Depois de cadernetas e da utilização do homebanking, os bancos e os comerciantes terão de criar e de se adaptarem a novas regras de pagamentos online. Até ao final de 2020 terá de haver mudanças
Jornalista
Do primeiro dia de janeiro de 2021 em diante já não será possível ir a um site comprar viagens apenas utilizando como referência o código de três ou quatro números nos cartões de crédito e débito. Até lá, quem promove esses serviços terá de se adaptar para que sejam cumpridas as novas regras de segurança europeias.
A 14 de setembro, houve já mudanças. As novas regras trazidas pela diretiva europeia de pagamentos exige uma combinação de dois a três tipos de elementos de segurança: Foi por isso que as cadernetas bancárias tradicionais deixaram de ser utilizadas, e que as mensagens escritas ganharam relevância quando se quer fazer transações.
Só que, para não causar uma quebra abrupta do comércio digital, houve um período adicional para a adequação às novas regras no que diz respeito aos pagamentos online. Mas já há uma data para que todas as normas sejam cumpridas. E, nessa altura, as compras online que normalmente são realizadas têm de ser diferentes.
“A Autoridade Bancária Europeia (EBA) determinou que os bancos/prestadores de serviços de pagamentos têm até 31 de dezembro de 2020 para adotar a autenticação forte do cliente nos pagamentos online com cartão”, indica o comunicado enviado esta quinta-feira, 17 de outubro, pelo Banco de Portugal.
O supervisor liderado por Carlos Costa alinha: “Reconhecendo que os bancos/prestadores de serviços de pagamento, os comerciantes e os consumidores nacionais necessitam de um período adicional para adotarem plenamente os requisitos de autenticação forte do cliente em operações de pagamento online com cartão e que deverá existir uma abordagem consistente na União Europeia, o Banco de Portugal adotará a flexibilidade prevista no parecer da EBA. Assim, os bancos/prestadores de serviços de pagamento terão até 31 de dezembro de 2020 para adotar plenamente os requisitos de autenticação forte nas operações de pagamento online com cartão”, indica o comunicado.
Até lá, o Banco de Portugal vai, até lá, pedindo informação aos “bancos/prestadores de serviços de pagamento sobre os respetivos planos de migração” para monitorizar o seu cumprimento.
Em causa estão as compras dentro da União Europeia, continuando estes códigos e detalhes impressos nos cartões a poderem ser utilizados nas operações fora da região – mas sem que haja, nesses casos, a segurança garantida pelas novas regras. Isto porque qualquer perda para o cliente numa operação que deveria ter sido feita sob as regras acrescidas de segurança ficará a cargo dos bancos – o que não é o caso quando as compras forem feitas em sites de fora do país. Ou seja, o banco terá de pagar pela perda financeira e também pelo processo de contraordenação (que pode causar coimas) só nas situações previstas.
Isso mesmo é dito no comunicado enviado hoje pelo Banco de Portugal: "A EBA esclarece ainda que, em qualquer caso, os consumidores estão protegidos contra eventuais fraudes, uma vez que, nas situações em que não lhes seja solicitada autenticação forte, o banco/prestador de serviços de pagamento é sempre responsável por operações de pagamentos não autorizadas"
Tudo se coloca no caso dos cartões de crédito e débito em compras pelo computador porque “os detalhes impressos nos cartões de pagamento, como seja o número do cartão, a data de validade ou o código CVV/CVC, utilizados hoje em dia em compras online, não são considerados elementos válidos para a autenticação forte do cliente”. E é necessária a autenticação forte nas operações bancárias à distância, à luz das novas regras de segurança.
A autenticação forte prende-se com a combinação de elementos de segurança de tipos diferentes: de conhecimento (que pode ser uma palavra-passe ou um pin ou também o caminho que desbloqueia o telemóvel); de posse (cartão físico – como o cartão que está nos telemóveis –, as mensagens escritas que são enviadas para o telemóvel); de inerência (impressão digital, reconhecimento de voz, reconhecimento fácil).
Não está assegurada essa combinação com os dados impressos no cartão de crédito – à semelhança do que acontece com as bandas magnéticas, razão pela qual as cadernetas bancárias deixam de ser utilizadas para levantamentos e pagamentos.
Como serão feitas os novos pagamentos, não se sabe ainda. “Os prestadores de serviços de pagamento/bancos têm estado a desenvolver procedimentos alternativos de autenticação forte do cliente especificamente para compras na internet”, sublinhava o Banco de Portugal antes de setembro, quando as novas regras foram anunciadas.
“Estes novos procedimentos de autenticação podem incluir, por exemplo, a leitura de impressões digitais ou reconhecimento facial, a utilização de palavras-passe ou PIN associados ao cartão, ou a receção de uma mensagem com um código que comprove a posse de um telemóvel associado ao clientes”, continua o banco.
As mudanças são trazidas pela PSD2, criada para incentivar a concorrência na área de pagamentos (já quatro empresas pediram autorização para exercer os novos serviços anteriormente exclusivos da banca), mas que, abrindo a porta à inovação, trouxe acrescidas regras de segurança.
Tem dúvidas, sugestões ou críticas? Envie-me um e-mail: dcavaleiro@expresso.impresa.pt
