PSD2: Sistema de autenticação mais forte nos pagamentos digitais

Em 14 de setembro de 2019, entrará em vigor o Regulamento Delegado (UE) 2018/389 da Comissão, que complementa a Diretiva (UE) do Parlamento Europeu e do Conselho no que respeita às normas técnicas regulamentares para uma autenticação forte do cliente e às normas comuns de comunicação aberta segura, também conhecidas como PSD2.Cumpre-se assim o mandato conferido pela Diretiva e incluído no nosso Real Decreto 19/2018, de 23 de novembro, relativo aos serviços de pagamento e outras medidas urgentes em matéria financeira através do qual é transposto, para implementar um sistema de autenticação reforçada nas operações de pagamento em que existe um risco de fraude, O objetivo último é construir e consolidar um mercado interno único e eficiente na União Europeia, no qual exista uma verdadeira liberdade de circulação de bens, serviços, trabalhadores e capitais e no qual os consumidores e utilizadores gozem de um elevado nível de proteção.A partir desta data, quando forem efectuados pagamentos electrónicos (sem utilização de conta bancária ou cartão de crédito), o prestador de serviços de pagamento terá de gerar um código de autenticação baseado num dos três elementos seguintes conhecimento (algo que só o utilizador sabe), posse (algo que o utilizador tem) e inerência (algo que só o utilizador é, como por exemplo dados biométricos do utilizador); este protocolo, conhecido na gíria como "3D Secure", será utilizado pelo Utilizador do Serviço de Pagamento para se identificar como tal e para verificar a transação; além disso, o código de autenticação deverá estar limitado a um determinado número de tentativas falhadas e terá uma duração limitada, não podendo exceder um máximo de cinco minutos.Por outro lado, nas operações de pagamento eletrónico à distância (as iniciadas através da Internet ou de um dispositivo que possa ser utilizado para a comunicação à distância), a segurança será reforçada através de uma autenticação reforçada, associando a operação de pagamento a um determinado montante e utilizador, que devem ser conhecidos tanto pelo utilizador como pelo beneficiário da operação; no entanto, estes requisitos não se aplicarão a todas as operações de pagamento, sendo incluído um catálogo de isenções em que, quer devido à sua finalidade, quer por iniciativa do utilizador do pagamento, não será exigida uma autenticação reforçada. Assim, a título de exemplo, os pagamentos sem contacto no ponto de venda de montantes não superiores a cinquenta euros estão isentos, desde que o montante total das operações para as quais não tenha sido exigida a autenticação reforçada não exceda cento e cinquenta euros e o número de operações não seja superior a cinco. É precisamente este montante que o ordenante tem de suportar como prejuízo em caso de fraude de pagamento cometida por furto, roubo ou fraude de cartão.Em suma, embora o conjunto de medidas que constituem a autenticação forte deva ser aplicado pelos prestadores de serviços de pagamento, o facto é que, a partir de 14 de setembro, qualquer empresa que opere através da Internet tem de implementar este sistema nos seus pagamentos, quer diretamente por si, quer através de um prestador de serviços de pagamento; caso contrário, o pagamento pode ser rejeitado pelo prestador de serviços de pagamento ou pelo próprio ordenante.

Hortensio Santos (Advogado T&L)