A Autoridade Bancária Europeia (EBA) determinou que os bancos/prestadores de serviços de pagamentos têm até 31 de dezembro de 2020 para adotar a autenticação forte do cliente nos pagamentos online com cartão.

A data foi comunicada ontem pela EBA na Opinion of the European Banking Authority on the deadline for the migration to SCA for e-commerce card-based payment transactions (EBA-Op-2019-11).

Neste documento, a EBA estabelece ainda um conjunto de ações que os bancos/prestadores de serviços de pagamento têm de desenvolver para que possam beneficiar deste período de flexibilização.

A EBA esclarece que, não obstante os requisitos de autenticação forte terem entrado em vigor no passado dia 14 de setembro de 2019, as autoridades competentes nacionais – no caso português, o Banco de Portugal – podem flexibilizar a supervisão destes requisitos nas operações de pagamento online com cartão até ao final de 2020. A EBA considera que as autoridades competentes nacionais podem privilegiar a interação com o mercado e a monitorização dos planos de migração apresentados pelos bancos/prestadores de serviços de pagamento, em vez de adotarem, no imediato, ações sancionatórias aos que não aplicam plenamente os requisitos previstos na Diretiva dos Serviços de Pagamento (DSP2) e no Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017.

É recomendado que as autoridades competentes nacionais adotem a data de 31 de dezembro de 2020 de forma consistente em toda a União Europeia e que exijam aos bancos/prestadores de serviços de pagamento o desenvolvimento das ações detalhadas no documento.

A EBA esclarece ainda que, em qualquer caso, os consumidores estão protegidos contra eventuais fraudes, uma vez que, nas situações em que não lhes seja solicitada autenticação forte, o banco/prestador de serviços de pagamento é sempre responsável por operações de pagamentos não autorizadas.

Reconhecendo que os bancos/prestadores de serviços de pagamento, os comerciantes e os consumidores nacionais necessitam de um período adicional para adotarem plenamente os requisitos de autenticação forte do cliente em operações de pagamento online com cartão e que deverá existir uma abordagem consistente na União Europeia, o Banco de Portugal adotará a flexibilidade prevista no parecer da EBA. Assim, os bancos/prestadores de serviços de pagamento terão até 31 de dezembro de 2020 para adotar plenamente os requisitos de autenticação forte nas operações de pagamento online com cartão. Para assegurar este objetivo, o Banco de Portugal solicitará informação aos bancos/prestadores de serviços de pagamento sobre os respetivos planos de migração e monitorizará o cumprimento dos mesmos.

Sobre a autenticação forte dos clientes

Os requisitos de autenticação forte entraram em vigor a 14 de setembro de 2019, em toda a União Europeia.

Desde essa data, os bancos e os demais prestadores de serviços de pagamento estão obrigados a fazer a autenticação forte dos seus clientes sempre que estes acedam online à sua conta, iniciem um pagamento eletrónico ou realizem uma ação que possa envolver risco de fraude ou outros abusos.

Nestas situações, os bancos/prestadores de pagamento passaram a exigir, por norma, a introdução de dois elementos de segurança: por exemplo, além da tradicional palavra-passe, um código enviado por SMS para o telemóvel do utilizador.

Reconhecendo que, no caso das operações de pagamento online com cartão, alguns utilizadores poderiam ser negativamente afetados pela entrada em vigor dos requisitos de autenticação, a EBA aceitou que, excecionalmente, as autoridades competentes nacionais poderiam optar por trabalhar com o mercado na adoção das novas regras durante um período de tempo adicional.

Essa possibilidade foi prevista pela EBA na Opinion on the elements of strong customer authentication under PSD2 (EBA-Op-2019-06), publicada em junho de 2019, que o documento ontem publicado veio complementar.