de conta bancária (controlo IBAN contra titular declarado)
- Documento de identificação do representante legal (Cartão de Cidadão ou NIF)
A nossa análise interna sobre mais de 840.000 processos KYC processados no sector bancário revela uma taxa de fraude documental de identidade de 5,1 %. Para a adesão de comerciantes de maior risco, esta taxa é significativamente superior, especialmente em documentos de constituição falsificados e declarações imprecisas de titularidade efetiva.
Para aprofundar as técnicas de deteção, consulte o nosso artigo sobre técnicas de deteção de fraude documental por IA.
Melhores práticas para o despliegue da verificação documental
1. Automatizar a verificação, não apenas a recolha de documentos
A verificação documental vai muito além do armazenamento de ficheiros. Exige: verificações de autenticidade do documento (hologramas, análise de fontes, validação de MRZ), extração de dados por OCR, controlos de coerência cruzada entre documentos e consultas em bases de dados de referência.
2. Definir limiares de re-verificação baseados em transações
Estabelecer desencadeantes documentados que exijam re-verificação: primeira transação acumulada superior a 15.000 euros, alteração do IBAN do beneficiário, transação para uma jurisdição de alto risco do GAFI, ou alterações significativas no perfil da conta.
3. Integrar os sinais de verificação documental na pontuação de risco
Um documento não verificado ou expirado deve contribuir negativamente para a pontuação de risco da transação. A plataforma CheckFile fornece sinais de risco ao nível da API que se integram com sistemas de gestão de fraude.
4. Documentar todos os procedimentos para inspeções do Banco de Portugal
Cada procedimento de verificação documental deve estar registado no manual de políticas AML/DDC da empresa e revisto pelo menos uma vez por ano. O Banco de Portugal pode solicitá-lo em qualquer momento durante uma visita de supervisão.
5. Abordar especificamente a deteção de identidades sintéticas
A verificação documental clássica não consegue detetar identidades sintéticas bem construídas. As verificações de vivacidade (liveness detection) e o cruzamento com bases de dados de identidade são adições obrigatórias para fintechs que operam a escala.
Para uma visão completa dos requisitos KYC aplicáveis em 2026, consulte o nosso artigo sobre requisitos KYC 2026. Para benchmarks sectoriais na indústria de pagamentos, veja o guia de verificação por indústrias.
Perspetivas dos profissionais do sector
Os profissionais de compliance em empresas fintech identificam três tensões recorrentes em fóruns especializados.
A tensão segurança vs. conversão é a principal preocupação operacional. Cada passo de verificação adicional reduz a taxa de conversão na adesão. A solução é a automatização total: os utilizadores submetem um documento e recebem uma decisão em menos de 5 segundos, eliminando a fricção percebida sem sacrificar os controlos.
A lacuna na deteção de identidades sintéticas é a segunda preocupação recorrente. Os controlos documentais padrão não conseguem detetar uma identidade sintética bem construída que combine um NIF autêntico, uma face gerada por IA e uma morada legítima. É necessária verificação multi-sinal.
A aceitação transfronteiriça de documentos é cada vez mais relevante à medida que as fintechs portuguesas servem clientes em toda a UE. A futura Carteira de Identidade Digital Europeia (EUDI Wallet) e as revisões previstas na DSP3 criarão novos percursos de verificação para pagamentos transfronteiriços.
Perguntas frequentes
O que é a prevenção de fraude em pagamentos por verificação documental?
A prevenção de fraude em pagamentos por verificação documental consiste em verificar a autenticidade de documentos de identidade, comprovativos de morada, documentação de rendimentos e documentos empresariais na adesão e durante o ciclo de vida do pagamento. Permite detetar usurpações de identidade, identidades sintéticas e fraude ao comerciante antes de gerarem perdas financeiras.
Quais são as obrigações documentais das entidades de pagamento em Portugal?
As entidades de pagamento autorizadas pelo Banco de Portugal devem realizar a diligência devida no conhecimento do cliente (KYC) ao abrigo da Lei n.º 83/2017, incluindo verificação documental de identidade antes de estabelecer uma relação de negócio. A SCA é obrigatória para transações remotas superiores a 30 euros ao abrigo do DL n.º 91/2018. A AMLD6 impõe monitorização contínua e re-verificações perante eventos desencadeantes.
Como deteta a verificação documental as identidades sintéticas?
A deteção de identidades sintéticas exige combinar três controlos: verificação de autenticidade do documento (análise de metadados e deteção de manipulação por IA), deteção de vivacidade (confirmação de presença física de uma pessoa real) e cruzamento com bases de dados de identidade de terceiros. Nenhum controlo individual é suficiente — taxas de deteção superiores a 94 % requerem os três em combinação.
Que sanções pode o Banco de Portugal aplicar por incumprimento?
O Banco de Portugal pode aplicar sanções que vão de advertências a coimas que podem atingir 10 % do volume de negócios anual em casos de incumprimentos graves das obrigações AML/KYC. A reincidência pode resultar na revogação da autorização e em responsabilidades penais para os gestores responsáveis.
A verificação documental aplica-se também aos comerciantes (KYB)?
Sim. Os operadores de marketplace e os payment facilitators devem aplicar um procedimento KYB a todos os seus sub-comerciantes: verificação de documentos de constituição, declarações de titularidade efetiva, identidade do representante legal e dados bancários. Esta obrigação decorre da Lei n.º 83/2017 e das obrigações contratuais com as redes de cartões. Contacte a nossa equipa para configurar um fluxo de trabalho KYB automatizado adaptado ao seu volume.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.