Utilização de dados do cartão nas compras online com “dias contados”

A “autenticação forte” é o procedimento adotado para verificar a identidade do utilizador e a legitimidade das operações.

A utilização dos dados impressos no cartão de crédito como elemento de autenticação em compras online deixará de ser aceite no curto prazo na União Europeia, após a entrada em vigor das novas regras para os pagamentos eletrónicos.

Os serviços de pagamentos eletrónicos têm novas regras a partir de sábado em toda a União Europeia (UE) com medidas de autenticação reforçadas e destinadas a aumentar a segurança nos pagamentos eletrónicos em toda a região.

Para já, os clientes poderão continuar a utilizar os dados do cartão para fazer pagamentos online, mas apenas durante um período limitado de tempo a definir ainda “nas próximas semanas” pela Autoridade Bancária Europeia, de acordo com informação divulgada pelo Banco de Portugal (BdP).

Este período que será dado aos comerciantes visa minimizar o impacto do novo enquadramento regulamentar no comércio online, dando um tempo adicional aos comerciantes para que se adaptem e apliquem também eles a autenticação forte nas compras online com cartão.

Em comunicado divulgado esta sexta-feira, o BdP, lembra que a partir de sábado, os prestadores de serviços de pagamento (incluindo bancos) devem efetuar a chamada “autenticação forte” dos seus clientes sempre que estes: acedam online à sua conta de pagamento, iniciem uma operação de pagamento eletrónico ou realizem uma ação, através de um canal remoto, que possa envolver risco de fraude no pagamento ou outros abusos.

A “autenticação forte” é o procedimento adotado para verificar a identidade do utilizador e a legitimidade das operações.

“Este procedimento implica que os prestadores de serviços de pagamento/bancos, em todas as situações descritas, solicitem ao cliente dois ou mais elementos pertencentes às categorias de “conhecimento” (algo que só o cliente sabe, como, por exemplo, uma palavra-passe), de “posse” (algo que só o cliente tem, como, por exemplo, um telemóvel para o qual é enviado um código por mensagem) e de “inerência” (uma característica inerente ao cliente, como a impressão digital), sendo que pelo menos dois dos elementos solicitados deverão pertencer a categorias diferentes”, explica o BdP em comunicado.

Os elementos utilizados na autenticação forte são escolhidos por cada prestador de serviços de pagamento/banco, desde que estejam em cumprimento das novas regras aplicáveis.

Os bancos que não cumprirem as novas regras poderão ser responsabilizados por eventuais perdas financeiras decorrentes da operação, desde que esta não tenha sido realizada de forma fraudulenta pelo cliente.

A autenticação forte dos clientes já era realizada pelos prestadores de serviços de pagamento/bancos em algumas situações específicas, mas, a partir de sábado, passa a ser obrigatória para a generalidade das operações eletrónicas, com a entrada em vigor do Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017, que complementa a Diretiva dos Serviços de Pagamento revista.

Além de ser solicitada no acesso à conta através de homebanking (através da página eletrónica da instituição) ou app (aplicações em telemóveis ou tablets), a autenticação forte poderá ainda ser exigida aos clientes para fazer compras e pagamentos online com cartão, para iniciar transferências, para efetuar pagamentos de serviços e para consultar ‘online’ os movimentos da sua conta.

Pode ainda ser pedida para consultar e alterar online outra informação (por exemplo, dados de operações recorrentes ou listas de beneficiários preferenciais), refere o BdP.

Os clientes devem contactar o seu prestador de serviços de pagamento/banco e informar-se sobre os procedimentos a adotar para continuarem a aceder online à sua conta e a autorizar operações de pagamento eletrónicas, sinaliza a instituição. “Devem ainda certificar-se de que os seus dados pessoais, anteriormente fornecidos aos seus prestadores de serviços de pagamento/bancos (incluindo dados de contacto), se encontram atualizados”, acrescenta.

Estão ainda previstas algumas situações, de acordo com o BdP em que pode não ser aplicada a autenticação forte tais como pagamentos entre contas detidas pelo mesmo titular, pagamento de tarifas de transporte e estacionamento através de terminais automáticos, operações recorrentes e processos e protocolos de pagamentos seguros para empresas, como o caso de cartões de refeição.

Lusa