Os avanços nas tecnologias digitais e o crescimento da Internet conduziram a uma explosão da criminalidade em linha. Enquanto os crimes tradicionais como o roubo e o furto de automóveis continuam a diminuir, a fraude em linha tornou-se rapidamente o crime mais comum no Reino Unido, com quase  uma em cada dez pessoas é vítima.

Os criminosos mudaram as suas estratégias e o crime em linha permitiu-lhes atingir milhares de vítimas ao mesmo tempo a partir de quase qualquer parte do mundo. Utilizando  phishingmalware e uma série de outras tácticas, os criminosos podem obter acesso às contas bancárias das pessoas, enganando-as para que revelem as suas palavras-passe e dados pessoais.

Estes crimes em linha podem ter um impacto devastador na vítima e, em alguns casos, as pessoas nem sequer se apercebem de que foram visadas até se aperceberem de que a sua conta bancária foi esvaziada.

O sector dos serviços financeiros investiu fortemente em novas medidas para ajudar a proteger os clientes em linha, o que ajudou a evitar mais de 1,6 mil milhões de libras de fraudes não autorizadas. No entanto, apesar deste investimento, os cibercriminosos ainda conseguiram roubar 1,2 mil milhões de libras através de fraudes e burlas em 2018.

Em janeiro de 2018, foi introduzida uma nova diretiva da UE relativa aos serviços de pagamento (PSD2), que introduziu novas leis destinadas a reforçar os direitos dos consumidores e a reduzir a fraude em linha. Trata-se de uma atualização da anterior Primeira Diretiva relativa aos Serviços de Pagamento (PSD1), que foi implementada em 2009. A versão actualizada da diretiva foi impulsionada pelo aumento do comércio eletrónico e pelas inovações tecnológicas no sector dos pagamentos.

O que é a autenticação forte do cliente PSD2?

Um elemento-chave da DSP2 é a introdução de autenticações de segurança adicionais para transacções em linha superiores a 30 euros, conhecidas como autenticação forte do cliente (SCA). No passado, os clientes podiam simplesmente efetuar o checkout em linha introduzindo o número do seu cartão e um código de verificação CVC. No entanto, ao abrigo da nova regulamentação PSD2, os clientes terão de fornecer uma forma adicional de identificação.

O que é o requisito de autenticação forte do cliente?

De acordo com o novo regulamento, todas as transacções de pagamento eletrónico terão de ser autenticadas por, pelo menos, dois de três métodos possíveis:

  1. Conhecimento: Algo que só o utilizador sabe – Ex: Uma palavra-passe
  2. Possessão: Algo que só o utilizador possui – Ex: Telemóvel, ficha ou leitor de cartões
  3. Inerência: Algo que o utilizador é – Ex: Biométrico – Impressão digital, reconhecimento facial, reconhecimento de voz

Onde se aplica a autenticação forte do cliente?

A AFC aplicar-se-á apenas a transacções no Espaço Económico Europeu (EEE), quando tanto o ordenante como o beneficiário se encontram na região. Se um deles estiver localizado fora da Europa, o prestador de serviços de pagamento na Europa deverá envidar todos os esforços para aplicar a AFC.

O que é o pagamento SCA?

A autenticação forte do cliente aplicar-se-á aos pagamentos em linha iniciados pelo cliente na Europa. Isto significa que a maioria dos pagamentos com cartão e todas as transferências bancárias exigirão a AFC.

Atualmente, a forma mais comum de autenticar um pagamento com cartão online baseia-se no 3D Secure. Este serviço é oferecido por vários fornecedores de cartões de crédito e oferece proteção adicional aos utilizadores de cartões, introduzindo outra camada de proteção por palavra-passe. As desvantagens do método atual incluem a utilização de um URL diferente para o ecrã pop-up, que pode ser mal interpretado como um  e não te esqueças de que podes estar a usar um site de phishing. Também pode ser difícil recordar várias palavras-passe para diferentes cartões.

Para fazer face a estes desafios e cumprir os novos requisitos da SCA, os bancos europeus adoptaram uma versão actualizada do 3D Secure. O novo 3DSecure2 é compatível com dispositivos móveis e suporta a utilização de dados biométricos, ajudando a melhorar a experiência geral do utilizador.

Quais são as excepções à autenticação forte do cliente?

A DSP2 foi concebida para tornar a AFC um requisito para todas as transacções em linha. No entanto, algumas isenções ajudarão a manter um percurso de pagamento do cliente sem atritos e a alcançar o equilíbrio correto entre a conveniência para o consumidor e a prevenção da fraude.

As isenções incluem:

  • Transacções de baixo valor – As transacções de valor inferior a 30 euros estão isentas de pagamento de AFC. No entanto, se o cliente tentar efetuar mais de cinco pagamentos consecutivos de baixo valor ou se o valor total dos pagamentos for superior a 100 euros, será exigida uma PEC.
  • Transacções recorrentes – Quando um cliente efectua um pagamento regular do mesmo montante à mesma empresa, a SCA só será necessária para a primeira transação. Se o montante mudar, o 3D secure será necessário para cada novo montante.
  • Comerciantes na lista branca – Os consumidores têm a opção de atribuir empresas a uma lista branca de beneficiários de confiança. Depois de concluída a primeira autenticação, todas as outras transacções ficarão isentas de autenticação.
  • Transacções de baixo risco – As transacções de baixo risco que tenham sido submetidas a uma avaliação em tempo real podem ser processadas sem AFC. Esta decisão basear-se-á nos níveis médios de fraude do emitente do cartão, que terá a última palavra a dizer sobre a necessidade ou não de AFC.
  • Encomendas por correio e por telefone (MOTO) – As transacções de encomendas por correio e por telefone não são consideradas pagamentos electrónicos, pelo que estão isentas da AFC.
  • Pagamentos de empresas – Quando uma transação é iniciada por uma empresa e não por um consumidor, não é necessária uma autenticação separada.

Quando é que a autenticação forte do cliente PSD2 entra em vigor?

A implementação da autenticação forte do cliente PSD2 entrará em vigor a partir de 14 de setembro de 2019.

Na última semana, a autoridade reguladora financeira do Reino Unido, a Financial Conduct Authority (FCA), concordou em adiar por 18 meses a aplicação do novo regulamento relativo aos pagamentos em linha. As empresas terão até março de 2021 para implementar efetivamente a nova funcionalidade.

O adiamento foi concedido após a pressão exercida por grupos da indústria que alertaram para o facto de os emissores de cartões, as empresas de pagamento e os retalhistas em linha não terem tempo suficiente para implementar as alterações e de os clientes poderem ser afectados em resultado disso.

A FCA afirmou que não tomará medidas contra as empresas que não cumpram a nova legislação durante este período, desde que estas possam demonstrar que tomaram medidas para cumprir o sistema. Após o período de carência de 18 meses, todos os pagamentos em linha estarão sujeitos às novas medidas de segurança.

Conclusão

Não há dúvida de que a implementação da PSD2 trará grandes mudanças para os prestadores de serviços de pagamento. Muitos terão de alterar os seus sistemas para lidar com o 3D Secure2 e outros métodos SCA, ao mesmo tempo que equilibram cuidadosamente as necessidades de conveniência e segurança dos seus clientes. No entanto, ao ajudar a reduzir as taxas de fraude no sector, o novo regulamento conduzirá a uma maior confiança por parte dos consumidores e, em última análise, melhorará o percurso global de pagamento do cliente.

A MetaCompliance é especializada na criação de a melhor formação de sensibilização para a cibersegurança disponível no mercado. Os nossos produtos abordam diretamente os desafios específicos que surgem das ciberameaças e da governação empresarial, facilitando o envolvimento dos utilizadores na cibersegurança e na conformidade.  Entra em contacto connosco para obteres mais informações sobre como podemos ajudar a transformar a formação em cibersegurança na tua organização.