Quem supervisiona FATCA e CRS em Portugal?

A Autoridade Tributária e Aduaneira (AT) é a autoridade competente para receber e transmitir informação FATCA e CRS. O Banco de Portugal e a CMVM supervisionam a organização, governance e riscos das instituições financeiras, enquanto a UIF, integrada na Polícia Judiciária, atua como unidade de informação financeira em matéria de BC/FT. Para o regime QI, o principal supervisor e contraparte contratual é o IRS (Estados Unidos).

Que sanções podem ser aplicadas em caso de incumprimento?

As consequências podem incluir pedidos de informação e correções por parte da AT, coimas e outras sanções administrativas, determinações e medidas de supervisão reforçada por Banco de Portugal/CMVM, obrigações de remediação e eventuais processos sancionatórios ligados à prevenção de BC/FT, bem como, do lado dos EUA, exigências adicionais de remediation ou, em casos graves, restrições ou cessação do estatuto QI e possível retenção de 30 % ao abrigo de FATCA sobre certos pagamentos.

Como reduzir o risco de achados negativos em inspeções e revisões?

É fundamental dispor de um plano anual de compliance FATCA/CRS/QI, controlos robustos de TIN e GIIN, boa documentação da data lineage e testes de envio, alinhamento entre processos AML/KYC e classificação fiscal, bem como um processo de remediação rápido, bem documentado e com responsabilidades claras sempre que sejam identificadas deficiências.

Portugal — Supervisão e sanções (FATCA, CRS/AIA & QI)

Última atualização: 21 de novembro de 2025

Portugal — Supervisão e sanções

Quem supervisiona o quê? AT – Autoridade Tributária e Aduaneira (FATCA/CRS), Banco de Portugal e CMVM (organização, governance, AML/KYC), UIF (unidade de informação financeira) e IRS (QI) – visão geral dos domínios de supervisão, medidas possíveis e achados típicos, incluindo o risco sancionatório em caso de incumprimento.

1) Quem supervisiona o quê?

Autoridade/órgão	Foco principal	Exemplos de áreas de controlo/supervisão
AT – Autoridade Tributária e Aduaneira	Declarações FATCA e CRS/AEOI	Correção e completude dos ficheiros XML, países e TIN declarados, dados de GIIN, declarações de substituição/correção, cumprimento de prazos e consistência com outra informação fiscal e de terceiros.
Banco de Portugal / CMVM	Organização, governance, supervisão prudencial e comportamental, AML/KYC	Estrutura de governação e controlo interno, processos de onboarding e monitorização contínua de clientes, qualidade de dados e sistemas de TI, reporte regulatório e a integração de FATCA/CRS/QI no quadro geral de gestão de riscos e compliance.
UIF da Polícia Judiciária	Prevenção de branqueamento de capitais e financiamento do terrorismo	Receção e análise de comunicações de operações suspeitas, articulação com as autoridades de supervisão setorial, avaliação de riscos BC/FT e feedback às entidades obrigadas sobre padrões de risco e tipologias relevantes.
IRS	Regime QI (retenção na fonte nos EUA)	Documentação W-8/W-9 e aplicação do critério «reason-to-know», determinação do beneficiário efetivo, correta retenção e reporte (Formulários 1042/1042-S), QI Periodic Review e acompanhamento de achados/certificação.

2) Medidas possíveis por parte das autoridades

AT Pedidos de informação, exigência de declarações adicionais ou corrigidas, ações de regularização e eventual aplicação de coimas por infrações relativas às obrigações de reporte FATCA/CRS.
Banco de Portugal / CMVM Determinações e recomendações de melhoria ao nível de governance, controlo interno, qualidade de dados e organização; em caso de deficiências graves ou reiteradas, aplicação de medidas sancionatórias, sanções pecuniárias e supervisão reforçada.
UIF Exigência de planos de remediação em matéria de prevenção de BC/FT, comunicação ao Ministério Público e/ou ao supervisor setorial e, nos casos mais graves, proposta de instauração de processos sancionatórios ao abrigo da legislação de BC/FT.
IRS (QI/FATCA) Obrigações de remediations (melhorias em documentação, retenção e reporting), revisões adicionais e, em situações mais graves, risco de restrições ou cessação do estatuto QI; no âmbito de FATCA, em última instância, risco de retenção de 30 % sobre determinados pagamentos se a instituição for tratada como Nonparticipating FFI.

3) Achados típicos (exemplos)

Lacunas de TIN / US-TIN: TIN ou US-TIN em falta ou inválidos sem um processo de follow-up eficaz e documentado.
Erros de GIIN: GIIN desatualizados ou incorretos, divergências face à lista de FFI do IRS ou classificação errada de entidades.
Inconsistências de dados entre dossiês KYC/AML, reportes FATCA, reportes CRS e documentação QI.
Governance fraca: papéis e responsabilidades pouco claros, reduzido envolvimento dos órgãos de administração, ausência de princípio dos quatro olhos e gestão de incidentes pouco estruturada.
Falhas técnicas: erros de schema/business rules, envio tardio de correções, testes insuficientes após alterações ou migrações de sistemas.

4) Risco sancionatório (visão geral)

Âmbito fiscal e de reporte: Risco de ações de controlo intensivas, obrigações de correção alargada, coimas por incumprimento das obrigações de reporte FATCA/CRS e escrutínio acrescido em campanhas futuras de fiscalização.
Âmbito de supervisão (Banco de Portugal, CMVM, UIF): Determinações formais, planos de ação obrigatórios, sanções administrativas, eventuais advertências públicas e reforço da supervisão sempre que as deficiências em governance, AML/KYC e qualidade de dados revelem problemas estruturais.
Perspetiva norte-americana (QI/FATCA): Exigência de medidas corretivas adicionais, restrições ou resolução do acordo QI em casos de incumprimento grave ou persistente; adicionalmente, ao abrigo de FATCA, possível retenção de 30 % sobre determinados pagamentos se a instituição passar a ser tratada como Nonparticipating FFI.

5) Prevenção e resposta a achados

Prevenção

Definir um plano anual de compliance para FATCA/CRS/QI com marcos, responsáveis e recursos claros.
Documentar a data lineage e o mapeamento entre sistemas de origem e campos reportados; incluir testes de envio no plano.
Implementar controlos robustos de TIN e GIIN (reconciliações periódicas, alertas, campanhas de atualização de dados com clientes).
Alinhar as etapas de AML/KYC com os requisitos de classificação FATCA/CRS (self-certifications, indicia, «change in circumstances»).
Promover formações regulares para equipas comerciais, KYC, fiscalidade, compliance e TI/reporting.

Quando já existem achados (internos ou externos)

Realizar uma análise de causa raiz rápida e documentada, com um plano de remediação concreto e prazos definidos.
Garantir um rasto de auditoria completo: desde a identificação do issue até ao seu fecho, incluindo re-execução e validação.
Conciliar dados entre KYC ↔ FATCA ↔ CRS ↔ QI para corrigir inconsistências sistémicas.
Avaliar a necessidade de interlocução proativa com AT, Banco de Portugal/CMVM, UIF ou IRS em casos complexos ou de natureza mais principiológica.

6) Outras páginas no hub Portugal

Hub Portugal: Página principal Portugal (QI, FATCA, CRS/AIA)
Quadro regulatório: Fontes legais & repartição de competências
Mecanismos de reporting: Submissão & aspetos técnicos (AT)

Fale connosco Voltar ao hub Portugal

Nota: Medidas e sanções concretas dependem sempre dos factos e circunstâncias do caso específico. São determinantes a legislação aplicável em cada momento, as orientações das autoridades portuguesas competentes e, no que respeita ao regime QI, as disposições relevantes do IRS.