Blog
Vérification d'identité

Vérifier une carte d'identité portugaise (Cartão de Cidadão) : guide 2026

Vérifier une carte d'identité portugaise (Cartão de Cidadão) en 2026 : puce NFC PACE+BAC, éléments de sécurité, liveness PAD, face-match. Guide KYC complet.
Gaël
May 25, 2026
Vérifier une carte d'identité portugaise (Cartão de Cidadão) : guide 2026

En bref — Le Cartão de Cidadão portugais est l'une des cartes d'identité les plus riches d'Europe : elle concentre en un seul support le numéro d'identité, le NIF fiscal, le numéro de sécurité sociale et le numéro de santé (SNS). Sa puce NFC (BAC + PACE, ICAO 9303) supporte les contrôles cryptographiques complets. Comme pour tout document NFC, la protection complète exige le triptyque : NFC + liveness PAD ISO 30107-3 niveau 2 + face-match.

Publié le 24 mai 2026 · Temps de lecture : 8 minutes

Le Cartão de Cidadão : une carte multifonction unique en Europe

Introduit en 2007 par l'IRN (Instituto dos Registos e do Notariado), le Cartão de Cidadão (CC) remplace quatre documents distincts sur un seul support physique et électronique.

Fonction Identifiant Format Utilisation en KYC
Identité nationale Numéro de citoyen (9 chiffres + contrôle) Affiché recto + MRZ verso Vérification primaire + cross-check MRZ
Identification fiscale NIF — Número de Identificação Fiscal (9 chiffres) Affiché recto Vérification de cohérence fiscale, télé-déclaration
Sécurité sociale NISS — Número de Identificação da Segurança Social (11 chiffres) Affiché recto Employeur, prestataires santé
Santé (SNS) Numéro utente SNS (9 chiffres) Affiché recto Prestataires de santé, télémédecine

Cette densité d'informations est un atout pour le KYC : la cohérence croisée entre ces identifiants peut être vérifiée algorithmiquement, et le NIF est directement exploitable pour les vérifications fiscales (achat immobilier, ouverture de compte bancaire portugais, BNPL).

Éléments visuels et de sécurité

Recto :

  • Photo couleur, fond clair, format ICAO.
  • Hologramme multicouche couvrant la zone photo.
  • Prénom, nom, nationalité (PRT), sexe, date de naissance.
  • NIF, NISS, numéro SNS.
  • Date de validité.

Verso :

  • Numéro de citoyen (9 chiffres + 1 chiffre de contrôle).
  • Adresse (selon génération).
  • MRZ : format TD1 (3 lignes de 30 caractères), conforme ICAO 9303 partie 5.
  • Code-barres 2D.

Éléments de sécurité :

  • Personnalisation laser — gravure sur polycarbonate, infalsifiable sans destruction visible.
  • Encre OVI (Optically Variable Ink) — changement de couleur à l'inclinaison.
  • Guilloché — fond de ligne complexe, révélateur de toute reprographie.
  • Encre fluorescente UV — motifs invisibles sous lumière blanche, révélés sous UV 365 nm.
  • Micro-impression — texte minuscule illisible sans grossissement.

Le numéro de citoyen : structure et validation

Le numéro de citoyen est l'identifiant principal affiché sur le Cartão de Cidadão. Il est composé de 9 chiffres + 1 caractère de contrôle calculé selon un algorithme mod 26.

Algorithme de validation :

  1. Attribuer à chaque chiffre de la séquence (de droite à gauche, hors contrôle) une valeur pondérée : les positions impaires reçoivent leur valeur directe ; les positions paires reçoivent le double (si le double dépasse 9, soustraire 9).
  2. Additionner toutes les valeurs obtenues.
  3. Le caractère de contrôle est calculé de sorte que (somme + valeur_contrôle) mod 10 = 0.
  4. Le caractère de contrôle peut être un chiffre (0-9) ou une lettre (A-Z), mappés selon une table officielle.

Un numéro de citoyen dont le caractère de contrôle ne valide pas ce calcul est invalide. Ce contrôle algorithmique trivial élimine une grande proportion des faux saisis à la main.

Le NIF (Número de Identificação Fiscal) : usage en KYC

Le NIF est le numéro fiscal portugais à 9 chiffres. Il est attribué à toute personne physique ou morale résidant ou opérant au Portugal. En contexte KYC :

  • Il est présent en clair sur le Cartão de Cidadão recto.
  • Il est également dans la puce NFC (DG13 selon les générations).
  • Il peut être soumis à l'administration fiscale portugaise (Autoridade Tributária) pour vérification de cohérence dans les cas d'usage immobilier ou bancaire.
  • Pour les fintechs françaises : un client portugais résident en France reste titulaire d'un NIF portugais. Il peut coexister avec un numéro fiscal français (NIF FR). Bien distinguer les deux dans le dossier client.

La présence simultanée du NIF + NISS + numéro SNS sur la même carte permet des contrôles croisés multi-registres impossibles avec la plupart des documents européens.

NFC + PAD + face-match : le seul triptyque complet

C'est le point central de tout pipeline KYC sur Cartão de Cidadão. Trois couches sont nécessaires — aucune ne peut remplacer les autres.

Couche 1 — NFC : la seule garantie à 100 % sur l'authenticité du document

La lecture NFC est le seul moyen de prouver qu'un Cartão de Cidadão est un original non altéré. L'OCR et les contrôles visuels peuvent être mis en défaut par des falsifications haute qualité. Seule la vérification cryptographique de la puce ICAO 9303 garantit l'intégrité :

  • Passive Authentication (PA) : vérification de la signature SOD contre le certificat CSCA portugais (IRN) publié à l'ICAO PKD. Prouve que les données n'ont pas été modifiées depuis l'émission.
  • Active Authentication (AA) : challenge/response avec la puce — prouve que la puce est physiquement originale et non clonée.
  • BAC / PACE : sécurisation de la session de lecture, protection contre la lecture à distance non consentie.

Couche 2 — Pourquoi NFC seul ne suffit pas : le document volé ou prêté

Un Cartão de Cidadão dont la puce passe tous les contrôles cryptographiques peut malgré tout être utilisé à des fins frauduleuses : le document est peut-être authentique, mais son porteur n'est peut-être pas le titulaire légitime. Un CC volé ou perdu — avec puce intacte — ne sera jamais rejeté par NFC seul.

Ce scénario — personne vivante utilisant le document d'autrui — représente une proportion significative des tentatives de fraude KYC, en particulier dans les parcours d'onboarding entièrement à distance.

Couche 3 — Selfie vidéo + PAD ISO 30107-3 niveau 2 + face-match

La parade est la vérification biométrique avec détection d'attaque de présentation :

  1. La puce NFC extrait la photo haute résolution DG2 du titulaire légitime.
  2. Un selfie vidéo est capturé en temps réel.
  3. Le moteur de liveness certifié ISO 30107-3 niveau 2 vérifie que la personne face à la caméra est bien vivante — il rejette une photo imprimée, une vidéo rejouée, un deepfake ou un masque en silicone.
  4. Un face-match compare le visage capturé à la photo DG2 avec un score de similarité cryptographiquement traçable.

Ce triptyque — NFC + PAD + face-match — est le seul pipeline qui couvre à la fois la fraude documentaire (faux document ou document altéré) et l'usurpation d'identité (document volé ou prêté).

Cas d'usage : onboarding d'un résident portugais par une fintech française

Un client portugais domicilié à Lisbonne ouvre un compte de paiement en ligne auprès d'une fintech française soumise à l'ACPR :

  • Étape 1 : le client sélectionne "Portugal" + "Cartão de Cidadão" dans l'interface d'onboarding.
  • Étape 2 : le SDK Datakeen (iOS / Android / React Native / Flutter) guide le client pour approcher la carte du lecteur NFC. Session PACE établie avec le numéro CAN lu optiquement sur la carte.
  • Étape 3 : lecture des DG1 (MRZ), DG2 (photo), SOD. Passive Authentication contre la CSCA portugaise (IRN). Active Authentication. Durée < 5 secondes.
  • Étape 4 : extraction de la photo DG2 haute résolution — référence biométrique non altérable.
  • Étape 5 : selfie vidéo — moteur PAD ISO 30107-3 niveau 2 — rejet photo imprimée / vidéo rejouée / deepfake / masque.
  • Étape 6 : face-match DG2 vs selfie. Score de similarité logué avec timestamp et hash.
  • Étape 7 : screening AML (PEP niveaux 1-4, sanctions UE/ONU/OFAC, presse adverse).
  • Étape 8 : justificatif de domicile (optionnel selon le profil de risque).
  • Étape 9 : signature électronique eIDAS substantiel.

Durée client : moins de 7 minutes. Le Cartão de Cidadão avec puce NFC atteint nativement le niveau substantiel eIDAS 2 pour les services d'identification électronique.

Limites : pas de base publique de documents volés — alternative SLTD

Contrairement à la Belgique et son service checkdoc.be, le Portugal ne dispose pas d'une base publique de consultation des Cartões de Cidadão déclarés volés ou perdus accessible aux entreprises privées dans les mêmes conditions.

Ce que cela implique en pratique :

  • Le risque de document volé (NFC valide mais porteur illégitime) est géré uniquement par la couche biométrique (PAD + face-match), qui ne peut pas détecter un CC volé si la personne cherchant à l'utiliser ressemble physiquement au titulaire.
  • Pour les profils de risque élevé ou les obligations de vigilance renforcée, deux voies restent disponibles :
Recours Description Accessibilité entreprises
SLTD Interpol (Stolen and Lost Travel Documents) Base de données internationale de documents de voyage déclarés volés ou perdus, alimentée par 195 pays membres dont le Portugal Via prestataires agréés Interpol ; pas d'accès direct pour PME
Vérification manuelle IRN Consultation possible via des partenaires agréés pour les notaires et établissements financiers Procédure manuelle, non-temps réel
Vérification SSO nationale Portail ePortugal — vérification d'identité à destination des administrations Non ouvert aux entreprises privées pour l'instant

Recommandation : pour les parcours à risque standard, le triptyque NFC + PAD + face-match est suffisant. Pour les parcours à risque élevé (montants importants, client PEP, obligation de vigilance renforcée), envisager une vérification SLTD via un prestataire agréé.

Architecture KYC recommandée

Sept briques, dans l'ordre :

  1. Lecture NFC (PACE puis BAC en fallback) — prioritaire sur toute autre méthode. Seule garantie à 100 % sur l'authenticité du Cartão de Cidadão.
  2. Passive Authentication (PA) — signature SOD contre les certificats CSCA de l'IRN publiés à l'ICAO PKD.
  3. Active Authentication (AA) — challenge/response anti-clone.
  4. Contrôle MRZ + validation numéro de citoyen — checksums ICAO + algorithme mod 26 du numéro de citoyen.
  5. Selfie vidéo + PAD certifié ISO 30107-3 niveau 2 — présence physique du porteur réel.
  6. Face-match entre visage capturé et photo DG2 extraite de la puce NFC.
  7. Screening AML (PEP niveaux 1 à 4, sanctions UE/ONU/OFAC, presse adverse) + vérification SLTD Interpol pour les profils à risque élevé.

Le triptyque NFC + PAD + face-match est le socle minimal pour tout secteur régulé. Pour la clientèle portugaise, l'absence de service public équivalent à checkdoc.be rend la robustesse du moteur PAD + face-match encore plus critique.

FAQ

Comment vérifier qu'un Cartão de Cidadão portugais est authentique ? Par lecture NFC avec contrôles cryptographiques ICAO (Passive Authentication contre le certificat CSCA de l'IRN, Active Authentication anti-clone, session PACE ou BAC). À défaut, par contrôle de la MRZ + validation du chiffre de contrôle du numéro de citoyen + examen des éléments de sécurité (hologramme, OVI, guilloché, fluorescence UV, micro-impression).

Qu'est-ce que le NIF portugais et comment l'utiliser en KYC ? Le NIF (Número de Identificação Fiscal) est le numéro fiscal à 9 chiffres, présent en clair sur le recto du Cartão de Cidadão et dans la puce NFC. Il est directement exploitable pour les vérifications de cohérence fiscale, les ouvertures de comptes bancaires ou les transactions immobilières impliquant un résident portugais.

Que contient la puce NFC d'un Cartão de Cidadão ? DG1 (données MRZ), DG2 (photo biométrique haute résolution), et le SOD signé par la clé CSCA de l'IRN. Certaines générations incluent DG13 avec des données supplémentaires. Le DG2 est la référence biométrique utilisée pour le face-match.

La NFC seule suffit-elle pour un KYC réglementaire sur un résident portugais ? Non. La NFC garantit l'authenticité du document mais pas l'identité du porteur. Un CC volé a une puce valide. Le triptyque complet est obligatoire : NFC + liveness PAD ISO 30107-3 niveau 2 + face-match contre la photo DG2.

Existe-t-il un équivalent de checkdoc.be pour le Portugal ? Non. Il n'existe pas de service public de consultation en temps réel des Cartões de Cidadão déclarés volés ou perdus accessible aux entreprises privées au Portugal. La base SLTD Interpol reste le recours principal pour les profils à risque élevé, accessible via prestataires agréés.

Le Cartão de Cidadão est-il valide pour le KYC eIDAS ? Oui. Avec puce NFC et contrôles cryptographiques ICAO, il atteint le niveau substantiel eIDAS 2 pour les services d'identification électronique. C'est le standard requis par l'ACPR pour les établissements de paiement et de crédit dans le cadre d'un onboarding entièrement à distance.

Comment gérer un client portugais qui ne dispose plus que d'un passeport (et non du CC) ? Le passeport portugais dispose également d'une puce NFC ICAO 9303 avec DG1 et DG2. Les contrôles cryptographiques (PA, AA, BAC/PACE) sont identiques. Il n'inclut pas le NIF ni le NISS, qui doivent alors être collectés séparément si l'usage l'exige.

Pour aller plus loin

Partager cet article
Vérification d'identité
Traitement de documents
Gaël
Articles

Continuer la lecture

KYC - Know your business
KYC

KYB - Comment vérifier l'identité des entreprises ?

Le concept Know your business est fondamental pour garantir la conformité et prévenir la fraude. Dans cet article, nous explorons comment vérifier efficacement l'identité des entreprises grâce au processus KYB. Nous aborderons les documents nécessaires, l'utilisation des bases de données externes et le rôle innovant de Datakeen dans ce domaine. Comprendre le concept de Know
Lire plus
kyc investissement
KYC

KYC Investissement : Pourquoi c'est crucial ?

Le kyc investissement est crucial pour sécuriser vos placements. Cet article explore comment il prévient la fraude, assure la conformité, et protège vos intérêts financiers. Découvrez ses avantages pour une gestion optimisée. Comprendre le KYC dans l'investissement Le KYC, ou Know Your Customer, est une pratique incontournable dans le secteur de l'investissement. Il permet de
Lire plus
tendances de l'identité numérique en europe
Identité numérique

Tendances de l'identité numérique en Europe : Ce qu'il faut savoir

Les tendances de l'identité numérique en Europe évoluent rapidement avec le développement du Portefeuille d'identité numérique. Cet article explore comment ces changements influencent entreprises et citoyens, offrant une vision claire sur leur impact potentiel. Quelles sont les tendances actuelles en Europe ? L'identité numérique en Europe évolue rapidement. Les initiatives récentes visent à renforcer la
Lire plus
Voir tous

Prêt à en voir plus ?

Une nouvelle façon de gérer la vérification d’identité, plus simple et plus sûre.

Réserver une démo
Jeune femme bouclée portant une chemise blanche prenant un selfie de contrôle d'identité en ligne.