A Autoridade Bancária Europeia (European Banking Authority – EBA) publica hoje um parecer sobre a implementação das normas técnicas de regulamentação relativas à autenticação forte do cliente e às normas abertas de comunicação comuns e seguras, que entrarão em vigor em 14 de setembro de 2019. Para apoiar a sua implementação, neste parecer a EBA esclarece diversas questões identificadas pelos participantes no mercado e pelas autoridades competentes.

Os participantes no mercado e as autoridades competentes pretendem obter mais esclarecimentos sobre vários aspetos no contexto da implementação das normas técnicas de regulamentação relativas à autentificação forte do cliente e às normas abertas de comunicação comuns e seguras. Dada a natureza transfronteiras dos pagamentos de retalho, a EBA e as autoridades competentes têm um interesse comum em apoiar os objetivos da Diretiva relativa aos Serviços de Pagamento revista (DSP2) de contribuir para um mercado único de pagamentos na UE, ao assegurar que tais questões são coerentemente abordadas em toda a UE e que o período de implementação decorre de modo harmonioso e transparente ao nível comunitário.  

Este parecer é dirigido às autoridades competentes, no sentido de lhes transmitir as opiniões da EBA relativamente a algumas áreas prementes identificadas pelo mercado e pelas autoridades competentes, incluindo no que respeita às isenções da aplicação da autenticação forte do cliente, ao consentimento, ao âmbito do regime de partilha de dados, e aos requisitos aplicáveis às interfaces de programação de aplicações (application programming interfaces – API) e interfaces dedicadas que devem ser tidos em conta. Por exemplo, o parecer explica que os prestadores de serviços de pagamento que gerem a conta (account servicing payment service providers – ASPSP) não devem verificar o consentimento dos utilizadores de serviços de pagamento que contrataram um prestador de serviços de informação sobre contas (account information service provider – AISP), um prestador de serviços de iniciação de pagamentos (payment initiation service provider – PISP) ou emitente de instrumentos de pagamento baseados em cartões (card-based payment instrument issuers – CBPII), e que cabe aos ASPSP aplicar a autenticação forte do cliente e decidir se aplicam ou não uma isenção. 

Do mesmo modo, o parecer clarifica que na determinação do(s) método(s) utilizado(s) para efeitos do procedimento de autenticação, os ASPSP devem assegurar-se de que todos os métodos de autenticação forte disponibilizados aos seus clientes podem ser suportados quando se utiliza a API.

Futuramente, a EBA prestará mais esclarecimentos sobre a interpretação das normas técnicas de regulamentação relativas à autentificação forte do cliente e às normas abertas de comunicação comuns e seguras através do seu conjunto único de regras interativo (Interactive Single Rulebook) e da ferramenta de perguntas e respostas disponíveis na Internet, os quais em breve passarão a abranger questões relacionadas com a DSP2, incluindo as normas técnicas e orientações da EBA que lhe estão associadas.

A EBA também lança hoje uma consulta sobre o projeto de orientações que propõem uma abordagem pragmática e coerente às quatro condições que devem ser cumpridas para que os ASPSP possam beneficiar de uma isenção de criação de um mecanismo de contingência (fallback option) nos termos do artigo 33.º, n.º 6, das normas técnicas de regulamentação.

Base jurídica e antecedentes

A EBA preparou este parecer de acordo com o artigo 29.º, n.º 1, a), do regulamento de criação daquela Autoridade, que a encarrega de desempenhar um papel ativo no desenvolvimento de uma cultura europeia comum de supervisão e de práticas de supervisão coerentes, bem como na garantia da aplicação de procedimentos uniformes e de abordagens coerentes em toda a União.