Jornalista
O pagamento de compras online, como viagens, vai, dentro de alguns meses, ser diferente. Por agora, muitas destas operações são feitas com os dados do cartão de crédito, como os números e o código de três ou quatro dígitos que, muitas vezes, surgem no verso. Dentro de algum tempo (ainda não está definido exatamente quando), estes códigos, designados de CVV e CVC, deixarão de ser considerados como seguros. E os pagamentos por serviços e produtos dentro da União Europeia terão de ser realizados de forma diferente.
Tudo se deve às novas regras de segurança adicionais trazidas pela diretiva europeia PSD2, transposta para a legislação nacional pelo Decreto-Lei n.º 91/2018. A maior parte dessas regras entra em vigor este sábado, 14 de setembro (o que mudará a forma como se entra no homebanking e como aí se realizam transações), mas há um caso em que a segurança adicional só será exigida dentro de um determinado período de tempo: os pagamentos online com estes códigos dentro da União Europeia.
Neste caso, a entrada em vigor das regras não é imediata, porque houve avisos de comerciantes e de associações que alertaram para o risco de perda de valor para o comércio digital, causada pela alteração das regras de autenticação acrescida dos clientes sem um período de tempo mais alargado. Assim, há um adiamento com “o objetivo de minimizar o impacto do novo enquadramento regulamentar no comércio online”, explica o Banco de Portugal na documentação divulgada por conta das novas exigências de segurança.
“Os prestadores de serviços de pagamento/bancos não são, para já, obrigados a aplicar a autenticação forte do cliente nas compras online com cartão. Por isso, após 14 de setembro de 2019, o cliente poderá continuar a utilizar os dados do cartão para fazer pagamentos online. Mas tal acontecerá apenas durante um período limitado de tempo, a definir pelo Banco de Portugal”, indica a mesma nota.
Ou seja, o Banco de Portugal e a Autoridade Bancária Europeia vão definir que período de tempo é este, que poderá mesmo ser superior a um ano.
Em causa estão as compras dentro da União Europeia, continuando estes códigos e detalhes impressos nos cartões a poderem ser utilizados nas operações fora da região – mas sem que haja, nesses casos, a segurança garantida pelas novas regras. Isto porque qualquer perda para o cliente numa operação que deveria ter sido feita sob as regras acrescidas de segurança ficará a cargo dos bancos – o que não é o caso quando as compras forem feitas em sites de fora do país. Ou seja, o banco terá de pagar pela perda financeira e também pelo processo de contraordenação (que pode causar coimas) só nas situações previstas.
Tudo se coloca neste caso porque “os detalhes impressos nos cartões de pagamento, como seja o número do cartão, a data de validade ou o código CVV/CVC, utilizados hoje em dia em compras online, não são considerados elementos válidos para a autenticação forte do cliente”. E é necessária a autenticação forte nas operações bancárias à distância, à luz das novas regras de segurança.
A autenticação forte prende-se com a combinação de elementos de segurança de tipos diferentes: de conhecimento (que pode ser uma palavra-passe ou um pin ou também o caminho que desbloqueia o telemóvel); de posse (cartão físico – como o cartão que está nos telemóveis –, as mensagens escritas que são enviadas para o telemóvel); de inerência (impressão digital, reconhecimento de voz, reconhecimento fácil).
Não está assegurada essa combinação com os dados impressos no cartão de crédito – à semelhança do que acontece com as bandas magnéticas, razão pela qual as cadernetas bancárias deixam de ser utilizadas para levantamentos e pagamentos.
Como serão feitas os novos pagamentos, não se sabe ainda. “Os prestadores de serviços de pagamento/bancos têm estado a desenvolver procedimentos alternativos de autenticação forte do cliente especificamente para compras na internet”, sublinha o Banco de Portugal.
“Estes novos procedimentos de autenticação podem incluir, por exemplo, a leitura de impressões digitais ou reconhecimento facial, a utilização de palavras-passe ou PIN associados ao cartão, ou a receção de uma mensagem com um código que comprove a posse de um telemóvel associado ao clientes”, continua o banco.
As mudanças são trazidas pela PSD2, criada para incentivar a concorrência na área de pagamentos (já quatro empresas pediram autorização para exercer os novos serviços anteriormente exclusivos da banca), mas que, abrindo a porta à inovação, trouxe acrescidas regras de segurança.
Tem dúvidas, sugestões ou críticas? Envie-me um e-mail: dcavaleiro@expresso.impresa.pt
