Normas CDD da AMLA: O Que os Sistemas KYC Devem Entregar
A consulta da AMLA sobre normas técnicas CDD encerrou a 8 de maio. Regras definitivas chegam a 10 de julho de 2026. O que os sistemas de identidade devem cumprir.
A 8 de maio de 2026, encerrou-se um período de consulta em Bruxelas que a maioria das equipas de conformidade não tinha registado no calendário. A Autoridade de Combate ao Branqueamento de Capitais esteve a aceitar comentários públicos sobre o seu projeto de Normas Técnicas Regulatórias (RTS) em matéria de Diligência Devida com o Cliente — um documento que definirá com precisão jurídica o modo como a verificação de identidade deve funcionar em toda a UE.
As normas definitivas devem ser submetidas à Comissão Europeia até 10 de julho de 2026. A partir dessa data, as entidades obrigadas terão até 10 de julho de 2027 para adaptar as suas políticas, sistemas e controlos.
São 14 meses. Pode parecer tempo suficiente. Não é.
O que Cobrem Realmente as Normas Técnicas CDD da AMLA
O projeto de RTS da AMLA sobre Diligência Devida com o Cliente (ao abrigo do Artigo 28(1) do Regulamento CBC) não descreve princípios gerais. Especifica requisitos operacionais: que documentos podem ser aceites, que meios de identificação eletrónica são válidos, que fatores de risco devem desencadear a escalada da diligência padrão para a reforçada, e em que condições é permitida a diligência simplificada.
Este é o manual técnico que governará a forma como a identidade é verificada em todo o sistema financeiro da UE, no setor cripto, no setor imobiliário, no mercado de bens de luxo e em todas as outras categorias de entidades obrigadas ao abrigo do AMLR.
A consulta abrangeu três áreas distintas:
| Área | Base Jurídica | O que Regula |
|---|---|---|
| Requisitos de diligência | Art. 28(1) AMLR | Documentos, meios eletrónicos, métodos de verificação |
| Monitorização de relações de negócio | Art. 19(9) AMLR | Gatilhos para revisão contínua e re-verificação |
| Supervisão harmonizada | Art. 53(10) AMLD6 | Metodologia supervisora para avaliar a conformidade CBC |
Compreender estes três pilares é a base para entender o que os sistemas de identidade terão de fazer a partir de julho de 2027.
O Quadro de Diligência a Três Níveis
O AMLR formaliza uma abordagem de três níveis para a diligência devida com o cliente: padrão, simplificada e reforçada. O RTS define as condições técnicas de cada uma.
Diligência Padrão
A diligência padrão aplica-se à relação de cliente por defeito. O RTS especifica que documentos de identidade as entidades obrigadas podem recolher e em que se basear para verificar a identidade do cliente e a titularidade efetiva real.
De forma relevante, o RTS estabelece formalmente que meios de identificação eletrónica satisfazem os requisitos de diligência. No âmbito do regulamento, a identificação eletrónica conforme ao eIDAS — incluindo credenciais emitidas através da Carteira de Identidade Digital da UE — qualifica para a diligência padrão e é explicitamente considerada equivalente à verificação presencial.
Isto tem implicações estruturais: se o seu sistema de integração aceitar credenciais eIDAS governamentais ao mesmo nível de garantia que aplica a documentos físicos, a obrigação de diligência fica satisfeita sem revisão manual adicional. Se não o fizer, está a acumular dívida técnica que se torna um passivo de conformidade em 2027.
Diligência Simplificada
O projeto de RTS aborda as condições em que as entidades obrigadas podem aplicar medidas de diligência reduzidas. Inclui disposições específicas para instrumentos de dinheiro eletrónico — cartões pré-pagos e produtos similares — onde a AMLA especifica os limiares de risco abaixo dos quais não é necessária a diligência completa.
A diligência simplificada não é uma isenção do KYC. É uma redução calibrada na profundidade das medidas de verificação, permitida apenas quando os fatores de risco documentados caem abaixo de limiares definidos. O RTS define esses limiares explicitamente, eliminando a zona cinzenta interpretativa em que as equipas de conformidade têm operado sob as transposições nacionais anteriores da AMLD4 e AMLD5.
Diligência Reforçada
A diligência reforçada é desencadeada quando estão presentes fatores de risco específicos. O RTS não deixa o "risco elevado" indefinido: enumera as condições que impõem a escalada:
- Clientes de jurisdições nas listas cinzentas ou negras do GAFI
- Pessoas politicamente expostas (PEP) e seus associados
- Transações envolvendo estruturas corporativas complexas ou acordos de mandatário
- Padrões de transações incomuns relativamente ao propósito comercial declarado
- Integração não presencial em contextos onde se justifica verificação adicional
Para os sistemas de identidade, a diligência reforçada tem uma implicação técnica específica: as medidas de verificação devem ser documentalmente mais rigorosas. Isso implica tipos de documentos adicionais, verificações de liveness adicionais, verificação da origem dos fundos e, em alguns casos, aprovação da gestão de topo.
A Intersecção com o eIDAS 2.0
Um dos aspetos operacionalmente mais significativos do RTS CDD é o seu tratamento dos meios de identificação eletrónica. É aqui que as normas da AMLA se ligam diretamente ao quadro eIDAS 2.0 e ao calendário de implementação da Carteira EUDI.
Ao abrigo do projeto de RTS, os meios de identificação eletrónica que cumprem certos atributos são considerados válidos para a diligência devida. Especificamente, o RTS define os requisitos técnicos que os meios de identificação eletrónica devem satisfazer — níveis de garantia, propriedades criptográficas, confiança do emissor — para serem aceites na diligência padrão e reforçada.
Isto cria uma dependência de implementação direta: as empresas que adiarem o seu registo como partes confiantes no eIDAS 2.0 encontrar-se-ão a construir uma capacidade de conformidade que já será tecnicamente desatualizada quando o RTS AMLR entrar em vigor. Os dois calendários regulatórios — implementação da Carteira EUDI em dezembro de 2026 e aplicação do RTS AMLR a partir de julho de 2027 — convergem num intervalo de sete meses.
A consequência prática é que os sistemas de identidade concebidos apenas em torno da captura de documentos necessitarão de uma re-arquitetura fundamental para satisfazer simultaneamente o eIDAS 2.0 e as normas CDD do AMLR.
Quem É Afetado Para Além das Instituições Financeiras
O AMLR alarga significativamente a categoria de entidades obrigadas em comparação com as diretivas CBC anteriores. O RTS CDD aplica-se não apenas a bancos e instituições de pagamento, mas à lista completa de setores regulados:
- Prestadores de serviços de criptoativos (CASP) ao abrigo do MiCA
- Agentes imobiliários e gestores de propriedades
- Comerciantes de bens de luxo acima dos limiares de transação
- Contabilistas, auditores e consultores fiscais
- Prestadores de serviços fiduciários e societários
- Comerciantes de bens de alto valor e leiloeiras
Para os CASP que já navegam o prazo de licença MiCA de 1 de julho de 2026, o RTS CDD acrescenta uma segunda camada de obrigação técnica que chega doze meses depois. As empresas que construíram fluxos KYC conformes com o MiCA precisarão auditar esses fluxos em relação às normas CDD do AMLR antes de julho de 2027 — e muitas encontrarão lacunas.
Para os profissionais do setor imobiliário, as normas CDD do AMLR representam um domínio de conformidade inteiramente novo. O setor tem operado historicamente sob requisitos CBC mais ligeiros. O AMLR muda isso categoricamente. O RTS especifica o que a verificação de identidade para transações imobiliárias deve incluir, que tipos de documentos são aceitáveis e que monitorização contínua é necessária para as relações de negócio.
O que as Empresas Devem Construir Antes de Julho de 2027
Os 14 meses entre a publicação do RTS (julho de 2026) e a sua data de aplicação (julho de 2027) não constituem tempo suficiente, por duas razões.
Em primeiro lugar, o RTS não é o único entregável. A AMLA está a publicar aproximadamente 26 normas técnicas, normas técnicas de execução e orientações apenas em 2026. Cada uma requer interpretação, análise de lacunas, adaptação do sistema e documentação.
Em segundo lugar, as alterações técnicas necessárias não são atualizações de configuração. Implicam:
- Rever a lógica de aceitação de documentos para alinhar com os tipos de documentos aceitáveis definidos pelo RTS
- Construir ou integrar a verificação de identificação eletrónica conforme ao eIDAS
- Implementar a deteção de fatores de risco para a determinação automatizada do nível CDD
- Adicionar fluxos de trabalho de diligência reforçada documentados com cadeias de aprovação
- Atualizar os gatilhos de monitorização contínua com base nas condições de revisão de relações de negócio definidas no RTS
| Ação | Quando |
|---|---|
| Análise de lacunas: sistema KYC atual vs. RTS CDD AMLR | Agora — Q2 2026 |
| Iniciar registo como parte confiante no eIDAS 2.0 | Q2–Q3 2026 |
| Implementar lógica de determinação do nível CDD por fatores de risco | Q3 2026 |
| Completar a arquitetura do fluxo de diligência reforçada | Q4 2026 |
| Testes completos e revisão de documentação | Q1 2027 |
| Data de aplicação do RTS CDD AMLR | 10 de julho de 2027 |
Onde os Agentes de IA Mudam a Equação
A abordagem manual de conformidade não consegue escalar para o volume e a complexidade que o RTS CDD do AMLR exige. As normas requerem decisões dinâmicas, documentadas e proporcionadas ao risco no momento da integração e ao longo de toda a relação de negócio.
É precisamente aqui que os sistemas de KYC agêntico oferecem uma vantagem estrutural. Um agente de IA que avalia continuamente os fatores de risco do cliente em relação aos gatilhos definidos pelo RTS pode determinar o nível CDD apropriado em tempo real, aplicar as medidas de verificação corretas, documentar a decisão com uma trilha de auditoria e reavaliar quando o perfil de risco muda.
O RTS CDD do AMLR, lido atentamente, descreve um problema de inteligência contínua — não um exercício pontual de recolha de documentos. A verificação deve ser contínua, a avaliação de risco deve ser atualizada e a documentação deve ser contemporânea.
As arquiteturas KYC de nova geração — construídas em torno de verificação contínua, contextual e orientada por inteligência — já estão alinhadas com o design do RTS CDD do AMLR. As construídas em torno da captura estática de documentos no momento da integração necessitarão de uma reformulação fundamental antes de julho de 2027.
Os Agentes de IA da Joinble são concebidos para gerir exatamente este tipo de fluxo de trabalho de conformidade dinâmico e calibrado ao risco — onde o nível CDD é determinado por sinais de risco em tempo real em vez de um questionário manual preenchido no registo.
FAQ
O que é o RTS CDD da AMLA e por que é importante?
O RTS da AMLA sobre Diligência Devida com o Cliente especifica exatamente como as entidades obrigadas devem verificar a identidade do cliente em toda a UE. Define os documentos aceitáveis, os meios de identificação eletrónica válidos e as condições para a diligência padrão, simplificada e reforçada. Não é orientação — é lei técnica vinculativa, aplicável a partir de 10 de julho de 2027.
Quando são publicadas as normas técnicas CDD definitivas?
A AMLA deve submeter o seu projeto de RTS definitivo à Comissão Europeia antes de 10 de julho de 2026. Após adoção pela Comissão, as normas aplicar-se-ão a partir de 10 de julho de 2027. As empresas têm 12 meses para implementar as alterações necessárias a partir da publicação definitiva.
A quem se aplica o RTS CDD do AMLR?
A todas as entidades obrigadas ao abrigo do AMLR: bancos, instituições de pagamento, instituições de dinheiro eletrónico, prestadores de serviços de criptoativos, agentes imobiliários, comerciantes de bens de luxo, contabilistas, auditores, prestadores de serviços fiduciários e societários, e outros. Isto é significativamente mais abrangente do que as diretivas CBC anteriores.
Como se relaciona o eIDAS 2.0 com as normas técnicas CDD?
O RTS CDD da AMLA reconhece formalmente os meios de identificação eletrónica conformes ao eIDAS como válidos para a diligência devida com o cliente. As credenciais emitidas através da Carteira de Identidade Digital da UE qualificarão para a diligência padrão e reforçada quando cumprirem os atributos técnicos definidos no RTS. As empresas que não integrem verificação conforme ao eIDAS antes de julho de 2027 terão uma lacuna de conformidade.
Como podem os agentes de IA ajudar a cumprir os requisitos CDD do AMLR?
Os agentes de IA podem avaliar os fatores de risco do cliente em relação aos gatilhos definidos pelo AMLR em tempo real, determinar o nível CDD apropriado, aplicar as medidas de verificação correspondentes, documentar a decisão com uma trilha de auditoria completa e atualizar a avaliação quando os indicadores de risco mudam. Este é o tipo de fluxo de trabalho de conformidade contínuo, documentado e proporcionado que o RTS CDD do AMLR requer — e que os processos manuais não conseguem fornecer em escala.
Fique a par de IA e KYC
Receba os melhores artigos sobre inteligência artificial, verificação de identidade e compliance diretamente na sua caixa de entrada.
Artigos relacionados
A Crise de Fraude IA de $40B: A Resposta da Indústria
A Deloitte projeta que a fraude habilitada por IA atingirá 40 mil milhões de dólares em 2027. Veja como o plano de 20 pontos da indústria financeira remodela a conformidade KYC.
A AMLA Está Observando: A Nova Autoridade AML da UE
A nova Autoridade AML da UE supervisiona ativamente os CASPs de criptoativos. O que as empresas devem implementar antes do prazo crítico de julho de 2026.
Carteira EUDI: o que o prazo de dez. 2026 muda no KYC
Todos os Estados-membros da UE devem disponibilizar a Carteira EUDI até dezembro de 2026. Saiba o que muda para o seu processo KYC e compliance MiCA.
