Pagamentos em linha. A segurança da DSP2

7/2/20

Pagamentos em linha. A segurança da DSP2

Entre os objectivos da União Europeia para a construção de um mercado único eficiente está a construção de um mercado comum de serviços de pagamento.

Em Espanha, desde 2009, foram estabelecidas bases comuns na regulamentação da prestação de serviços de pagamento, transpondo o conteúdo das directivas europeias (Diretiva 2007/64/CE).

Desde então, o progresso tecnológico tornou necessário adaptar a regulamentação dos meios de pagamento, uma vez que novos actores se estabelecem num mercado que ultrapassa o mercado nacional e que torna necessário dispor de meios mais fiáveis para os utilizadores efectuarem pagamentos em linha.

O desenvolvimento de um ambiente mais seguro e confiável é a base para a aprovação de uma nova diretiva em 2015 (Diretiva (UE) 2015/2366), uma diretiva que foi transposta em Espanha em 2018 através do Real Decreto-Lei 19/2018, de 23 de novembro, que tem os seguintes objetivos principais:

  1. facilitar e melhorar a segurança na utilização dos sistemas de pagamento pela Internet.
  2. reforçar o nível de proteção dos utilizadores contra potenciais fraudes e abusos, em relação ao previsto na Lei n.º 16/2009, de 13 de novembro.
  3. e promover a inovação nos serviços de pagamento móveis e via Internet.

O Real Decreto estabelece uma entrada em vigor escalonada, consoante a matéria, cujo prazo total foi fixado para 14 de setembro de 2019. No entanto, devido à complexidade da sua aplicação, este prazo foi prorrogado pela Autoridade Bancária Europeia (EBA) que aprovou uma moratória de 15 meses. Desta forma, as empresas terão até 31 de dezembro de 2020 para implementar as tecnologias necessárias para se adaptarem à diretiva (bancos e empresas tecnológicas que desenvolvem ferramentas de pagamento online).

O principal marco estabelecido para a realização dos objectivos definidos no presente regulamento é a autenticação forte do cliente.

O que é a autenticação forte de cliente?

A norma estabelece claramente a sua definição:

Baseia-se na utilização de dois ou mais elementos categorizados como:

  1. conhecimento (algo que só o utilizador sabe).
  2. posse (algo que só o utilizador possui)
  3. inerência (algo que é o utilizador) identificação biométrica.

Estes elementos são independentes, ou seja, a violação de um não compromete a fiabilidade dos outros, e são concebidos de forma a proteger a confidencialidade dos dados de identificação.

Quando é que a autenticação forte será implementada?

Nestes casos, apenas para pagamentos em linha:

  1. (a) pagamento em linha;
  2. (b) iniciar uma operação de pagamento eletrónico;
  3. (c) realizar através de um canal remoto qualquer ação que possa envolver um risco de fraude de pagamento ou outro abuso.

Assim sendo, um dos sectores mais afectados será o do turismo (35% do comércio eletrónico em Espanha), uma vez que tem vindo a utilizar o cartão como garantia de pagamento para as suas futuras transacções contratuais.

Qual é a vantagem para os hoteleiros?

Esta nova legislação implicará um investimento para as empresas turísticas, bem como um impacto na experiência do cliente, mas o aspeto positivo a avaliar é a redução das consequências indesejáveis para os hoteleiros das rejeições bancárias de cobranças em linha por serviços efetivamente prestados, que são impossíveis de provar quando os clientes utilizam cartões de titularidade diferente da do cliente alojado no hotel e que, uma vez rejeitados, a VISA apenas aceitava como prova de consentimento a assinatura do obsoleto talão de datafono.

Agora, a autenticação forte obrigará o cliente a submeter, através de pin, impressão digital ou qualquer outro meio semelhante implementado pelo seu banco, o seu consentimento para a cobrança, o que diminuirá gradualmente a prática de recusas nos pagamentos em linha, bem como a admissão de reservas fraudulentas feitas por utilizadores que não têm efetivamente autorização para a utilização do cartão que apresentam para pagamento e que facilitaram a recusa subsequente da cobrança pelo verdadeiro titular do cartão.

Ora, neste tipo de situações, o comprovativo de autenticação deve ficar na posse do prestador de serviços de pagamento, que deve provar que a operação de pagamento foi autenticada, registada e contabilizada com exatidão, e que não foi afetada por uma falha técnica ou outra deficiência do serviço prestado pelo prestador de serviços de pagamento. Assim, os hoteleiros podem recorrer a estas entidades na sua oposição ao indeferimento recebido pelo cliente, solicitando a prova dessa autenticação, para além da apresentação da documentação comprovativa da prestação do serviço. A reclamação deve ser respondida no prazo de 15 dias.

Por outro lado, a utilização fraudulenta dos dados do cartão, que poderia ser utilizada por empregados desonestos, é completamente eliminada, uma vez que todos os débitos requerem uma dupla autenticação do cliente.

O prestador de serviços de pagamento é obrigado a conservar documentação e registos que demonstrem o cumprimento das obrigações durante, pelo menos, seis anos.

No caso das transacções devolvidas, o que há de novo?

Para o cliente:

  • 50 euros (consoante o seu banco) por perdas decorrentes de transacções de pagamento não autorizadas resultantes da utilização do seu cartão perdido, roubado ou desviado por terceiros, exceto se o próprio utilizador tiver agido de forma fraudulenta, caso em que suportará todas as perdas decorrentes da transação fraudulenta.

Para hotéis:

  • Os hotéis podem receber um estorno do pagador no prazo de dois meses após a transação de pagamento autorizada, mas o prestador de serviços de pagamento terá uma prova de autenticação forte para que o hoteleiro possa opor-se ao estorno.
  • Se a transação for fraudulenta, pode ser rejeitada até 13 meses após a transação, caso em que o prestador de serviços de pagamento é responsável pela retificação da transação de pagamento não autorizada.

Exclusões da aplicação da autenticação de dois factores:

  • Não se aplica a transacções de utilizadores que não sejam consumidores ou microempresas. Por conseguinte, a DSP2 não afecta a gestão dos pagamentos a fornecedores.
  • Se negociada, a dupla autenticação pode ser dispensada para operações de pagamento individuais que não excedam 30 euros.

Em conclusão, graças à aplicação deste regulamento, as empresas de turismo terão maior segurança nos pagamentos em linha, uma vez que a sua aplicação deverá aumentar a confiança dos consumidores nas compras efectuadas e pagas de forma não presencial.

Paloma Aguilar (Advogada T&L)

Artigo publicado na edição de fevereiro do jornal mensal CEHAT