A pandemia aumentou as compras online, mas também os riscos de fraude e burla, concretamente na utilização de cartões de pagamento. O processo para aumentar a segurança dos utilizadores já estava em marcha, mas ganha mais importância do que nunca.
O Banco de Portugal (BdP) divulgou um plano nacional de migração para a autenticação forte do cliente no comércio eletrónico com cartão, que foi consensualizado no âmbito do Fórum para os Sistemas de Pagamentos.
Este plano "sistematiza as ações a desenvolver pelos bancos/prestadores de serviços de pagamento (emissores e adquirentes), comerciantes e consumidores, para que as regras de autenticação forte do cliente sejam aplicadas aos pagamentos com cartão no comércio eletrónico a partir de 31 de dezembro de 2020", disse o BdP em comunicado.
Os intervenientes de mercado que não adotem as soluções de autenticação forte do cliente até 31 de dezembro de 2020 "poderão ver-se impedidos de efetuar ou receber pagamentos com cartão em comércio eletrónico a partir daquela data", acrescenta.
No caso específico dos consumidores, o Fórum para os Sistemas de Pagamentos "alerta para a importância de estes atualizarem, até agosto, os seus contactos junto do respetivo banco/prestador de serviços de pagamento, nomeadamente o número de telemóvel. Recomenda ainda que, idealmente até ao final de outubro, adiram à solução de autenticação forte disponibilizada pelo respetivo banco/prestador de serviços de pagamento."
Mas afinal o que é isto da autenticação forte?
Desde 14 de setembro de 2019, os prestadores de serviços de pagamento (PSP) têm de efetuar a autenticação forte dos clientes (Strong Customer Authentication – SCA) sempre que estes queiram:
- Aceder em linha (online) à sua conta de pagamento;
- Iniciar um pagamento eletrónico;
- Realizar remotamente uma ação que possa envolver risco de fraude no pagamento ou outros abusos.
A autenticação forte implica que o PSP solicite ao utilizador pelo menos dois elementos pertencentes às seguintes categorias:
- Conhecimento (por exemplo, PIN ou palavra-passe);
- Posse (por exemplo, one-time password, telemóvel ou cartão de pagamento);
- Inerência (por exemplo, impressão digital).
Os dois elementos solicitados pelo PSP têm de pertencer a categorias diferentes.
Nas operações de pagamento remotas, a autenticação forte tem também de incluir elementos que associem de forma dinâmica a operação ao montante e ao beneficiário específico.
Em regra, "os prestadores de serviços de pagamento são obrigados a aplicar a autenticação forte do cliente. No entanto, foram previstas situações em que o PSP poderá optar por não solicitar a autenticação forte. Essas isenções poderão ser definidas com base no nível de risco envolvido na operação, no montante, na frequência e no canal através do qual a operação é executada", diz o BdP.
Nas situações em que o prestador de serviços de pagamento opte por não aplicar a autenticação forte, "o utilizador não poderá ser responsabilizado caso a operação de pagamento seja incorretamente executada, assumindo o PSP essa responsabilidade."
NOTA: Estão isentos da aplicação da autenticação forte, por exemplo, os pagamentos em portagens através de serviços como a Via Verde, as transferências a crédito efetuadas recorrentemente ou para beneficiários frequentes, e os pagamentos abaixo de 30 euros que respeitem determinadas condições.
Recorde-se que as novas regras para a autenticação forte do cliente entraram em vigor em 14 de setembro de 2019, conforme estabelecido no Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica, que transpôs para o ordenamento jurídico nacional a Diretiva dos Serviços de Pagamento revista (DSP2), e no Regulamento Delegado (UE) 2018/389 da Comissão. Todavia, no caso específico das transações de comércio eletrónico realizadas com cartão, a Autoridade Bancária Europeia, reconhecendo que os mercados nacionais não se encontravam preparados para a aplicação plena dos novos requisitos nesta data, permitiu que as autoridades competentes nacionais flexibilizassem, até 31 de dezembro de 2020, a supervisão dos novos requisitos de autenticação forte do cliente nas operações de comércio eletrónico com cartão.