A Autoridade Bancária Europeia (EBA) publicou um parecer para clarificar o mercado sobre os procedimentos e as combinações de elementos de autenticação que constituem a autenticação forte do cliente.

Embora dirigido às autoridades bancárias nacionais, como o Banco de Portugal no caso do mercado português, o parecer é útil igualmente para os prestadores de serviços de pagamento, para os modelos de pagamento e até para os utilizadores de serviços de pagamento, incluindo comerciantes e clientes finais.

A autenticação forte do cliente é obrigatória a partir de 14 de Setembro de 2019, data em que entra em vigor o Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de Novembro de 2017, que complementa a Directiva dos Serviços de Pagamento revista (DSP2).

A partir dessa data, os prestadores de serviços de pagamento terão de efectuar a autenticação forte dos seus clientes sempre que estes acedam online à sua conta de pagamento, iniciem uma operação de pagamento electrónico ou realizem uma acção, através de um canal remoto, que possa envolver risco de fraude no pagamento ou outros abusos.

Dois elementos entre as características de conhecimento, posse e inerência

A autenticação forte implica que os prestadores de serviços de pagamento, em todas as situações descritas, solicitem ao utilizador dois ou mais elementos pertencentes às categorias de “conhecimento” (por exemplo, uma palavra-passe), de “posse” (por exemplo, um código enviado por SMS para o telemóvel, provando, desta forma, a posse do dispositivo), e de “inerência” (uma característica que identifique o utilizador, como a impressão digital).

Detalhes impressos em cartões de cidadão não são elementos de posse

O referido parecer identifica (embora de forma não exaustiva) os elementos que podem ser considerados em cada uma das três categorias previstas no âmbito da autenticação forte do cliente (inerência, conhecimento e posse). Por exemplo, clarifica que os detalhes impressos nos cartões de pagamento (número de cartão, data de validade e CVV) e nos cartões matriz – elementos frequentemente requeridos pelos vários prestadores de serviços de pagamento nacionais para a iniciação de operações de pagamento online ou para o acesso ao homebanking – não vão poder, no futuro, ser considerados elementos de posse para efeitos de autenticação forte.

Período de adopção desde que exista um plano de migração

Ciente de que a adopção de mecanismos de autenticação forte do cliente, compatíveis com os novos requisitos estabelecidos pela DSP2, apenas será possível com o envolvimento dos vários intervenientes do mercado (prestadores de serviços de pagamento, consumidores e empresas), a EBA esclarece que, a título excepcional e com o objectivo de minimizar os impactos junto dos utilizadores, as autoridades competentes nacionais (neste caso, o Banco de Portugal) poderão interagir com o mercado e facultar um período de tempo adicional para a adopção de soluções compatíveis com mecanismos de autenticação forte, desde que os prestadores de serviços de pagamento tenham estabelecido um plano de migração para esses novos mecanismos, acordado esse plano com as autoridades competentes nacionais e o cumpram de forma expedita.

Com o propósito de assegurar o cumprimento dos objectivos da DSP2 e a consistência de procedimentos e abordagens dentro da União Europeia, a EBA comunicará posteriormente os prazos para conclusão dos planos de migração apresentados pelos prestadores de serviços de pagamento.

Tags segurança