Segurança nos pagamentos

Sabe o que é a autenticação forte?

O Banco e Eu

Saiba como lidar com a autenticação forte e o que vai mudar nos pagamentos a partir de 14 de setembro. 23-08-2019

O mecanismo de autenticação forte introduz um passo adicional de segurança nas operações financeiras online. A sua aplicação passa a ser obrigatória já a partir de 14 de setembro.

Já no próximo dia 14 de setembro vai entrar em vigor a obrigatoriedade da autenticação forte nos pagamentos online. Simplificação e otimização das operações tal como uma maior segurança contra os ciber-riscos é o que o novo mecanismo promete mudar na forma como fazemos pagamentos.

A medida, que surge no âmbito da diretiva europeia 2015/2366 conhecida como PSD2 (Payment Services Directive), visa aumentar a segurança não só dos pagamentos online, mas também da interação dos cidadãos com o seu próprio banco em ambiente de homebanking. E tudo para reforçar a correta identificação do utilizador e da compra ou na operação bancária a  realizar.

Recorde-se que, num comunicado divulgado em junho, a Autoridade Bancária Europeia (EBA), na sigla em inglês) sublinha que "a partir de 14 de setembro de 2019, os prestadores de serviços de pagamento terão de efetuar a autenticação forte dos seus clientes sempre que estes acedam online à sua conta de pagamento, iniciem uma operação de pagamento eletrónico ou realizem uma ação, através de um canal remoto, que possa envolver risco de fraude no pagamento ou outros abusos".

Como funciona a autenticação forte?

A autenticação forte é o procedimento pelo qual os prestadores de serviços de pagamento, nomeadamente os bancos, validam a identidade do cliente num contexto de pagamento online, confirmando as suas transações, ou noutras ações que possam envolver risco de fraude financeira entre outros abusos. Por exemplo, no acesso a um serviço de homebanking.

Obriga por isso a um passo acrescido na autenticação de dados pessoais e financeiros que trará não só uma maior robustez às operações online (reduzindo o risco de fraude, de crimes de roubo de identidade e de outros ciber-riscos), mas também simplificará a forma como realizamos algumas operações.

Na prática, este reforço da segurança no processo de autenticação obriga os prestadores de serviços de pagamento a pedirem aos utilizadores pelo menos dois elementos que comprovem a sua identidade.

Estes elementos têm obrigatoriamente de pertencer a duas das três categorias de autenticação forte, nomeadamente:

  1. Conhecimento: algo que apenas o utilizador conhece, por exemplo uma palavra passe, um código ou um número de identificação pessoal.
  2. Posse: Algo que apenas o utilizador possui, por exemplo, um telemóvel.
  3. Inerência: Algo que se constitua como característica biométrica do cliente. Por exemplo, impressão digital, reconhecimento facial, entre outros.

O que muda com a autenticação forte?

Da utilização destes elementos resulta o chamado código de autenticação. Nos casos em que é legalmente exigida a autenticação forte, por exemplo numa compra online com cartão, o cliente bancário, além de indicar os elementos do seu cartão de pagamento, deve ainda inserir um código irrepetível que lhe seja fornecido por mensagem escrita de telemóvel (SMS).

Nas três categorias que compõem o mecanismo de autenticação forte, o código enviado por sms para o telemóvel é o elemento de posse. Sem o seu uso, a operação não ficará concluída.

Este elemento de posse passa igualmente a ser exigido em determinadas operações de homebanking. Por este motivo, os clientes bancários são convidados à cautela antecipada de  associar o seu número de telemóvel à conta bancária ou de acesso aos serviços de homebanking. O incumprimento com esta exigência pode inclusive barrar-lhes o acesso a estes canais.

O novo contexto de pagamentos e operações

Face à exposição tecnológica crescente, é cada vez mais raro o pagamento de produtos ou  serviços com dinheiro. Seja por conveniência, rapidez de pagamento, para evitar os trocos ou andar com dinheiro no bolso, os cartões de débito, crédito, pré-pago, multimarca, contactless ou mesmo algumas aplicações móveis são meios de pagamento cada vez mais solicitados pelos consumidores.

A este propósito, importa perceber que esta é uma realidade altamente dinâmica e, nos dias que correm, a crescente utilização de dispositivos móveis, assim como a rápida evolução no mercado e nos hábitos dos consumidores exigiram permanente inovação do lado dos serviços de pagamento, mas também em relação aos padrões de segurança destes serviços.

A Diretiva Europeia de Serviços de Pagamentos (DSP2) vem responder a um novo contexto de forte inovação tecnológica e liberalização dos serviços e procura criar um mercado único europeu de serviços de pagamento - devidamente padronizado, regido pelas mesmas normas e especificações de segurança. O seu impacte prático é o de aumentar níveis de segurança dos pagamentos online e proteger a privacidade dos dados dos cidadãos.

Como estão os bancos a reagir?

O tema da autenticação forte tem vindo a ser objeto de um esforço de comunicação do lado da Banca - quer junto de Clientes finais, quer junto dos comerciantes com lojas de comércio eletrónico.

Um destes bancos é a Caixa Geral de Depósitos que alerta para a necessidade antecipada dos clientes associarem a sua conta, APP bancárias e acessos ao serviço de homebanking Caixadirecta ao seu número pessoal de telemóvel.

A medida vem obrigar à utilização de um código de segurança adicional no primeiro acesso ao seu serviço Caixadirecta, sendo que de 90 em 90 dias será sempre pedido novo código. Este código encaminhado por SMS (o SMS Token) para o telemóvel certificado (registado previamente pelo cliente junto do banco, e cuja posse e uso já foi comprovado em anteriores operações) será solicitado após a introdução do número de contrato e do tradicional código de acesso.

Também a CGD passará, portanto a cumprir com as novas exigências de segurança com esta dupla autenticação - via elemento de posse, o SMS Token.