A Autoridade Bancária Europeia (EBA, na sigla inglesa) publicou, no dia 21 de junho, um parecer (EBA-Op-2019-06) para clarificar o mercado sobre os procedimentos e as combinações de elementos de autenticação que constituem a “autenticação forte do cliente”.

O parecer da EBA é dirigido às autoridades competentes nacionais – no caso do mercado português, o Banco de Portugal – mas contém informação útil também para os prestadores de serviços de pagamento, para os modelos de pagamento e para os utilizadores de serviços de pagamento, incluindo comerciantes. 

Recorde-se que os prestadores de serviços de pagamento são obrigados a aplicar a autenticação forte do cliente a partir de 14 de setembro de 2019, data em que entra em vigor o Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017, que complementa a Diretiva dos Serviços de Pagamento revista (DSP2).

A partir de 14 de setembro de 2019, os prestadores de serviços de pagamento terão de efetuar a autenticação forte dos seus clientes sempre que estes acedam online à sua conta de pagamento, iniciem uma operação de pagamento eletrónico ou realizem uma ação, através de um canal remoto, que possa envolver risco de fraude no pagamento ou outros abusos. A autenticação forte implica que os prestadores de serviços de pagamento, em todas as situações descritas, solicitem ao utilizador dois ou mais elementos pertencentes às categorias de “conhecimento” (por exemplo, uma palavra-passe), de “posse” (por exemplo, um código enviado por SMS para o telemóvel, provando, desta forma, a posse do dispositivo), e de “inerência” (uma caraterística que identifique o utilizador, como a impressão digital).

Parecer sobre os elementos de autenticação forte do cliente no âmbito da DSP2

Com a publicação do presente parecer, a EBA vem complementar a informação anteriormente transmitida ao mercado, designadamente o parecer sobre a implementação das normas técnicas de regulamentação relativas à autenticação forte do cliente e às normas abertas de comunicação comuns e seguras, publicado em junho de 2018 (EBA-Op-2018-04), e as respostas facultadas no âmbito da ferramenta de perguntas e respostas disponível no site daquela Autoridade (Q&A).

Este parecer identifica (de forma não exaustiva) os elementos que podem ser considerados em cada uma das três categorias previstas no âmbito da autenticação forte do cliente (inerência, conhecimento e posse). Por exemplo, clarifica que os detalhes impressos nos cartões de pagamento (número de cartão, data de validade e CVV) e nos cartões matriz – elementos frequentemente requeridos pelos vários prestadores de serviços de pagamento nacionais para a iniciação de operações de pagamento online ou para o acesso ao homebanking – não vão poder, no futuro, ser considerados elementos de posse para efeitos de autenticação forte. 

Ciente de que a adoção de mecanismos de autenticação forte do cliente, compatíveis com os novos requisitos estabelecidos pela DSP2, apenas será possível com o envolvimento dos vários intervenientes do mercado (prestadores de serviços de pagamento, consumidores e empresas), a EBA esclarece que, a título excecional e com o objetivo de minimizar os impactos junto dos utilizadores, as autoridades competentes nacionais (neste caso, o Banco de Portugal) poderão interagir com o mercado e facultar um período de tempo adicional para a adoção de soluções compatíveis com mecanismos de autenticação forte, desde que os prestadores de serviços de pagamento tenham estabelecido um plano de migração para esses novos mecanismos, acordado esse plano com as autoridades competentes nacionais e o cumpram de forma expedita.

Com o propósito de assegurar o cumprimento dos objetivos da DSP2 e a consistência de procedimentos e abordagens dentro da União Europeia, a EBA comunicará posteriormente os prazos para conclusão dos planos de migração apresentados pelos prestadores de serviços de pagamento.

A EBA continuará a prestar esclarecimentos adicionais sobre a interpretação das normas técnicas de regulamentação relativas à autentificação forte do cliente através do seu conjunto único de regras interativo (Interactive Single Rulebook) e da ferramenta de perguntas e respostas disponível no site daquela Autoridade (Q&A).

Para mais informação sobre autenticação forte do cliente, poderá consultar a 15.ª edição da Newsletter SEPA.pt, disponível no seguinte link.