A partir de dia 31 de dezembro todas as compras online vão requerer ‘autentificação forte’
Com o aumento substancial de pessoas a comprar produtos online, reforçar a segurança é prioridade e, como tal, a partir de dia 31 de dezembro todos os portugueses terão de aderir ao sistema de ‘autentificação forte’ para completar os pagamentos na internet, anunciou hoje o Banco de Portugal.
A ‘autentificação forte’ consiste em permitir ao prestador de serviços de pagamento (PSP)/banco verificar a identidade de um utilizador ou a validade de utilização de um instrumento específico de pagamento, conforme explicado no site oficial do Banco de Portugal (BdP).
A verificação será feita através de dois ou mais elementos de autentificação divididos entre três categorias possíveis – conhecimento (palavra-passe), posse (um código enviado por SMS para o telemóvel, provando, desta forma, a posse do dispositivo) e de inerência (uma caraterística que identifique o utilizador, como a impressão digital).
No entanto, continuará a ser possível para os PSP/banco optarem por não pedir o sistema de ‘autentificação forte’. O Banco de Portugal explica que “embora a regra seja a obrigatoriedade de o PSP/banco aplicar a autenticação forte do cliente, foram previstas situações – baseadas no nível de risco envolvido, no montante, na frequência e no canal através do qual a operação é executada – em que o PSP/banco poderá optar por aceitar o acesso ou efetuar a operação sem solicitar autenticação forte ao cliente (aplicando uma isenção). São os casos das compras efetuadas com a tecnologia contactless e dos pagamentos efetuados em portagens com a Via Verde.
No âmbito da nova medida, podem ser solicitados outros dados como prova de autentificação, como por exemplo elementos que respeitem a algo que só o utilizador conhece. Reconhecimento facial, de voz, de retina, impressão digital e reconhecimento do batimento cardíaco são alguma das medidas extras de autentificação que podem ser utilizados para completar o processo de pagamento.
Importa saber que, detalhes do cartão de pagamento, o contacto de e-mail, o nome de utilizador e o número de contrato associado ao acesso no homebanking, não são considerados “algo que só o utilizador conhece”, segundo o BdP.
Alguns procedimentos de autentificação serão descontinuados como os detalhes impressos no cartão de pagamento (designadamente o número do cartão, a data de validade e o código CVV/CVC) não poderão ser utilizados para fins de autenticação forte do cliente. Neste caso, por serem frequentemente partilhados com terceiros. Também as situações em que é utilizada uma palavra-passe (elemento de conhecimento) e um conjunto de coordenadas do cartão-matriz (não é considerado elemento de autenticação forte) não cumprem os novos requisitos estabelecidos. O cartão matriz, por ser replicável, deixa de ser um elemento válido para efeitos de aplicação de autenticação forte do cliente.
O Bdp considera que “as operações de pagamento remotas implicam um maior risco de fraude do que as operações presenciais” e, nesse sentido, os PSP/bancos têm de garantir que, neste tipo de operações, a autenticação forte do cliente inclui um elemento adicional que associe de forma dinâmica a operação em causa ao montante e beneficiário específico.
