PSD2: Sistema de Autenticação Reforçada em Pagamentos Digitais

Em 14 de setembro de 2019, entrará em vigor o Regulamento Delegado (UE) 2018/389 da Comissão, que complementa a Diretiva (UE) do Parlamento Europeu e do Conselho, no que diz respeito às normas técnicas de regulamentação para autenticação forte do cliente e normas comuns e seguras de comunicação aberta, também conhecidas pela sua sigla em inglês PSD2.it cumpre assim o mandato conferido pela Diretiva e estabelecido no nosso Real Decreto 19/2018, de novembro 23, sobre os serviços de pagamento e outras medidas urgentes no domínio dos serviços de pagamento financeiros, através das quais é transposto, de implementar um sistema de autenticação reforçado nas operações de pagamento em que exista um risco de fraude, nomeadamente nos pagamentos electrónicos remotos, e tudo isto com o objectivo último de construir e consolidar um mercado interno único e eficaz na União Europeia, em que exista uma verdadeira liberdade de circulação de mercadorias, serviços, trabalhadores e capitais, e em que o consumidor e o utilizador beneficiem de um elevado nível de protecção. A partir desta data, quando devem ser realizados pagamentos eletrónicos (aqueles em que não é utilizada uma conta bancária ou cartão de crédito) o prestador de serviços de pagamento deve gerar um código de autenticação baseado num dos três elementos seguintes: conhecimento (algo que o utilizador só conhece), posse (algo que o utilizador tem) e inerência (algo que é apenas o utilizador como dados biométricos do utilizador); este protocolo, que é conhecido no jargão uma vez que “3D Secure” será utilizado pelo utilizador do serviço de pagamento para identificar-se como tal e verificar a transação; além disso, a autenticação do código deve limitar-se a um certo número de tentativas falhadas e terá uma duração limitada que não exceda um máximo de cinco minutos. Por outro lado, nas transações remotas de pagamento eletrónico (aquelas iniciadas via internet ou dispositivo que possa ser utilizado para comunicação remota), a segurança será aumentada na autenticação reforçada ligando a operação de pagamento a um determinado valor e utilizador que deve ser conhecido quer por este último quer pelo beneficiário da transação. Os requisitos não se aplicarão a nenhuma operação de pagamento, pois é recolhido um catálogo de isenções no qual, quer para o seu propósito, quer no iniciativa do utilizador de pagamento, não será necessária uma autenticação forte. Assim, a título de exemplo, estão isentos os pagamentos contactless no ponto de venda cujo valor não exceda os cinquenta euros, desde que o montante total das operações em que não tenha sido exigida uma autenticação forte não exceda cento e cinquenta euros ou seja ultrapassado o número de cinco transações. É precisamente este montante que um pagador tem de suportar como prejuízo em caso de fraude nos pagamentos cometidos por roubo, roubo ou fraude de cartão. Em suma, embora o conjunto de medidas constituídas por uma autenticação forte deva ser aplicado pelos prestadores de serviços de pagamento, a verdade é que a partir de 14 de setembro, qualquer empresa que opere na Internet deve implementar este sistema nos seus pagamentos, seja diretamente por eles ou através de um prestador de serviços de pagamento; caso contrário, estará exposta ao facto de o pagamento ser rejeitado pelo prestador de serviços de pagamento ou pelo próprio pagador.

Hortensio Santos (Advogado T&L)