Verificação de identidade governamental: Cartão de Cidadão, CMD e governo digital

A verificação de identidade governamental em Portugal assenta em três pilares digitais: o Cartão de Cidadão com chip RFID, a Chave Móvel Digital (CMD) e o portal Autenticação.gov.pt. As entidades reguladas — bancos, seguradoras, notários, agências imobiliárias e consultoras jurídicas — estão legalmente obrigadas a verificar a identidade dos seus clientes com base na Lei n.º 83/2017 (BCFT) e na Diretiva AMLD6 (Diretiva (UE) 2024/1640). Com o prazo operacional do Regulamento eIDAS 2.0 (Regulamento (UE) 2024/1183) fixado para novembro de 2026, o ecossistema de identidade digital português atravessa uma transformação significativa. Este guia explica o funcionamento destes programas, os requisitos regulatórios em vigor e como automatizar o processo de verificação.

Este artigo tem fins meramente informativos e não constitui aconselhamento jurídico, financeiro ou regulatório.

---

O que é a verificação de identidade governamental?

A verificação de identidade governamental é o processo pelo qual uma entidade confirma que um indivíduo é quem afirma ser, com base em documentos emitidos por autoridades públicas reconhecidas. Em Portugal, este processo é obrigatório para todas as entidades sujeitas à Lei n.º 83/2017, de 18 de agosto — a lei que transpõe para o direito nacional a Diretiva (UE) 2015/849 relativa à prevenção do branqueamento de capitais e financiamento do terrorismo (BCFT).

A verificação deve ocorrer no momento do estabelecimento da relação de negócio, na realização de transações ocasionais acima de 15 000 euros e sempre que existam suspeitas de branqueamento de capitais, independentemente do valor. As entidades financeiras, imobiliárias e jurídicas que não cumprirem estas obrigações ficam sujeitas a coimas que podem alcançar 5 000 000 euros, nos termos do artigo 172.º da mesma lei.

A verificação de identidade governamental não é uma opção — é uma obrigação legal aplicável a dezenas de setores regulados em Portugal, com sanções administrativas e penais em caso de incumprimento.

---

Os programas de identidade digital em Portugal

Portugal dispõe de um ecossistema de identidade digital maduro, desenvolvido progressivamente ao longo de duas décadas.

Cartão de Cidadão

O Cartão de Cidadão é o documento de identificação nacional único, emitido pelo Instituto dos Registos e do Notariado (IRN) em articulação com a Imprensa Nacional-Casa da Moeda (INCM). Introduzido em 2007, integra num único suporte físico o número de identificação fiscal (NIF), o número de identificação da segurança social (NISS), o número de utente do Serviço Nacional de Saúde (NSNS) e o número de eleitor. O chip RFID incorporado contém um certificado digital qualificado reconhecido ao nível eIDAS "elevado", permitindo autenticação e assinatura eletrónica qualificada.

Portugal foi um dos primeiros países da UE a implementar um documento de identidade com chip eletrónico — o Cartão de Cidadão incorpora certificado digital qualificado reconhecido ao nível eIDAS "elevado" desde 2007 (Instituto dos Registos e do Notariado).

Chave Móvel Digital (CMD)

A Chave Móvel Digital foi lançada em 2016 como mecanismo de autenticação forte para serviços públicos digitais. Funciona com base num número de telemóvel e num PIN, enviando um código de verificação por SMS para confirmar cada acesso. A CMD está disponível para cidadãos portugueses e estrangeiros residentes em Portugal e é reconhecida como meio de autenticação de nível "substancial" ao abrigo do eIDAS. Em 2025, o número de utilizadores registados na CMD ultrapassou os 3,5 milhões, segundo dados do portal Autenticação.gov.pt.

Autenticação.gov.pt

O portal Autenticação.gov.pt é a plataforma oficial de autenticação digital do Estado português, gerida pela Agência para a Modernização Administrativa (AMA). Permite o acesso a centenas de serviços públicos com o Cartão de Cidadão ou a CMD, e serve igualmente de base para a integração de sistemas privados que requeiram verificação de identidade governamental.

IRN — Instituto dos Registos e do Notariado

O IRN é a entidade responsável pela emissão, gestão e renovação do Cartão de Cidadão, bem como pela manutenção dos registos civis, prediais e comerciais. As entidades que pretendam integrar a leitura do chip do Cartão de Cidadão nos seus sistemas devem consultar a documentação técnica disponibilizada pelo IRN em irn.mj.pt.

---

Quadro regulatório: eIDAS 2.0, RGPD e Lei 83/2017

O enquadramento legal da verificação de identidade em Portugal articula três instrumentos principais.

Regulamento (UE) 2024/1183 — eIDAS 2.0

O Regulamento eIDAS 2.0, publicado em abril de 2024, impõe aos Estados-Membros a disponibilização de uma Carteira Europeia de Identidade Digital (EUDI Wallet) até novembro de 2026. A carteira permitirá aos cidadãos partilhar atributos de identidade verificados — como nome, data de nascimento ou morada — com entidades privadas e públicas, sem necessidade de transmitir o documento físico. Para as empresas portuguesas, isto significa que, a partir de novembro de 2026, deverão ser capazes de aceitar credenciais emitidas pela EUDI Wallet como meio válido de verificação de identidade. O texto integral do regulamento está disponível em EUR-Lex.

O Regulamento (UE) 2024/1183 (eIDAS 2.0) estabelece novembro de 2026 como prazo para que todos os Estados-Membros disponibilizem a Carteira Europeia de Identidade Digital aos seus cidadãos, com impacto direto nas obrigações de verificação das entidades privadas (EUR-Lex).

Lei n.º 58/2019 — RGPD nacional

A Lei n.º 58/2019, de 8 de agosto, assegura a execução do Regulamento Geral sobre a Proteção de Dados (RGPD) em Portugal. As entidades que tratem dados biométricos ou dados de documentos de identidade para fins de verificação devem garantir uma base jurídica adequada (obrigação legal ou consentimento explícito), nomear um Encarregado de Proteção de Dados (EPD) quando aplicável e notificar a Comissão Nacional de Proteção de Dados (CNPD) em caso de violação de dados. Mais informação em cnpd.pt.

Lei n.º 83/2017 — BCFT

A Lei n.º 83/2017 (BCFT) define as medidas de diligência devida que as entidades obrigadas devem aplicar na verificação de identidade. O artigo 26.º estabelece que a identificação deve basear-se em documentos, dados ou informações obtidos de fontes fiáveis e independentes. A Diretiva (UE) 2024/1640 (AMLD6), publicada em junho de 2024, reforça estas obrigações e deverá ser transposta pelos Estados-Membros até julho de 2027.

---

Documentos governamentais aceites em Portugal

Os documentos aceites para efeitos de verificação de identidade em contexto KYC e BCFT variam conforme o nível eIDAS atribuído e o tipo de entidade que realiza a verificação.

O Cartão de Cidadão e o passaporte biométrico são os únicos documentos portugueses que atingem o nível "elevado" do eIDAS, tornando-os os documentos de referência para processos KYC de maior risco. A Autorização de Residência, emitida pela Agência para a Integração, Migrações e Asilo (AIMA, sucessora do SEF), é aceite para cidadãos não comunitários residentes em Portugal. A carta de condução, emitida pelo Instituto da Mobilidade e dos Transportes (IMT), serve geralmente como documento complementar de verificação de morada, não sendo aceite como documento primário de identificação em processos BCFT.

---

Métodos de verificação automatizada

A verificação automatizada de documentos governamentais combina várias tecnologias para garantir fiabilidade e conformidade regulatória.

OCR e leitura MRZ — O reconhecimento ótico de carateres (OCR) permite extrair dados do campo de leitura ótica (MRZ — Machine Readable Zone) presente no Cartão de Cidadão e no passaporte. A MRZ contém dados estruturados que podem ser validados por checksum, detetando erros de transcrição ou adulterações.

Leitura NFC do chip do Cartão de Cidadão — O chip RFID do Cartão de Cidadão pode ser lido por dispositivos com tecnologia NFC (Near Field Communication), como smartphones modernos. A leitura do chip permite verificar a autenticidade criptográfica do documento, aceder à fotografia armazenada e confirmar a integridade dos dados, com um nível de segurança superior à leitura ótica.

Validação de elementos de segurança — A verificação automatizada inclui também a análise de elementos de segurança físicos — hologramas, tintas UV, microimpressão — através de câmaras multiespectrais e algoritmos de visão computacional.

Liveness detection — Para processos de verificação remota, a deteção de vivacidade (liveness detection) confirma que o utilizador é uma pessoa real e está presente no momento da verificação, prevenindo ataques com fotografias ou vídeos pré-gravados. Este requisito é exigido pelo eIDAS 2.0 para processos de identificação remota de nível "elevado".

Para uma análise aprofundada dos métodos e tecnologias disponíveis, consulte o artigo Verificação de identidade: métodos e tecnologias e o guia sobre eIDAS 2.0 e a Carteira de Identidade Digital Europeia.

---

Desafios da verificação de identidade em 2026

A verificação de documentos governamentais enfrenta um conjunto de desafios crescentes, em particular no que respeita à sofisticação das fraudes documentais.

A proliferação de ferramentas de geração de imagens com inteligência artificial reduziu significativamente a barreira de entrada para a produção de documentos falsos. A nossa plataforma registou um aumento da proporção de documentos de identidade gerados ou adulterados com IA, que passou de 3% em 2024 para 12% em 2025, refletindo uma aceleração preocupante desta tendência. Os documentos de identidade representam 19% de todas as fraudes documentais detetadas, sendo os passaportes e as autorizações de residência os alvos mais frequentes.

A nossa plataforma processa mais de 3.200 tipos de documentos em 32 jurisdições, com uma precisão OCR de 98,7% em documentos de identidade emitidos por autoridades governamentais. Esta capacidade permite identificar inconsistências que escapam à análise visual humana, incluindo alterações subtis em fontes, espaçamentos e elementos de segurança.

Outros desafios relevantes incluem a fragmentação regulatória — com diferentes obrigações a aplicar-se conforme o setor e o tipo de cliente — e a gestão do ciclo de vida dos documentos, dado que um Cartão de Cidadão emitido em 2017 tem características de segurança diferentes de um emitido em 2024.

---

Automatizar a verificação de identidade governamental com CheckFile

A automatização do processo de verificação de identidade reduz os custos operacionais, acelera o onboarding de clientes e diminui o risco de erro humano em processos de diligência devida. A CheckFile.ai oferece uma plataforma de verificação documental que cobre o ciclo completo: extração de dados por OCR, validação de autenticidade, deteção de adulterações e geração de relatórios de conformidade.

Para entidades do setor financeiro com obrigações KYC/BCFT, a solução CheckFile para bancos e KYC integra com os principais sistemas de gestão de clientes e permite a verificação em tempo real de Cartões de Cidadão, passaportes biométricos e autorizações de residência. As políticas de segurança e os controlos de acesso aplicados estão documentados na página de segurança.

O guia setorial de verificação apresenta os requisitos específicos aplicáveis a bancos, seguradoras, agências imobiliárias, notários e outras entidades obrigadas.

---

Perguntas frequentes

A verificação de identidade governamental é obrigatória em Portugal?

A verificação de identidade é obrigatória para todas as entidades abrangidas pela Lei n.º 83/2017 (BCFT), incluindo instituições financeiras, seguradoras, prestadores de serviços de pagamento, agentes imobiliários, notários, advogados e contabilistas. A obrigação aplica-se no início de qualquer relação de negócio e em transações ocasionais acima de 15 000 euros. O incumprimento pode resultar em coimas até 5 000 000 euros.

Qual é a diferença entre o Cartão de Cidadão e a Chave Móvel Digital para verificação?

O Cartão de Cidadão é um documento físico com chip que serve como prova de identidade — contém dados biográficos, biométricos e um certificado digital qualificado. A Chave Móvel Digital é um mecanismo de autenticação que confirma que uma pessoa tem acesso a um número de telemóvel registado, mas não verifica a identidade por si só. Para fins KYC e BCFT, o Cartão de Cidadão é o documento de referência; a CMD pode ser usada como fator de autenticação adicional em serviços digitais, mas não substitui a verificação documental.

Que documentos de identidade são aceites para o KYC bancário em Portugal?

Para processos KYC bancário em Portugal, os documentos primários aceites são o Cartão de Cidadão e o passaporte biométrico (nível eIDAS "elevado"). Para cidadãos não comunitários, é aceite a Autorização de Residência emitida pela AIMA (nível eIDAS "substancial"). A carta de condução pode ser aceite como documento complementar de verificação de morada, mas não como documento primário de identificação. Os critérios exatos dependem da política de risco de cada instituição e das orientações do Banco de Portugal.

Como o Regulamento eIDAS 2.0 afeta as empresas portuguesas?

O Regulamento (UE) 2024/1183 (eIDAS 2.0) obriga os Estados-Membros a disponibilizar a Carteira Europeia de Identidade Digital (EUDI Wallet) até novembro de 2026. As empresas dos setores bancário, saúde, telecomunicações e outros serviços de elevado impacto serão obrigadas a aceitar a EUDI Wallet como meio de identificação. Para as restantes empresas, a aceitação é incentivada mas não obrigatória na fase inicial. As empresas devem preparar os seus sistemas de verificação para receber credenciais da EUDI Wallet antes do prazo regulatório.

É possível verificar automaticamente um Cartão de Cidadão ou passaporte com IA?

A verificação automatizada de Cartões de Cidadão e passaportes é tecnicamente possível e regulatoriamente aceite, desde que o sistema cumpra os requisitos de segurança e fiabilidade exigidos pelo eIDAS e pela Lei n.º 83/2017. Os métodos incluem OCR com validação MRZ, leitura NFC do chip (para documentos com chip ativo), análise de elementos de segurança e liveness detection para processos remotos. Sistemas certificados por organismos acreditados ao abrigo do eIDAS podem ser utilizados para verificação de nível "elevado" em processos totalmente digitais.