AMLD6 e software de compliance: o guia prático
O branqueamento de capitais não é um problema de bancos. É um problema de qualquer entidade que receba dinheiro, preste serviços a clientes de risco variável ou opere em sectores com exposição a dinheiro de origem ilícita.
O novo pacote legislativo anti-branqueamento da União Europeia — que inclui o AMLR (Regulamento 2024/1624) e a Directiva 2024/1640 — vai elevar o nível de exigência a partir de 2027. Mas a lei vigente hoje em Portugal (Lei n.º 83/2017) já obriga à maioria das práticas descritas neste artigo. Para muitas PMEs que já tinham dificuldade em operacionalizar o compliance AML, a pergunta é a mesma: como é que isto se faz na prática?
Este artigo responde a essa pergunta. Sem jargão desnecessário, sem omitir o que é difícil.
O que é a AMLD6?
O pacote legislativo anti-branqueamento de 2024 da União Europeia é composto por instrumentos distintos que têm sido frequentemente confundidos. É essencial distingui-los antes de falar em obrigações concretas.
AMLR — Regulamento (UE) 2024/1624: instrumento de aplicação directa em todos os Estados-membros (não necessita de transposição). É aqui que residem as obrigações substantivas para as entidades privadas — alargamento do âmbito das entidades obrigadas (incluindo prestadores de serviços de cripto-activos e plataformas de crowdfunding), reforço das regras de KYC e due diligence, e harmonização das obrigações de identificação de beneficiários efectivos. Quando este artigo fala em novas exigências de compliance para as entidades, é ao AMLR que se refere.
Directiva (UE) 2024/1640 (frequentemente designada "AMLD6" no contexto de 2024): trata de supervisão nacional, Unidades de Informação Financeira (UIF), registos de beneficiários efectivos e cooperação transfronteiriça entre autoridades. Não é o instrumento que altera directamente as obrigações das entidades privadas — essa função cabe ao AMLR.
Uma nota histórica relevante: existe ainda uma directiva anterior também conhecida como "AMLD6 penal" — a Directiva 2018/1673 —, que harmonizou as sanções penais para o crime de branqueamento de capitais a nível europeu. Esta já foi transposta em Portugal pela Lei n.º 58/2020 e está em vigor desde 2020. Não deve ser confundida com os instrumentos de 2024.
Datas críticas: o AMLR e a Directiva 2024/1640 aplicam-se a partir de 10 de julho de 2027. A lei vigente hoje em Portugal é a Lei n.º 83/2017 (que transpôs as AMLD4 e AMLD5). Os Estados-membros têm até julho de 2027 para transpor a Directiva 2024/1640.
Datas críticas a reter
A lei vigente hoje em Portugal é a Lei n.º 83/2017. O novo pacote AMLR + Directiva 2024/1640 aplica-se a partir de 10 de julho de 2027. A preparação começa agora.
O quadro prático descrito neste artigo — KYC, due diligence, monitorização e reporte — é já uma realidade legal ao abrigo da Lei 83/2017. O AMLR eleva e harmoniza esse nível de exigência a partir de 2027. Preparar-se agora é preparar-se para o regime que já existe e para o que vem a seguir.
A quem se aplica?
Em Portugal, a Lei n.º 83/2017 (lei vigente) define o conjunto de entidades obrigadas. O AMLR de 2024 alargará esse âmbito a partir de 2027. Actualmente, estão tipicamente incluídas:
- Instituições financeiras (bancos, seguradoras, gestores de activos)
- Contabilistas, revisores oficiais de contas e auditores
- Advogados e solicitadores (em certas operações)
- Notários
- Agentes imobiliários e promotores imobiliários
- Prestadores de serviços a sociedades (constituição de empresas, domiciliação, etc.)
- Casinos e operadores de jogos online
- Prestadores de serviços de cripto-activos (PSCA)
- Comerciantes de bens de elevado valor (arte, veículos de luxo, joalharia)
Se a sua empresa está nesta lista — ou presta serviços a entidades desta lista — as obrigações AML são relevantes para si, directa ou indirectamente.
O que exige na prática?
As obrigações nucleares não são novas — existem já ao abrigo da Lei n.º 83/2017 —, mas o AMLR (a partir de 2027) eleva o nível de exigência em todas elas:
Política de prevenção de branqueamento — documentada, aprovada pela gestão, actualizada regularmente.
Avaliação de risco — cada entidade tem de avaliar o seu perfil de risco próprio: que clientes serve, que produtos ou serviços oferece, que canais usa, em que geografias opera.
Due diligence de clientes (KYC) — identificação e verificação da identidade dos clientes, incluindo beneficiários efectivos. A due diligence simplificada já não é a norma; a due diligence reforçada aplica-se a um leque crescente de situações.
Monitorização contínua — as relações de negócio não são verificadas uma vez e esquecidas. Há obrigação de monitorizar transacções e actualizar informação.
Reporte de operações suspeitas — quando surgem indícios de branqueamento ou financiamento do terrorismo, há obrigação de reporte à Unidade de Informação Financeira (UIF).
Formação — os colaboradores com funções relevantes têm de receber formação adequada e actualizada.
Conservação de registos — toda a documentação de due diligence e monitorização tem de ser conservada por um período mínimo (geralmente cinco anos).
Porque é que folhas de Excel não chegam
Esta é a questão central para muitas PMEs. A resposta não é ideológica — é prática.
Excel / Processo Manual
- Sem log de alterações auditável
- Versões desincronizadas entre colaboradores
- Verificação de sanções manual e inconsistente
- Evidências impossíveis de reconstituir para auditores
- Renovações de KYC esquecidas com base de clientes grande
Plataforma GRC (EterShield)
- Historial completo de todas as alterações
- Acesso centralizado e partilhado em tempo real
- Verificação de listas de sanções integrada
- Exportação estruturada para auditores
- Alertas automáticos de renovação de due diligence
Rastreabilidade. Uma folha de Excel não tem log de alterações auditável. Não há como saber quem alterou o quê, quando e porquê. Em contexto de auditoria ou investigação, isto é uma lacuna grave.
Actualização e consistência. Em empresas com vários colaboradores envolvidos no processo de KYC, manter folhas sincronizadas é manual e sujeito a erros. Uma versão desactualizada de uma avaliação de risco pode gerar incumprimento sem que ninguém se aperceba.
Escalabilidade. À medida que a base de clientes cresce, a gestão de KYC em ficheiros torna-se inviável. As verificações atrasam-se, os renovações são esquecidas, os alertas não são registados.
Evidência para auditores. Quando um auditor ou a autoridade de supervisão pede evidências de due diligence, a capacidade de exportar um historial completo e estruturado faz toda a diferença. Numa folha de Excel, essa evidência é praticamente impossível de reconstituir de forma credível.
Pesquisa em listas de sanções. A verificação de clientes contra listas de sanções internacionais (OFAC, EU, ONU) tem de ser feita de forma sistemática e documentada. Fazer isto manualmente é lento e inconsistente.
O problema não é a ferramenta em si — é que o nível de exigência regulatória actual não foi desenhado para processos manuais.
O papel de uma plataforma de compliance
Uma plataforma de GRC orientada para compliance AML centraliza os processos que de outra forma ficam dispersos em ficheiros, emails e procedimentos informais.
Na plataforma EterShield, por exemplo, os controlos de compliance são mapeados para frameworks reconhecidas — incluindo obrigações do pacote AML da UE (Lei 83/2017 e AMLR) — com estado de implementação, responsável, evidências e histórico de alterações. Tudo num único sítio, acessível e auditável.
Os frameworks disponíveis cobrem não apenas as obrigações AML, mas também NIS2, ISO 27001, RGPD e outros — o que é relevante para empresas que acumulam obrigações de compliance em diferentes domínios (o que é cada vez mais comum).
Isto não substitui uma decisão humana quando surge uma operação suspeita. Mas garante que o processo que envolve essa decisão é estruturado, rastreável e defensável.
Três perguntas para avaliar a maturidade do seu processo actual
Antes de investir em tecnologia, vale a pena responder a estas três perguntas sobre o estado actual:
-
Se um auditor pedisse hoje o historial completo de due diligence de um cliente dos últimos cinco anos, conseguia fornecer em menos de uma hora? Se a resposta for não, o processo actual tem uma lacuna de rastreabilidade.
-
Como garante que os clientes existentes são re-verificados quando as suas circunstâncias mudam? Se a resposta for "não garantimos sistematicamente", há risco de due diligence desactualizada.
-
Os colaboradores envolvidos no processo sabem exactamente o que fazer quando identificam uma operação suspeita? Se a resposta for "depende da pessoa", há risco de inconsistência no reporte.
As respostas a estas perguntas definem onde investir primeiro — em processo, em ferramenta ou em formação.
Perguntas frequentes
O que muda para a minha empresa com o novo pacote AML da UE? A lei vigente hoje em Portugal é a Lei n.º 83/2017 (transposição das AMLD4 e AMLD5). O novo pacote — AMLR e Directiva 2024/1640 — aplica-se a partir de 10 de julho de 2027. As principais mudanças substantivas para as entidades privadas chegam via AMLR: alargamento do âmbito, reforço de KYC e due diligence. Entidades que estejam hoje compliant com a Lei 83/2017 têm ainda tempo para se preparar, mas a direcção de viagem é clara: mais exigência em todas as obrigações nucleares a partir de 2027.
A minha empresa de contabilidade está abrangida? Em geral, sim — os contabilistas certificados estão tipicamente na lista de entidades obrigadas quando prestam serviços de constituição de sociedades, gestão de fundos ou assessoria fiscal. O âmbito exacto depende dos serviços prestados e da legislação nacional de transposição.
Quais as sanções por incumprimento? As sanções variam consoante a gravidade. Em Portugal, ao abrigo da Lei n.º 83/2017, o incumprimento das obrigações AML pode resultar em coimas administrativas e, nos casos mais graves, em responsabilidade criminal — quadro reforçado pela Lei n.º 58/2020 (transposição da Directiva 2018/1673, que harmonizou sanções penais por branqueamento a nível europeu). O AMLR, a partir de 2027, harmoniza ainda mais o regime sancionatório a nível da UE.
A verificação de sanções tem de ser feita em tempo real? Para novas relações de negócio, sim — a verificação deve ser feita antes do início da relação. Para clientes existentes, deve ser feita de forma periódica e sempre que haja alterações relevantes.
Plataformas como o EterShield substituem um oficial de compliance? Não. Uma plataforma GRC suporta o trabalho do oficial de compliance — estrutura o processo, mantém registos, facilita o reporte. A responsabilidade pelas decisões de compliance permanece humana.
Ponto de partida
Se está a começar a estruturar o processo de compliance AML, o primeiro passo é uma avaliação de risco documentada. Sem ela, não há base para decidir que nível de due diligence aplicar nem como priorizar recursos.
O EterShield tem controlos e frameworks específicos para apoiar este processo — desde o mapeamento inicial até à gestão contínua. Pode explorar a plataforma e os frameworks disponíveis para perceber o que se adequa à sua situação.
Compliance AML bem implementado não é um custo operacional — é uma condição de acesso a mercados, parceiros e financiamento. Quanto mais cedo estiver estruturado, menos disruptivo é.
