O Decreto-Lei n.º 91/2018 estabelece o novo Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME), transpondo para o ordenamento jurídico nacional a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro, relativa aos serviços de pagamento no mercado interno (Diretiva de Serviços de Pagamento revista – DSP2).

O novo RJSPME passa a ser o elemento central na prestação de serviços de pagamento em Portugal, impactando não só na forma como os prestadores de serviços de pagamento disponibilizam os seus serviços, mas também no modo como particulares, empresas e Administração Pública efetuam pagamentos no seu dia-a-dia.

O Decreto-Lei introduz um conjunto de alterações na prestação de serviços de pagamento em Portugal, sendo de destacar a sua aplicação a mais operações de pagamento, a criação e regulação de novos tipos de serviços de pagamento, a definição de um conjunto de requisitos de segurança a respeitar na execução de operações de pagamento e a imposição, aos prestadores de serviços de pagamento, de maiores responsabilidades na execução de operações de pagamento não autorizadas.

Com a publicação do novo RJSPME pretende-se promover um mercado de pagamentos mais inovador, competitivo e seguro.

Mas o que muda no nosso dia-a-dia?

i. O RJSPME aplica-se a mais operações de pagamento

Quando ordeno uma transferência a crédito numa qualquer moeda, por exemplo em dólares, para uma conta aberta num banco situado em qualquer país fora do espaço da União, as novas regras aplicar-se-ão à relação entre mim e o meu prestador de serviços de pagamento, por exemplo um banco.

De uma forma genérica, o âmbito de aplicação do RJSPME foi alargado, passando a regular as operações de pagamento sempre que pelo menos um dos prestadores de serviços de pagamento esteja situado na União Europeia, independentemente da moeda utilizada na operação. 

ii. É possível agregar numa única aplicação informação sobre as contas detidas junto de vários bancos ou iniciar operações de pagamento sem interagir diretamente com o banco onde tenha conta

Com a entrada em vigor do Decreto-Lei n.º 91/2018, posso utilizar novos serviços de pagamento, designadamente, serviços de informação sobre contas e serviços de iniciação de pagamentos. Para tal, tenho de autorizar expressamente os prestadores destes novos serviços a aceder à minha conta e a iniciar pagamentos em meu nome.

Os serviços de informação sobre contas (AIS) vão permitir agregar numa única aplicação, ou website, informação sobre as contas detidas junto de um ou mais prestadores de serviços de pagamento (por exemplo, bancos), bastando para tal que estas contas sejam acessíveis online.

Os serviços de iniciação de pagamentos (PIS) oferecem a possibilidade de iniciar operações de pagamento online (por exemplo, quando é efetuada uma compra no website do comerciante), sem que o cliente tenha de interagir diretamente com o seu prestador de serviços de pagamento (habitualmente, um banco). Será o prestador de serviços de iniciação de pagamentos com quem contratou o serviço a aceder, em seu nome, à conta e a iniciar a operação.

iii. O acesso à conta e a execução do pagamento passa a ter de respeitar requisitos de segurança reforçados

A forma como acedo à minha conta ou como inicio uma operação de pagamento vai passar a ser efetuada com autenticação forte. Por exemplo, quando efetuo uma operação de pagamento online, designadamente através de um cartão de pagamento, por meio de uma transferência ou de um pagamento de serviços, o meu banco envia-me um código (por exemplo, através de SMS ou de uma APP) que devo utilizar para autorizar aquela operação específica. 

O novo RJSPME estabelece que os prestadores de serviços de pagamento têm de passar a autenticar os seus clientes com recurso a mecanismos de autenticação forte, o que implica que tenham de ser solicitados, no mínimo, dois elementos de entre três categorias: 

1. algo que apenas o utilizador conhece, por exemplo uma palavra-passe estática;
2. algo que apenas o utilizador possui, por exemplo, um dispositivo de autenticação (token) ou um telemóvel;
3. alguma caraterística inerente ao utilizador, por exemplo, um elemento biométrico. 

Adicionalmente, para operações de pagamento remotas (efetuadas, por exemplo, através da internet), a autenticação forte tem de incluir elementos que associem de forma dinâmica a operação a um montante e beneficiário específico (por exemplo, através do envio de um código por SMS).

Os prestadores de serviços de pagamento podem optar por não aplicar mecanismos de autenticação forte em determinadas situações, por exemplo, quando efetuamos uma transferência para uma lista de beneficiários pré-definida ou quando passamos com o carro na “Via Verde”. Nestas situações, no entanto, os prestadores de serviços de pagamento assumem a responsabilidade caso a operação seja indevidamente executada (a menos que o utilizador aja fraudulentamente). 

iv. Repartição de responsabilidades no processamento de operações não autorizadas

Caso seja realizada na minha conta uma operação de pagamento não autorizada no montante de 123 euros, por exemplo na eventualidade de alguém tomar posse indevida de informação constante do meu cartão de crédito, apenas me será imputável um montante máximo de 50 euros. 

O novo regime jurídico dos serviços de pagamento reforça as salvaguardas do utilizador de serviços de pagamento perante a execução de operações de pagamento não autorizadas:

1. Diminui o montante máximo a suportar pelo utilizador numa operação de pagamento não autorizada, de 150 euros para 50 euros (exceto em casos de fraude ou negligência grosseira);
2. Desresponsabiliza os utilizadores no caso de operações online em que o prestador de serviços de pagamento não exija procedimentos de autenticação forte (a menos que o utilizador aja fraudulentamente).

Em todo o caso, sempre que utilizadores dos serviços de pagamento identifiquem operações de pagamento não autorizadas, ou incorretamente executadas, deverão informar o mais rapidamente possível o seu prestador de serviços. A partir do momento em que o fizerem não deverão suportar quaisquer perdas adicionais resultantes da utilização não autorizada desse instrumento (salvo em caso de atuação fraudulenta ou de negligência grosseira da sua parte).