Desde 14 de setembro de 2019, os prestadores de serviços de pagamento (PSP) têm de efetuar a autenticação forte dos clientes (Strong Customer Authentication – SCA) sempre que estes queiram:
A autenticação forte implica que o PSP solicite ao utilizador pelo menos dois elementos pertencentes às seguintes categorias:
Os dois elementos solicitados pelo PSP têm de pertencer a categorias diferentes.
Nas operações de pagamento remotas, a autenticação forte tem também de incluir elementos que associem de forma dinâmica a operação ao montante e ao beneficiário específico.
Em regra, os prestadores de serviços de pagamento são obrigados a aplicar a autenticação forte do cliente. No entanto, foram previstas situações em que o PSP poderá optar por não solicitar a autenticação forte. Essas isenções poderão ser definidas com base no nível de risco envolvido na operação, no montante, na frequência e no canal através do qual a operação é executada.
Nas situações em que o prestador de serviços de pagamento opte por não aplicar a autenticação forte, o utilizador não poderá ser responsabilizado caso a operação de pagamento seja incorretamente executada, assumindo o PSP essa responsabilidade.
Estão isentos da aplicação da autenticação forte, por exemplo, os pagamentos em portagens através de serviços como a Via Verde, as transferências a crédito efetuadas recorrentemente ou para beneficiários frequentes, e os pagamentos abaixo de 30 euros que respeitem determinadas condições.
Os requisitos de autenticação forte do cliente entraram em vigor em 14 de setembro de 2019. Todavia, para permitir uma melhor preparação do mercado europeu, e deste modo, minimizar o impacto do novo enquadramento regulamentar no comércio eletrónico, a EBA determinou a possibilidade de as autoridades competentes flexibilizarem a supervisão destes requisitos nas operações de pagamento online com cartão até 31 de dezembro de 2020.
A partir de 31 de dezembro de 2020, os bancos/prestadores de serviços de pagamento têm de aplicar os requisitos de autenticação forte do cliente nas operações de pagamento online com cartão.
Em complemento da DSP2, a Autoridade Bancária Europeia (EBA) elaborou um conjunto de normas técnicas de regulamentação (RTS – Regulatory Technical Standards) relativas à autenticação forte, que constam do Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017. Este Regulamento é diretamente aplicável em todos os Estados-Membros da União Europeia desde 14 de setembro de 2019.
No capítulo III do referido Regulamento descrevem-se as situações em que o PSP pode optar pela não aplicação da autenticação forte do cliente. Em particular, o artigo 17.º prevê que os PSP podem não aplicar a autenticação forte às pessoas coletivas que iniciem operações de pagamento eletrónico utilizando processos ou protocolos de pagamento específicos, caso a autoridade competente, neste caso o Banco de Portugal, considere que tais processos ou protocolos garantem níveis de segurança adequados.
Neste sentido, o Banco de Portugal deliberou que os PSP podem não aplicar autenticação forte do cliente às pessoas coletivas que iniciem operações de pagamento eletrónico utilizando os processos ou protocolos de pagamento que podem ser consultados aqui.
De notar que os PSP que pretendam não aplicar autenticação forte do cliente para estes ou outros processos e protocolos de pagamento seguros para empresas terão, previamente, de solicitar autorização ao Banco de Portugal.
A EBA publicou também a Opinion on the elements of strong customer authentication under PSD2, que destaca os elementos que podem ou não ser considerados para efeitos de autenticação forte, complementando a informação já divulgada na Opinion on the implementation of the RTS on SCA and CSC.
Com o objetivo de prestar clarificações adicionais ao mercado, a EBA publicou ainda um conjunto de respostas a perguntas frequentes sobre este tema, que podem ser consultadas no seu portal, em European Banking Authority Q&A – PSD2.
Com a Opinion on the deadline and process for completing the migration to strong customer authentication (SCA) for e-commerce card-based payment transactions, a EBA veio permitir às autoridades competentes aplicar flexibilidade supervisiva no que respeita às regras de autenticação forte do cliente no comércio eletrónico com cartão, até 31 de dezembro de 2020. Adicionalmente, estabeleceu um conjunto de ações faseadas a seguir pelos PSP (emissores de cartões e adquirentes de operações) e a acompanhar pelas autoridades competentes.