Está aqui

Autenticação forte

Desde 14 de setembro de 2019, os prestadores de serviços de pagamento (PSP) têm de efetuar a autenticação forte dos clientes (Strong Customer Authentication – SCA) sempre que estes queiram: 

  • Aceder em linha (online) à sua conta de pagamento;
  • Iniciar um pagamento eletrónico;
  • Realizar remotamente uma ação que possa envolver risco de fraude no pagamento ou outros abusos. 

A autenticação forte implica que o PSP solicite ao utilizador pelo menos dois elementos pertencentes às seguintes categorias: 

  1. Conhecimento (por exemplo, PIN ou palavra-passe);
  2. Posse (por exemplo, one-time password, telemóvel ou cartão de pagamento);
  3. Inerência (por exemplo, impressão digital).

Os dois elementos solicitados pelo PSP têm de pertencer a categorias diferentes.

Infografia - Autenticação forte

Nas operações de pagamento remotas, a autenticação forte tem também de incluir elementos que associem de forma dinâmica a operação ao montante e ao beneficiário específico.

Em regra, os prestadores de serviços de pagamento são obrigados a aplicar a autenticação forte do cliente. No entanto, foram previstas situações em que o PSP poderá optar por não solicitar a autenticação forte. Essas isenções poderão ser definidas com base no nível de risco envolvido na operação, no montante, na frequência e no canal através do qual a operação é executada.  

Nas situações em que o prestador de serviços de pagamento opte por não aplicar a autenticação forte, o utilizador não poderá ser responsabilizado caso a operação de pagamento seja incorretamente executada, assumindo o PSP essa responsabilidade. 

Estão isentos da aplicação da autenticação forte, por exemplo, os pagamentos em portagens através de serviços como a Via Verde, as transferências a crédito efetuadas recorrentemente ou para beneficiários frequentes, e os pagamentos abaixo de 30 euros que respeitem determinadas condições.

Informação para profissionais

Em complemento da DSP2, a Autoridade Bancária Europeia (EBA) elaborou um conjunto de normas técnicas de regulamentação (RTS – Regulatory Technical Standards) relativas à autenticação forte, que constam do Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017. Este Regulamento é diretamente aplicável em todos os Estados-Membros da União Europeia desde 14 de setembro de 2019.

No capítulo III do referido Regulamento descrevem-se as situações em que o PSP pode optar pela não aplicação da autenticação forte do cliente. Em particular, o artigo 17.º prevê que os PSP podem não aplicar a autenticação forte às pessoas coletivas que iniciem operações de pagamento eletrónico utilizando processos ou protocolos de pagamento específicos, caso a autoridade competente, neste caso o Banco de Portugal, considere que tais processos ou protocolos garantem níveis de segurança adequados.

Neste sentido, o Banco de Portugal deliberou que os PSP podem não aplicar autenticação forte do cliente às pessoas coletivas que iniciem operações de pagamento eletrónico utilizando os processos ou protocolos de pagamento que podem ser consultados aqui.

De notar que os PSP que pretendam não aplicar autenticação forte do cliente para estes ou outros processos e protocolos de pagamento seguros para empresas terão, previamente, de solicitar autorização ao Banco de Portugal. 

A EBA publicou também a Opinion on the elements of strong customer authentication under PSD2, que destaca os elementos que podem ou não ser considerados para efeitos de autenticação forte, complementando a informação já divulgada na Opinion on the implementation of the RTS on SCA and CSC

Com o objetivo de prestar clarificações adicionais ao mercado, a EBA publicou ainda um conjunto de respostas a perguntas frequentes sobre este tema, que podem ser consultadas no seu portal, em European Banking Authority Q&A – PSD2.