Está aqui

Autenticação forte

A partir de 14 de setembro de 2019, os prestadores de serviços de pagamento (PSP) têm de efetuar a autenticação forte dos clientes (Strong Customer Authentication – SCA) sempre que estes queiram: 

  • Aceder em linha (online) à sua conta de pagamento;
  • Iniciar um pagamento eletrónico;
  • Realizar remotamente uma ação que possa envolver risco de fraude no pagamento ou outros abusos. 

A autenticação forte implica que o PSP solicite ao utilizador pelo menos dois elementos pertencentes às seguintes categorias: 

  1. Conhecimento (por exemplo, PIN ou palavra-passe);
  2. Posse (por exemplo, one-time password, telemóvel ou cartão de pagamento);
  3. Inerência (por exemplo, impressão digital).

Os dois elementos solicitados pelo PSP têm de pertencer a categorias diferentes.

Infografia - Autenticação forte

Nas operações de pagamento remotas, a autenticação forte tem também de incluir elementos que associem de forma dinâmica a operação ao montante e ao beneficiário específico.

Em regra, os prestadores de serviços de pagamento são obrigados a aplicar a autenticação forte do cliente. No entanto, foram previstas situações em que o PSP poderá optar por não solicitar a autenticação forte. Essas isenções poderão ser definidas com base no nível de risco envolvido na operação, no montante, na frequência e no canal através do qual a operação é executada.  

Nas situações em que o prestador de serviços de pagamento opte por não aplicar a autenticação forte, o utilizador não poderá ser responsabilizado caso a operação de pagamento seja incorretamente executada, assumindo o PSP essa responsabilidade. 

Estão isentos da aplicação da autenticação forte, por exemplo, os pagamentos em portagens através de serviços como a Via Verde, as transferências a crédito efetuadas recorrentemente ou para beneficiários frequentes, e os pagamentos abaixo de 30 euros que respeitem determinadas condições.

Informação para profissionais

Em complemento da DSP2, a Autoridade Bancária Europeia (EBA) elaborou um conjunto de normas técnicas de regulamentação (RTS – Regulatory Technical Standards) relativas à autenticação forte, que constam do Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017. O referido Regulamento é diretamente aplicável em todos os Estados-Membros a partir de 14 de setembro de 2019. No seu capítulo III descrevem-se as situações em que o PSP pode optar pela não aplicação da autenticação forte. 

A EBA publicou também a Opinion on the elements of strong customer authentication under PSD2, que destaca os elementos que podem ou não ser considerados para efeitos de autenticação forte, complementando a informação já divulgada na Opinion on the implementation of the RTS on SCA and CSC

Com o objetivo de prestar clarificações adicionais ao mercado, a EBA publicou ainda um conjunto de respostas a perguntas frequentes sobre este tema, que podem ser consultadas no seu portal, em European Banking Authority Q&A – PSD2