Autenticação forte nas operações de pagamento

Autenticação forte nas operações de pagamento

A Directiva dos Serviços de Pagamento (comummente designada por PSD2, a sigla para Payment Services Directive 2) veio introduzir novas regras para a prestação de serviços e pagamento. Uma dessas regras é a necessidade de aplicação de um procedimento de autenticação forte nas operações de pagamento (strong customer authentication).

Os prestadores de serviços de pagamento devem aplicar procedimentos de autenticação forte aos seus clientes sempre que estes:

  • acedam online à sua conta de pagamento (por exemplo, acesso ao homebankin)
  • iniciem uma operação de pagamento electrónico (por exemplo, uma compra online) ou
  • realizem uma acção, através de um canal remoto, que possa envolver risco de fraude no pagamento ou outros abusos (por exemplo, o agendamento de uma transferência recorrente/frequente).

 

As novas regras decorrem da entrada em vigor do Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de Novembro de 2017 (as Regulatory Technical Standards). Este Regulamento tem aplicação directa nos Estados-Membros da União Europeia e estabelece normas técnicas de regulamentação relativas à autenticação forte do cliente e normas abertas de comunicação comuns e seguras que os prestadores de serviços de pagamento (como os Bancos) têm de respeitar a partir de 14 de Setembro de 2019.

 

O objectivo da autenticação do cliente é permitir ao prestador de serviços de pagamento/banco verificar a identidade de um utilizador ou a validade de utilização de um instrumento de pagamento específico.

 

A autenticação forte é realizada com recurso a dois ou mais elementos pertencentes a, pelo menos, duas das seguintes categorias:

  • Conhecimento (algo que só o utilizador conhece, por exemplo uma palavra-passe);
  • Posse (algo que só o utilizador possui, por exemplo o seu telemóvel);
  • Inerência (algo inerente ao utilizador e que o identifica, por exemplo uma impressão digital).

 

Estes elementos têm de ser independentes: o eventual comprometimento de um deles não pode pôr em causa a fiabilidade dos outros.

 

Por se considerar que as operações de pagamento remotas implicam um maior risco de fraude do que as operações presenciais, os prestadores de serviços de pagamento têm de garantir que, neste tipo de operações, a autenticação forte do cliente inclui um elemento adicional que associe de forma dinâmica a operação em causa ao montante e beneficiário específico (dynamic linking). Por vezes, esta ligação dinâmica é efectuada através do envio de uma mensagem para o telemóvel do utilizador com um código criado especificamente para determinada operação de pagamento.

 

Há situações em que os prestadores de serviços de pagamento podem optar por não solicitar autenticação forte do cliente:

  • Quando o utilizador acede a informação sobre contas de pagamento;
  • Quando o utilizador inicia operações de pagamento sem contacto (contactless) no ponto de venda;
  • Quando o utilizador utiliza terminais automáticos para o pagamento de tarifas de transporte e de estacionamento;
  • Quando o utilizador inicia operações para uma lista de beneficiários considerados fiáveis (lista de beneficiários criada previamente);
  • Quando o utilizador inicia operações recorrentes (lista de operações criada previamente);
  • Quando o utilizador efectua transferências a crédito entre contas de um prestador de serviços de pagamento detidas pelo mesmo titular;
  • Quando o utilizador inicia operações de pagamento de baixo valor;
  • Quando o utilizador utiliza processos e protocolos de pagamento seguros (limitado a clientes empresa);
  • Quando o utilizador inicia operações de pagamento que o prestador de serviços de pagamento considere terem reduzido risco.

 

A não aplicação dos procedimentos de autenticação forte não implica uma menor protecção do cliente. Na verdade, quando os prestadores de serviços de pagamento optem por não solicitar a autenticação forte do cliente assumem quaisquer perdas financeiras decorrentes dessa operação, excepto em caso de actuação fraudulenta por parte do cliente.

 

Nuno Nogueira Pinto

Nuno Nogueira Pinto

Nuno Nogueira Pinto

Advogado

Contacto