NotíciasSegurança

PSD2 vai obrigar a alterações nos pagamentos digitais

A Mastercard revelou que as empresas não estão preparadas para implementar a autenticação forte de clientes que passará a ser obrigatória ao abrigo da Payment Services Directive 2 (PSD2) da União Europeia.

A PSD2, que entra em vigor em 14 de Setembro de 2019, vai introduzir uma série de modificações ao sistema bancário para aumentar a escolha dos clientes finais e trazer o open banking para a linha da frente, mas a directiva europeia tem também como objectivo reduzir a fraude.

A strong customer authentication (SCA – autenticação forte de clientes) é uma das novidades neste combate à fraude que vem «aumentar a segurança nos pagamentos online e em lojas físicas», conforme explicou durante um encontro com jornalista, em Lisboa, Alberto López, responsável pela área de cibersegurança e soluções digitais da Mastercard para Espanha e Portugal.

O que vai mudar

A autenticação forte aplica-se aos pagamentos online e offline e ainda no acesso às aplicações bancárias por parte dos cidadãos europeus, dentro da União Europeia, mas a grande característica é obrigatoriedade de haver autenticação de dois factores» que se traduz no uso de dois de três elementos-chave: «Algo que sei, por exemplo uma password ou o PIN; algo que tenho, um telemóvel ou cartão bancário; e o que sou, por exemplo a impressão digital», esclareceu o responsável. Mas há excepções e uma diz respeito aos pagamentos contactless abaixo dos vinte euros que se vão manter apenas com o simples gesto a que os utilizadores estão habituados. No entanto, os mesmos passarão a estar limitados a cinco pagamentos consecutivos e a partir daí os comerciantes vão ter de pedir o PIN.

Já ao nível dos pagamentos no e-commerce, também há formas de manter compras ‘one-click’. Nos casos de pagamentos recorrentes, como são as assinaturas mensais da Netflix, será apenas pedida autenticação forte uma vez; em negócios em que o nível de fraude seja muito baixo vai ser permitido ao utilizador não ter de se autenticar sempre com dois factores.

«Tudo isto vai obrigar a alterações por parte dos bancos e dos sites de comércio electrónico», disse Alberto López. Assim, a forma de comprar online vai ter de mudar e «as apps bancárias vão passar a fazer parte do processo de autenticação, assim como a biometria». Além disso, a «biometria do comportamento», que analisa o que o utilizador faz no telemóvel ou na Web, e reconhece a pessoa de acordo com esse comportamento, vai ser uma realidade. Este método vai começar a ser usado especialmente pelos gigantes do e-commerce como forma de SCA «muitas vezes sem que nos vamos aperceber disso».

Desconhecimento

Um facto é que estas alterações exigidas no âmbito da PSD2 não foram bem divulgadas. De acordo com um estudo da Mastercard, 75% das lojas europeias online desconhecem os padrões de segurança estabelecidos pela directiva e 86% não tem um processo de autenticação forte de clientes implementado. É exactamente por esta falta de conhecimento e de adaptação à nova norma que a empresa decidiu criar uma solução para ajudar os clientes na transição, o Identity Check, e que a Autoridade Bancária Europeia (ABE) permitiu uma flexibilização da implementação das medidas da PSD2 em relação à SCA, já que os restantes artigos vão estar entrar em vigor na data prevista. Assim, «as autoridades nacionais devem acordar planos de migração com todos os agentes envolvidos» para que estes se possa adaptar às novas exigências.

Alberto López destacou ainda o facto de não ter sido «especificada uma data limite» e a entidade ter pedido que seja «procurada por uma harmonização em toda a Europa em relação à data de implementação». A concluir, o responsável acredita que é possível que o prazo seja aumentado em «cerca de um ano».