Com a primeira Diretiva dos Serviços de Pagamento (DSP1) – Diretiva 2007/64/CE do Parlamento Europeu e do Conselho, de 13 de novembro – o legislador europeu procurou promover uma uniformização do quadro normativo aplicável à prestação de serviços de pagamento no mercado interno da União Europeia. Esta Diretiva, transposta para o Direito português através do Decreto-Lei n.º 317/2009, de 30 de outubro, fomentou a transparência das condições aplicáveis aos serviços de pagamento, ao definir os requisitos de informação aplicáveis, os direitos dos utilizadores e as obrigações dos prestadores de serviços de pagamento.

Com o objetivo de atualizar o referido enquadramento regulamentar dos serviços de pagamento e promover uma maior integração europeia neste domínio, foi publicada a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro (Diretiva de Serviços de Pagamento revista, ou DSP2). Esta Diretiva foi agora transposta para o ordenamento jurídico nacional através do Decreto-Lei n.º 91/2018, de 12 de novembro.

A Diretiva dos Serviços de Pagamento revista (DSP2) atualiza e complementa as regras estabelecidas pela DSP1. 

As novas regras procuram:

• Contribuir para um mercado de pagamentos europeu mais integrado e eficiente;
• Tornar os pagamentos mais seguros e mais eficientes;
• Fomentar uma igualdade de condições entre prestadores de serviços de pagamento;
• Fortalecer os direitos dos consumidores;
• Promover a adoção de serviços de pagamento inovadores.

Sim, o enquadramento regulamentar estabelecido pela DSP2 aplica-se, na sua generalidade, em todos os países da União Europeia.

A DSP2 é uma diretiva e, como tal, é um ato legislativo europeu que vincula os Estados-Membros quanto ao resultado a alcançar. No entanto, a competência em termos de forma e de meios de implementação é deixada às instâncias nacionais.

As diretivas não são diretamente aplicáveis nos países da União Europeia, devendo ser objeto de transposição para o direito nacional. Em Portugal, a DSP2 foi transposta na sequência da publicação do Decreto-Lei n.º 91/2018, de 12 de novembro.

No caso da DSP2, esta é uma diretiva de harmonização máxima, o que significa que os países da União Europeia não podem introduzir regras mais rigorosas ou mais flexíveis do que as estabelecidas na própria diretiva, salvo nos casos expressamente previstos.

Sim, enquanto a DSP1 se aplicava apenas aos pagamentos dentro da União Europeia, a DSP2 estendeu o seu âmbito de aplicação, nomeadamente no que respeita às disposições relativas a transparência e deveres de informação, a cargo dos prestadores de serviços de pagamento para com os seus clientes.

Assim, com a entrada em vigor do Decreto-Lei n.º 91/2018, de 12 de novembro, que transpõe a DSP2 para o direito nacional, é regulada a prestação de serviços de pagamento ainda que apenas um dos prestadores de serviços de pagamento esteja situado na União Europeia, independentemente da moeda utilizada na operação. As novas regras aplicam-se na relação entre o cliente ordenante e o seu prestador de serviços de pagamento (mas apenas quanto às partes da operação de pagamento efetuadas na União). Por exemplo, quando um cliente ordena uma transferência a crédito em dólares junto do seu banco em Portugal para uma conta aberta num banco situado em qualquer país fora do espaço da União, as novas regras aplicam-se apenas à relação entre o cliente e o seu banco em Portugal. 

Com a DSP2 passam a ser regulados novos serviços de pagamento: os serviços de informação sobre contas e os serviços de iniciação de pagamento.

O serviço de informação sobre contas permite que os utilizadores (consumidores e empresas) agreguem, por exemplo, numa única aplicação, ou website, informação sobre as contas detidas junto de um ou mais prestadores de serviços de pagamento (tipicamente bancos), bastando para tal que estas contas sejam acessíveis online.

Este serviço permite que o utilizador tenha uma visão global da sua situação financeira, ainda que detenha contas de pagamento em diferentes instituições, mesmo que estas estejam domiciliadas em diferentes Estados-Membros.

O serviço de iniciação de pagamentos possibilita aos utilizadores iniciarem operações de pagamento online (por exemplo, quando efetuam uma compra no website de um comerciante), sem que tenham de interagir diretamente com o prestador de serviços de pagamento no qual a sua conta está domiciliada. Será o prestador de serviços de iniciação de pagamentos com quem contratou o serviço a aceder, em seu nome, à conta e a iniciar a operação.

Uma operação de pagamento só é considerada autorizada se o ordenante tiver dado o seu consentimento à execução daquela operação. Na falta desse consentimento, considera-se que a operação de pagamento não foi autorizada.

Quando ocorre uma operação de pagamento não autorizada, o prestador de serviços de pagamento deve reembolsar imediatamente o ordenante, o mais tardar até ao final do primeiro dia útil seguinte, exceto em casos de fraude ou de negligência grosseira.

No caso de operações de pagamento não autorizadas, o utilizador só pode ser obrigado a suportar as perdas até ao montante máximo de 50 euros (exceto se existir fraude ou negligência grosseira). São exemplo de operações de pagamento não autorizadas aquelas que resultem da utilização de um instrumento de pagamento perdido ou furtado, ou da sua apropriação abusiva. Com a DSP2, o montante máximo a suportar pelo utilizador diminui de 150 euros para 50 euros.

A partir do momento em que o utilizador tenha notificado o prestador do serviço de pagamento de que o seu instrumento de pagamento pode ter sido objeto de uma utilização fraudulenta, não deverá ser-lhe exigido que suporte quaisquer perdas adicionais resultantes da utilização não autorizada desse instrumento.

Nesse sentido, se identificar operações de pagamento não autorizadas ou incorretamente executadas, o utilizador deve informar o mais rapidamente possível o seu prestador de serviços de pagamento. 

Os novos prestadores de serviços de pagamento têm que observar os requisitos necessários em matéria de proteção e segurança dos dados.

Assim, os prestadores de serviços de informação sobre contas só acedem à informação necessária à prestação do serviço expressamente solicitado pelo cliente. 

Por seu turno, os prestadores de serviços de iniciação do pagamento só poderão ter acesso à informação estritamente necessária para a execução da operação de pagamento em causa e sempre com o consentimento explícito do cliente ordenante.

A autenticação do cliente é um procedimento que permite a um prestador de serviços de pagamento verificar a identidade ou a validade da utilização de um instrumento de pagamento específico, incluindo a utilização das credenciais de segurança personalizadas do cliente.

A autenticação forte é uma autenticação baseada na utilização de dois ou mais elementos pertencentes às seguintes categorias: conhecimento (algo que só o utilizador conhece, como uma palavra-passe); posse (algo que só o utilizador possui, como um telemóvel); e inerência (algo inerente ao utilizador e que o identifica, tal como uma impressão digital). Estes elementos têm de ser independentes, na medida em que a violação de um deles não compromete a fiabilidade dos outros.

Adicionalmente, nas operações de pagamento remotas, a autenticação forte tem de incluir um elemento que associe de forma dinâmica a operação em causa a um montante e beneficiário específico, tal como um código gerado e enviado para o telemóvel do cliente.

A autenticação forte do cliente deve ser aplicada quando um cliente acede online à sua conta de pagamento, inicia uma operação de pagamento eletrónico ou realiza uma ação, através de um canal remoto, que possa envolver um risco de fraude no pagamento ou outros abusos.

Embora a regra seja aplicar a autenticação forte nas situações acima descritas, foram previstas situações concretas em que o prestador de serviços de pagamento pode optar por isentar os utilizadores de autenticação forte. Essa isenção é baseada no nível de risco envolvido, montante, frequência e canal pelo qual é executada a operação. São exemplos de isenções de aplicação da autenticação forte os pagamentos em portagens recorrendo a serviços como a Via Verde e os pagamentos abaixo de 30 euros que respeitem determinadas condições.

Caso o prestador de serviços de pagamento não exija a autenticação forte ao cliente recorrendo a uma das isenções previstas, conforme assinaladas no ponto anterior, o cliente só suporta eventuais perdas financeiras decorrentes da operação se tiver atuado fraudulentamente.

Os prestadores de serviços de pagamento são obrigados a aplicar a autenticação forte do cliente a partir de 14 de setembro de 2019, data em que entra em vigor o Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017, que complementa a DSP2, no que respeita às normas técnicas de regulamentação relativas à autenticação forte do cliente e às normas abertas de comunicação comuns e seguras.

A prestação de serviços de pagamento pode implicar o tratamento de dados pessoais. No entanto, os prestadores de serviços de pagamento apenas podem aceder aos dados estritamente necessários para a prestação do serviço e só os podem tratar e conservar com o consentimento expresso do utilizador.

É permitido o tratamento de dados pessoais pelos sistemas de pagamentos e pelos prestadores de serviços de pagamento quando tal for necessário para salvaguardar a prevenção, a investigação e a deteção de fraudes em matéria de pagamentos.

O tratamento de dados pessoais no que diz respeito ao RJSPME é efetuado nos termos do Regulamento Geral da Proteção de Dados.