Pagamentos online. A segurança da PSD2

7/2/20

Pagamentos online. A segurança da PSD2

Entre os objectivos da União Europeia na construção de um mercado único eficiente, está a construção de um mercado comum para os serviços de pagamento.

Em Espanha desde 2009, foram estabelecidas bases comuns na regulamentação da prestação de serviços de pagamento, transpondo o conteúdo das diretivas europeias (Diretiva 2007/64/CE).

Desde então, o progresso tecnológico tornou necessária a adaptação dos regulamentos regulatórios sobre os meios de pagamento, dado que existem novos agentes que estão a ser implementados num mercado que ultrapassa o nacional, e que torna necessário dispor de formas mais fiáveis para os utilizadores fazerem pagamentos online.

Criar um ambiente mais seguro e fiável é a base para a aprovação de uma nova Diretiva em 2015 (Diretiva (UE) 2015/2366), uma diretiva que foi transposta em Espanha em 2018 através do Real Decreto-Lei 19/2018, de 23 de novembro, cujos principais objetivos são:

  1. facilitar e melhorar a segurança na utilização dos sistemas de pagamento pela Internet.
  2. reforçar o nível de proteção dos utilizadores contra fraudes e potenciais abusos, no que diz respeito ao previsto na Lei 16/2009, de 13 de novembro.
  3. e promover a inovação nos serviços de pagamento móvel e internet.

O Real Decreto estabelece uma entrada em vigor fracionada, consoante a matéria, cujo prazo total foi fixado para 14 de setembro de 2019, no entanto, devido à complexidade da sua aplicação, foi alargado pela Autoridade Bancária Europeia (EBA), aprovando uma moratória de 15 meses. Desta forma, as empresas terão até 31 de dezembro de 2020 para implementar as tecnologias necessárias à adaptação à diretiva (bancos e empresas tecnológicas que desenvolvam ferramentas de pagamento online).

O maior marco estabelecido para atingir os objetivos estabelecidos no avanço deste regulamento é a Autenticação Forte do Cliente.

Em que consiste Autenticação forte do cliente?

A norma afirma claramente a sua definição:

Baseia-se na utilização de dois ou mais elementos categorizados como:

  1. conhecimento (algo que só o utilizador conhece).
  2. posse (algo que só o utilizador possui)
  3. identificação biométrica por inerência (algo que é o utilizador).

Estes elementos são independentes, o que significa que a violação de um não compromete a fiabilidade dos outros, e são concebidos de forma a proteger a confidencialidade dos dados de identificação.

Quando será aplicada uma autenticação forte?

Apenas para pagamentos online, nestes casos:

  1. a) pagamento online;
  2. b) iniciar uma operação de pagamento eletrónico;
  3. c) realizar através de canal remoto qualquer ação que possa implicar risco de fraude de pagamento ou outros abusos.

Sendo tudo isso o caso, um dos setores que será mais afetado será o turismo (35% do e-commerce em Espanha), uma vez que para as suas futuras transações contratuais tinha vindo a usar cartões como garantia de pagamento.

Qual é o benefício para os hoteleiros?

Esta nova legislação representará um investimento para as empresas de turismo bem como um impacto na experiência do cliente, mas o positivo a avaliar é como será reduzida a consequência indesejável para os hoteleiros das recusas bancárias nas cobranças online dos serviços efetivamente prestados, e impossível de provar quando foram utilizados cartões pertencentes a outros clientes que não o cliente hospedado, e que, uma vez rejeitada, a VISA apenas aceitou como prova de consentimento a assinatura do boletim de cédula obsoleto do dataphone.

Agora, uma autenticação forte vai obrigar o cliente a enviar através de um pin, impressão digital, ou qualquer meio similar implementado pelo seu banco, para enviar o seu consentimento para a cobrança, o que reduzirá gradualmente a prática de recusa de pagamentos online, bem como aceitar reservas feitas de forma fraudulenta por utilizadores que não têm efetivamente autorização para usar o cartão que apresentam para pagamento, e que facilitou a posterior rejeição da cobrança pelo verdadeiro titular.

Ora, neste tipo de situação, o comprovativo de autenticação deve ser mantido pelo prestador de serviços de pagamento, e deve demonstrar que a operação de pagamento foi autenticada, registada com precisão e contabilizada, e que não foi afetada por uma falha técnica ou outra deficiência no serviço prestado pelo prestador de serviços de pagamento. Assim, os hoteleiros poderão contactar estas entidades em oposição à recusa recebida pelo cliente, solicitando prova, de tal autenticação para além de fornecerem a documentação que verifica a prestação do serviço. Queixa que deve ser respondida no prazo de 15 dias.

Por outro lado, o uso fraudulento dos detalhes do cartão, que poderia ser utilizado por funcionários desonestos, é completamente eliminado, uma vez que qualquer cobrança requer dupla autenticação por parte do cliente.

O prestador de serviços de pagamento é obrigado a manter documentação e registos que lhe permitam comprovar o cumprimento das obrigações para, pelo menos, Seis anos.

No caso das transações devolvidas, o que há de novo?

Para o cliente:

  • só poderá ser obrigado a suportar, até um máximo de 50 euros, (dependendo do seu banco) perdas derivadas de operações de pagamento não autorizadas resultantes da utilização do seu cartão perdido, roubado ou indevidamente apropriado por um terceiro, a menos que tenha agido de forma fraudulenta, caso em que suportará todas as perdas da transação fraudulenta.

Para hotéis:

  • Os hotéis poderão receber uma rejeição da cobrança pelo ordenante no prazo de 2 meses após a operação de pagamento autorizada, embora o prestador de serviços de pagamento tenha prova de autenticação forte para que o hoteleiro possa opor-se à recusa.
  • Se a transação for fraudulenta, poderá receber uma rejeição até 13 meses após a transação, caso em que o prestador de serviços de pagamento responderá com a retificação da operação de pagamento não autorizada.

Exclusões da aplicação de dupla autenticação:

  • Não se aplica às operações de utilizadores que não sejam um consumidor ou uma pequena empresa. Depois, a PSD2 não afeta a gestão dos pagamentos a fornecedores.
  • Caso tal tenha sido negociado, a dupla autenticação não poderá ser aplicada a operações de pagamento individuais não superiores a 30 euros.

Em conclusão, as empresas de turismo, graças à aplicação destes regulamentos, terão maior segurança nos pagamentos online, uma vez que a sua aplicação deverá aumentar a confiança dos consumidores, para compras efetuadas e pagas de forma não presencial.

Paloma Aguilar (Advogada T&L)

Artigo publicado na Edição de fevereiro Do jornal mensal CEHAT