Atenção às novas regras para operações bancárias e pagamentos eletrónicos

Os serviços de pagamentos eletrónicos têm novas regras a partir de sábado em toda a União Europeia (UE) com medidas de autenticação reforçadas e destinadas a aumentar a segurança nos pagamentos eletrónicos em toda a região.

Em Portugal, a transposição da diretiva comunitária (DSP2) terá como efeito imediato que as cadernetas de banda magnética até agora bastante utilizadas pela Caixa Geral de Depósitos (CGD), Montepio e Crédito Agrícola (CA), sobretudo entre a população mais idosa, deixem de poder ser utilizadas para levantar dinheiro e fazer transferências a partir de sábado.

A diretiva considera que as cadernetas como meio de pagamento não cumprem regras de autenticação forte, pelo que deixam de poder ser usadas para pagamentos, levantamento de numerário e transferências a partir do próximo dia 14, por se considerar que a banda magnética não é suficientemente segura (podem continuar a ser usadas apenas para consulta do saldo e dos movimentos da conta bancária).

Assim, quem apenas tenha caderneta precisa de ter um cartão de débito para poder continuar a efetuar transações financeiras nas caixas automáticas.

De acordo com o Banco de Portugal (BdP), a partir de sábado, os prestadores de serviços de pagamento (incluindo bancos) devem efetuar a chamada "autenticação forte" dos seus clientes sempre que estes: acedam 'online' à sua conta de pagamento, iniciem uma operação de pagamento eletrónico ou realizem uma ação, através de um canal remoto, que possa envolver risco de fraude no pagamento ou outros abusos.

A "autenticação forte" é o procedimento adotado para verificar a identidade do utilizador e a legitimidade das operações.

"Este procedimento implica que os prestadores de serviços de pagamento/bancos, em todas as situações descritas, solicitem ao cliente dois ou mais elementos pertencentes às categorias de "conhecimento" (algo que só o cliente sabe, como, por exemplo, uma palavra-passe), de "posse" (algo que só o cliente tem, como, por exemplo, um telemóvel para o qual é enviado um código por mensagem) e de "inerência" (uma característica inerente ao cliente, como a impressão digital), sendo que pelo menos dois dos elementos solicitados deverão pertencer a categorias diferentes", explica o BdP em comunicado hoje divulgado.

Os elementos utilizados na autenticação forte são escolhidos por cada prestador de serviços de pagamento/banco, desde que estejam em cumprimento das novas regras aplicáveis.

Os bancos que não cumprirem as novas regras poderão ser responsabilizados por eventuais perdas financeiras decorrentes da operação, desde que esta não tenha sido realizada de forma fraudulenta pelo cliente.

A autenticação forte dos clientes já era realizada pelos prestadores de serviços de pagamento/bancos em algumas situações específicas, mas, a partir de sábado, passa a ser obrigatória para a generalidade das operações eletrónicas, com a entrada em vigor do Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017, que complementa a Diretiva dos Serviços de Pagamento revista.

Além de ser solicitada no acesso à conta através de 'homebanking' (através da página eletrónica da instituição) ou 'app' (aplicações em telemóveis ou 'tablets'), a autenticação forte poderá ainda ser exigida aos clientes para fazer compras e pagamentos 'online' com cartão, para iniciar transferências, para efetuar pagamentos de serviços e para consultar 'online' os movimentos da sua conta.

Pode ainda ser pedida para consultar e alterar 'online' outra informação (por exemplo, dados de operações recorrentes ou listas de beneficiários preferenciais), refere o BdP.

Os clientes devem contactar o seu prestador de serviços de pagamento/banco e informar-se sobre os procedimentos a adotar para continuarem a aceder 'online' à sua conta e a autorizar operações de pagamento eletrónicas, sinaliza a instituição.

"Devem ainda certificar-se de que os seus dados pessoais, anteriormente fornecidos aos seus prestadores de serviços de pagamento/bancos (incluindo dados de contacto), se encontram atualizados", acrescenta.

As novas regras implicarão ainda o desaparecimento gradual dos cartões matriz utilizados por algumas instituições como forma de autenticação dos seus clientes e também da leitura magnética em cartões de 'chip'.

O habitual meio de pagamento com o número do cartão impresso, data de validade e código CVV/CVC também terá os dias contados e no curto prazo deixará de ser aceite, pelo menos entre os comerciantes sediados em países da UE.

A Autoridade Bancária Europeia (EBA) deverá definir nas próximas semanas o prazo de transição que dará para os comerciantes se adaptem às novas regras e deixem de utilizar os detalhes impressos no cartão para pagamentos, aplicando a autenticação forte nas compras 'online' com cartão.

Estão ainda previstas algumas situações, de acordo com o BdP em que pode não ser aplicada a autenticação forte tais como pagamentos entre contas detidas pelo mesmo titular, pagamento de tarifas de transporte e estacionamento através de terminais automáticos, operações recorrentes e processos e protocolos de pagamentos seguros para empresas, como o caso de cartões de refeição.

As novas regras possibilitam a criação de novos serviços de pagamento, os serviços de informação sobre contas e os serviços de iniciação de pagamentos.

O BdP divulgou na quinta-feira ter já quatro pedidos de entidades que querem prestar estes novos segmentos de negócio criados pelas novas regras da UE que decorrem da entrada em vigor da nova legislação das novas regras para os serviços de pagamento (DSP2) no ano passado e que foi transposta para o ordenamento jurídico português.

De acordo com o BdP, dois dos pedidos são de instituições que já estão autorizadas pelo Banco de Portugal a operar como instituições de pagamento e moeda eletrónica.

Os serviços de informação sobre contas implicam a autorização da partilha de informação financeira pelo cliente bancário a uma entidade terceira, ficando os bancos que dispõem da informação sobre esse cliente a partilhá-la a essa entidade.

Já os serviços de iniciação de pagamentos permitem aos clientes fazer os pagamentos através da sua plataforma ou aplicação. Quando um cliente decide pagar a um comerciante através deste serviço, este operador acede à conta do cliente num banco, em seu nome, e executa o pagamento, mediante o consentimento prévio do cliente.

Os serviços de pagamentos são dos principais negócios dos bancos e dos mais lucrativos, pelo que a entrada em vigor desta legislação significará uma grande alteração para o sistema bancário tradicional.

A consultora Roland Berger considerou, num estudo divulgado em janeiro de 2017, que a nova diretiva de pagamentos significará uma mudança "radical" e uma "ameaça" ao negócio dos bancos, estimando um impacto de 25% a 40% nas receitas da banca europeia.