PSD2

Novos requisitos de segurança em vigor a partir de 14 de setembro

No âmbito da PSD2, os prestadores de serviços de pagamento são obrigados a aplicar a autenticação forte do cliente a partir de 14 de setembro de 2019

Os novos requisitos de segurança para pagamentos online está prestes a entrar em vigor. Fazem parte integrante da revisão da diretiva de serviços de pagamentos (PSD2).

De acordo com o Banco de Portugal, “os prestadores de serviços de pagamento são obrigados a aplicar a autenticação forte do cliente a partir de 14 de setembro de 2019”. Nesta data, entra em vigor o Regulamento Delegado (UE) 2018/389, que complementa a PSD2, no que respeita às normas técnicas de regulamentação relativas à autenticação forte do cliente e às normas abertas de comunicação comuns e seguras.

Um dos principais desafios para a indústria de pagamentos é a obrigatoriedade de requisitos de segurança mais fortes para as transações através de autenticação multi-factor. Além disso, a diretiva força os bancos e outras instituições financeiras a dar acesso às contas bancárias de consumidores, que tenham dado o seu consentimento, a outros fornecedores de serviços de pagamentos.

As questões mais frequentes sobre a Diretiva PSD2 estão respondidas no site do banco de Portugal

Passo a passo da diretiva

A Diretiva dos Serviços de Pagamento (PSD2) atualizada foi adotada pelo Parlamento Europeu em 8 de outubro de 2015 e pelo Conselho de Ministros da União Europeia em 16 de novembro de 2015.

Este conjunto de normas atualiza a primeira Diretiva de Pagamentos, publicada em 2007, que visou a criação de um mercado único de pagamentos. A PSD2 entrou em vigor a 13 de janeiro de 2016, sendo aplicável desde 18 de janeiro de 2018, após transposição para as várias legislações nacionais.

Em Portugal, a PSD2 foi transportada para a legislação nacional, pelo Decreto-Lei nº 91/2018 de 12 de novembro, tendo entrado em vigor no dia seguinte, 13 de novembro, precisamente 11 meses após o prazo inicial.

A próxima data relevante da transposição da diretiva é 14 de setembro. Data em que entram em vigor os standards técnicos (RTS) que regulam os requisitos de autenticação forte e comunicações uniformizadas e seguras, imprescindíveis à total implementação da PSD2.

Recorde aqui o artigo de opinião de Pedro Branco, da Glintt, sobre o estado de Portugal face à directiva PSD2, publicado em abril, no SmartpaymentsNews.

Quais são os requisitos da autenticação forte?

A autenticação forte combina algo que o utilizador sabe (por exemplo uma password ou um pin) com algo que o consumidor tem (por exemplo um código gerado por uma aplicação no telemóvel),  e algo que o consumidor é (identificação biométrica como uma impressão digital ou o reconhecimento facial).

Esta combinação resulta num conjunto único de códigos de autenticação para cada transação que irá interrelacionar o consumidor e o valor da transação.

Existem algumas exceções a estes requisitos, como é o caso das transações inferiores a 30 euros ou as transações recorrentes para a mesma entidade e com o mesmo valor. Os consumidores também poderão criar uma lista de merchants autorizados.

Os requisitos foram criados para combater a fraude relacionada com transações em que o cartão não está fisicamente presente, e que tem vindo a aumentar na última década, depois da introdução dos cartões com chip que tornou a clonagem de cartões físicos mais complicada.

Segundo o Banco Central Europeu, a fraude associada a cartões não presentes aumentou consistentemente até 2016, quando representou cerca de 73% do total das perdas associadas a fraude com cartões na Europa.

Nos anos mais recentes, as empresas de segurança de TI também constataram um aumento no numero de grupos de cibercriminosos que acedem a lojas online e injetam scripts maliciosos com o objetivo de roubar os detalhes de cartões de pagamento quando os utilizadores os inserem nas páginas de checkout.

Acesso de terceiros a contas bancárias

Os reguladores europeus pretendem também potenciar um mercado competitivo para os serviços de pagamentos e permitir que novas empresas inovem neste segmento. Para o efeito, os bancos e outras instituições financeiras que gerem contas de pagamento para clientes têm de disponibilizar essa informação a terceiros, se o dono da conta der autorização.

Estes serviços de pagamentos terão de ter a capacidade de verificar a disponibilidade de fundos, de iniciar os pagamentos em nome dos donos das contas ou de ter acesso a dados da conta, como a informação da transação. A autorização de acesso pode ser conseguida de várias formas, incluindo através do redireccionamento dos clientes para a autenticação no portal do banco. No entanto, a forma de implementação mais comum será através de API disponibilizadas pelos bancos.

Em Portugal, já existe pelo menos um ecossistema de open banking, o SIBS API Market, uma plataforma que, segundo Pedro Branco no artigo supra-referido, assegurará o “acesso a 95% das contas abertas em Portugal e que será utilizado pelos bancos e restantes entidades previstas no âmbito da PSD2”.

Essas entidades são os PISP – Payment Iniciation Services Providers (entidades que prestam serviços de pagamentos), os AISP – Account Information Service Providers (entidades que agregam e prestam serviços de informações sobre contas) e os ASPSP – Account Servicing Payment Service Providers (entidades que detêm e disponibilizam as contas de pagamentos dos consumidores).