Os avanços nas tecnologias digitais e o crescimento da Internet levaram a uma explosão da criminalidade em linha. Como crimes tradicionais como roubo e furto de automóveis continuam a cair, a fraude online tornou-se rapidamente o crime mais comum no Reino Unido, com quase uma em cada dez pessoas a serem vítimas.
Os criminosos mudaram as suas estratégias, e o crime online permitiu-lhes atingir milhares de vítimas ao mesmo tempo de quase qualquer parte do mundo. Utilizando phishing, malware, e uma série de outras tácticas, os criminosos podem obter acesso às contas bancárias das pessoas, enganando-as para revelarem as suas palavras-passe e detalhes pessoais.
Estes crimes em linha podem ter um impacto devastador na vítima e, em alguns casos, os indivíduos nem sequer sabem que foram visados até se aperceberem de que a sua conta bancária foi limpa.
A indústria dos serviços financeiros investiu fortemente em novas medidas para ajudar a proteger os clientes em linha, o que ajudou a evitar mais de 1,6 mil milhões de libras esterlinas de fraude não autorizada. Contudo, apesar deste investimento, os cibercriminosos ainda conseguiram roubar 1,2 mil milhões de libras através de fraudes e embustes em 2018.
Em Janeiro de 2018, foi introduzida uma nova directiva da UE relativa aos serviços de pagamento (PSD2), introduzindo novas leis destinadas a reforçar os direitos dos consumidores e a reduzir a fraude em linha. Esta foi uma actualização da anterior Primeira Directiva sobre Serviços de Pagamento (PSD1), que foi implementada em 2009. A versão actualizada da Directiva foi impulsionada pelo aumento do comércio electrónico e inovações tecnológicas no sector dos pagamentos.
O que é PSD2 Strong Customer Authentication?
Um elemento chave do PSD2 é a introdução de autenticações de segurança adicionais para transacções online de mais de 30 euros, conhecidas como Strong Customer Authentication (SCA). No passado, os clientes podiam simplesmente fazer o checkout online introduzindo o número do seu cartão e um código de verificação CVC. Contudo, ao abrigo dos novos regulamentos PSD2, os clientes terão de fornecer uma forma adicional de identificação.
Qual é o requisito de Autenticação Forte do Cliente?
Nos termos do novo regulamento, todas as transacções de pagamento electrónico terão de ser autenticadas por pelo menos dois dos três métodos possíveis:
- Conhecimento: Algo que só o utilizador sabe - Ex: Uma palavra-passe
- Posse: Algo que só o utilizador possui - Ex: Telemóvel, leitor de fichas ou cartões
- Inerência: Algo que o utilizador é - Ex: Biometria - Impressão digital, reconhecimento facial, reconhecimento de voz
Onde se aplica a Autenticação de Clientes Fortes?
A SCA aplicar-se-á apenas a transacções no Espaço Económico Europeu (EEE), onde tanto o pagador como o beneficiário se encontram na região. Se um destes estiver localizado fora da Europa, o requisito é que o prestador de serviços de pagamento na Europa utilize os seus melhores esforços para aplicar a SCA.
O que é o pagamento SCA?
A Autenticação Forte de Clientes aplicar-se-á a pagamentos em linha iniciados por clientes na Europa. Isto significa que a maioria dos pagamentos por cartão e todas as transferências bancárias exigirão SCA.
No momento actual, a forma mais comum de autenticar um pagamento por cartão em linha baseia-se na tecnologia 3D Secure. Este serviço é oferecido por vários fornecedores de cartões de crédito e dá protecção adicional aos utilizadores de cartões, introduzindo outra camada de protecção por palavra-passe. Os inconvenientes do método actual incluem a utilização de um URL diferente para o ecrã pop-up que poderia ser mal interpretado como um site de phishing. Também pode ser difícil lembrar várias palavras-passe para diferentes cartões.
Para enfrentar estes desafios e satisfazer os novos requisitos SCA, foi adoptada pelos bancos europeus uma versão actualizada de 3D Secure. O novo 3DSecure2 é móvel e suporta a utilização da biometria, ajudando a melhorar a experiência global do utilizador.
Quais são as isenções à Autenticação de Clientes Fortes?
PSD2 foi concebido para tornar o SCA um requisito para todas as transacções online. No entanto, algumas isenções ajudarão a manter uma viagem de pagamento sem atritos para o cliente e a alcançar o equilíbrio certo entre conveniência para o consumidor e prevenção da fraude.
As isenções incluem:
- Transacções de baixo valor - As transacções abaixo de 30 euros estão isentas de SCA. No entanto, se o cliente tentar mais de cinco pagamentos consecutivos de baixo valor, ou se o valor total dos pagamentos exceder 100 euros, a SCA será exigida.
- Transacções Recorrentes - Quando um cliente faz um pagamento regular do mesmo montante ao mesmo negócio, a SCA só será necessária para a primeira transacção. Se o montante for alterado, será necessário um seguro 3D para cada novo montante.
- Comerciantes inscritos na lista branca - Os consumidores têm a opção de atribuir empresas a uma lista branca de beneficiários de confiança. Após a conclusão da primeira autenticação, todas as outras transacções ficarão isentas de autenticação.
- Transacções de baixo risco - As transacções de baixo risco que tenham sido submetidas a uma avaliação em tempo real podem ser processadas sem SCA. Esta decisão será baseada nos níveis médios de fraude do emissor do cartão e estes terão a última palavra sobre se a SCA é necessária.
- Encomendas por correio e por telefone (MOTO) - As encomendas por correio e as transacções por telefone não são consideradas como pagamentos electrónicos, pelo que estão isentas de SCA.
- Pagamentos de empresas - Quando uma transacção é iniciada por uma empresa e não por um consumidor, não será necessária uma autenticação separada.
Quando entrará em vigor a Autenticação Forte do Cliente PSD2?
A implementação da PSD2 Strong Customer Authentication entrará em vigor a partir de 14 de Setembro de 2019.
Na última semana, o Regulador Financeiro do Reino Unido, a Autoridade de Conduta Financeira (FCA), concordou em adiar a aplicação do novo regulamento de pagamentos em linha por 18 meses. As empresas terão até Março de 2021 para implementar efectivamente a nova funcionalidade.
O atraso foi concedido após a pressão exercida por grupos industriais que alertaram que os emissores de cartões, as empresas de pagamento e os retalhistas em linha não teriam tempo suficiente para implementar as alterações e que os clientes poderiam ser afectados em resultado disso.
A FCA disse que não tomará medidas contra as empresas que sejam prejudicadas pela nova legislação durante este período de tempo, desde que possam demonstrar que tomaram medidas para cumprir o sistema. Após o período de carência de 18 meses, todos os pagamentos em linha serão sujeitos às novas medidas de segurança.
Conclusão
Não há dúvida de que a implementação do PSD2 trará enormes mudanças para os prestadores de serviços de pagamento. Muitos terão de alterar os seus sistemas para lidar com o 3D Secure2 e outros métodos SCA, equilibrando cuidadosamente as necessidades de conveniência e segurança dos seus clientes. Contudo, ao ajudar a reduzir as taxas de fraude no sector, o novo regulamento levará a um aumento da confiança junto dos consumidores e, em última análise, melhorará o percurso global de pagamento dos clientes.
A MetaCompliance é especializada em criar a melhor formação de sensibilização sobre segurança cibernética disponível no mercado. Os nossos produtos abordam directamente os desafios específicos que surgem das ameaças cibernéticas e da governação empresarial, facilitando aos utilizadores o envolvimento em Cyber Security e conformidade. Entre em contacto para mais informações sobre como podemos ajudar a transformar a formação em Cyber Security dentro da sua organização.