A entrada em vigor da nova diretiva europeia dos pagamentos eletrónicos, a partir de 14 de setembro 2019, traz alterações nas regras de utilização do homebanking em Portugal e nos outros países da União Europeia. O Banco de Portugal preparou um guia para explicar o que muda que disponibilizamos em baixo. Com as novas regras de autenticação aplicáveis aos serviços de pagamento eletrónicos, os bancos e os prestadores de serviços de pagamento devem efetuar a autenticação forte dos seus clientes sempre que estes:
. acedam online à sua conta de pagamento;
. iniciem uma operação de pagamento eletrónico;
. ou realizem uma ação, através de um canal remoto, que possa envolver risco de fraude no pagamento ou outros abusos.
A autenticação forte dos clientes já era realizada por Bancos e por prestadores de serviços de pagamento em algumas situações, a partir de agora, passa a ser obrigatória para a generalidade das operações eletrónicas, por força da entrada em vigor do Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017, que complementa a Diretiva dos Serviços de Pagamento revista.
O que é a autenticação forte? A “autenticação forte” é um procedimento realizado pelos bancos ou prestador de serviços de pagamento com o objetivo de validar a identificação e a legitimidade da utilização do serviço de pagamento por parte do utilizador, com segurança acrescida.
O que muda? A partir de 14 de setembro de 2019, os serviços de pagamento oferecidos por via eletrónica exigirão, por norma, a introdução de dois elementos de segurança, em cumprimento das regras europeias de “autenticação forte do cliente” (também designada por “autenticação de dois fatores”). Assim, para aceder ao homebanking ou à app do banco, ou para fazer compras ou pagamentos online, entre outras operações, pode ser pedido, por exemplo, além da habitual palavra-passe: • Um código enviado por SMS para o telemóvel; ou • Um elemento biométrico, como a impressão digital. Este procedimento será obrigatório em grande parte das operações de pagamento eletrónico e no acesso online às contas, mesmo que apenas para consulta dos movimentos bancários. A “autenticação forte” poderá também ser solicitada na realização de outras ações efetuadas através de um canal remoto que possam envolver um risco de fraude ou outros abusos, tendo sempre em conta a segurança!
Que elementos lhe podem ser solicitados? Na “autenticação forte”, os bancos e osprestadores de serviços de pagamento solicitam aos utilizadores, pelo menos, dois elementos das seguintes categorias: • Conhecimento – algo que só o utilizador conhece (por exemplo, uma palavra-passe); • Posse – algo que só o utilizador possui (por exemplo, o telemóvel para o qual é enviado um código por SMS); • Inerência – algo que só o utilizador é, validada através de um atributo que o identifique (por exemplo, uma impressão digital). Os dois elementos solicitados devem pertencer a categorias de segurança diferentes. Cada banco/prestador de serviços de pagamento poderá escolher os elementos de autenticação forte a solicitar aos seus clientes, desde que verificadas estas condições.
Nas operações de pagamento remotas, como por exemplo, nas compras online, o banco ou prestador de serviços de pagamento terá de incluir um elemento na autenticação que esteja associado à operação específica que pretende efetuar.
Este elemento traduz-se, muitas vezes, no envio de um SMS para o telemóvel. Por isso, o telemóvel passa a ser muito importante ao efetuar pagamentos na internet.
Alguns dos procedimentos de autenticação utilizados hoje em dia já são compatíveis com a autenticação forte do cliente. Por exemplo: • a utilização de uma palavra-passe (elemento de conhecimento) conjuntamente com uma mensagem enviada para o telemóvel com um código (elemento de posse); • o uso de identificação facial ou de uma impressão digital (elemento de inerência) numa aplicação instalada no telemóvel associado ao utilizador (elemento de posse); • o PIN do cartão de pagamento (elemento de conhecimento) e o próprio cartão (elemento de posse) quando se realiza um pagamento presencial.
O quem é necessário ser feito? Sempre que o banco e prestador de serviços de pagamento a solicitar, a “autenticação forte” é obrigatória para concretizar a operação. Por isso:
» Informe-se junto do seu banco ou prestador de serviços de pagamento sobre quais os procedimentos a adotar para continuar a fazer as suas operações de pagamento eletrónicas.
» Mantenha sempre atualizados a informação e os dados de contacto que forneceu ao seu banco ou prestador de serviços de pagamento.
» Leia sempre com atenção a informação que o seu banco ou prestador de serviços de pagamento lhe enviar para autorizar a operação que pretende realizar. Geralmente, os dados do pagamento são apresentados na página de confirmação da operação e, caso o procedimento de “autenticação forte” inclua o envio de uma SMS, constarão também da SMS que o banco/prestador de serviços de pagamento envia para o número de telemóvel que forneceu como contacto.
» Seja consciencioso na divulgação de informação pessoal ou confidencial (por exemplo, palavras-passe, dados de documentos de identificação pessoal ou dados do cartão de pagamento). Evite fazê-lo a menos que tal seja imprescindível para a realização do pagamento e sempre em sites que lhe ofereçam segurança. Desconfie de solicitações de dados pessoais ou de natureza fora do comum, ainda que provenientes de uma entidade aparentemente confiável. Em caso de dúvida, peça sempre esclarecimentos ao seu prestador de serviços de pagamento, utilizando, para o efeito, os respetivos contactos oficiais.