Entram hoje em vigor novas regras para tornar mais seguros pagamentos electrónicos
Com a nova directiva serviços de pagamento (DSP2), a mera introdução de uma senha ou dos dados de um cartão de crédito deixará, na maior parte dos casos, de ser suficiente para realizar um pagamento: em certos casos, será necessário um código, válido para uma única operação, juntamente com os outros dois elementos independentes. Esta é uma das novas regras da lei comunitária que tem de ser transposta até amanhã e que procura modernizar os serviços de pagamento na Europa. Bruxelas diz que objectivo é acompanhar a rápida evolução deste mercado e permitir o crescimento do mercado europeu do comércio electrónico.
A DSP2 cria e regula novos tipos de serviços de pagamento, define um conjunto de requisitos de segurança a respeitar na execução de operações de pagamento e impõe aos prestadores de serviços de pagamento maiores responsabilidades na execução de operações de pagamento não autorizadas. A lei comunitária deverá ser transposta para a ordem jurídica interna dos Estados-membros da União Europeia até 13 de janeiro de 2018.
Segundo a Comissão Europeia, com o objetivo de atualizar o enquadramento regulamentar dos serviços de pagamentos foi publicada recentemente a Diretiva de Serviços de Pagamento revista, ou DSP2.
“As novas regras visam regular as operações de pagamento sempre que pelo menos um dos prestadores de serviços de pagamento esteja situado na União Europeia, independentemente da moeda utilizada na operação”, realça Bruxelas em comunicado, dando conta que a regras definidas na DSP2 aplicar-se-ão na relação entre o cliente ordenante e o seu prestador de serviços de pagamento (mas apenas quanto às partes da operação de pagamento efetuadas na União), por exemplo, quando o primeiro ordenar uma transferência a crédito em dólares para uma conta aberta num banco situado em qualquer país fora do espaço da União.
Bruxelas destaca que com as novas regras os consumidores poderão utilizar serviços inovadores prestados por terceiros, designadamente pelas chamadas empresas de tecnologia financeira (‘FinTech’), garantindo simultaneamente uma rigorosa protecção e segurança dos dados dos consumidores e das empresas da UE. Entre esses serviços figuram as soluções de pagamento e os instrumentos de gestão das finanças pessoais mediante a agregação de dados de diferentes contas bancárias.
Um dos principais objectivos da DSP2 é aumentar o nível de segurança e de confiança nos meios de pagamento electrónicos, nomeadamente exigindo que os prestadores de serviços de pagamento desenvolvam uma “sólida autenticação do cliente”.
As normas técnicas de regulamentação foram elaboradas pela Autoridade Bancária Europeia, em estreita cooperação com o Banco Central Europeu, e indicam a forma como se deve concretizar a “sólida autenticação do cliente”.
“O objectivo é reduzir significativamente os actuais níveis de fraude em relação a todos os métodos de pagamento mas, sobretudo, aos pagamentos em linha protegendo a confidencialidade dos dados financeiros dos utilizadores”, indica a Comissão, acrescentando que “as novas normas reconhecem contudo que, em certos casos, é possível alcançar um nível aceitável de segurança nos pagamentos por formas diferentes que não a utilização dos dois elementos independentes da sólida autenticação do cliente”.
Após a publicação das normas, os bancos e outros prestadores de serviços de pagamento terão um prazo de 18 meses para adoptarem as medidas de segurança e os instrumentos de comunicação necessários.
Requisitos de segurança na execução de operações de pagamento
Para proteger os utilizadores e promover o comércio eletrónico, a DSP2 estabelece um conjunto de requisitos de segurança para os serviços de pagamento fornecidos por via eletrónica. Com a entrada em vigor da diretiva, os prestadores de serviços de pagamento terão de passar a autenticar os seus clientes com recurso a mecanismos de autenticação forte.
A autenticação forte do cliente implica que, sempre que o utilizador inicie um pagamento eletrónico, o prestador de serviços de pagamento tenha de lhe solicitar, no mínimo, dois elementos de entre três categorias: algo que apenas ele conhece, por exemplo uma palavra-passe estática; algo que apenas ele possui, por exemplo, um dispositivo de autenticação (token) ou um telemóvel; alguma característica inerente ao utilizador, por exemplo, um elemento biométrico.
Pelo menos um dos elementos deverá ser não reutilizável, não reproduzível e insusceptível de ser subreticiamente obtido por terceiros.
Operações de pagamento não autorizadas
A DSP2 reforça também as salvaguardas do utilizador de serviços de pagamento perante a execução de operações de pagamento não autorizadas: diminui o montante máximo a suportar pelo consumidor numa operação de pagamento não autorizada, de 150 para 50 euros (exceto em casos de fraude ou negligência grosseira). E desresponsabiliza os consumidores no caso de operações online em que o prestador de serviços de pagamento não exija procedimentos de autenticação forte (a menos que o consumidor aja fraudulentamente).
Caso identifiquem operações de pagamento não autorizadas ou incorretamente executadas, os utilizadores dos serviços de pagamento deverão informar o mais rapidamente possível o seu prestador de serviços. A partir do momento em que o fizerem, não deverão suportar quaisquer perdas resultantes da utilização não autorizada desse instrumento (salvo em caso de comprovada atuação fraudulenta ou de negligência grosseira da sua parte).
