Payment Services Directive 2 (PSD2) e Autenticação Forte do Cliente (AFC) - Perguntas Frequentes

Abaixo poderá encontrar detalhes sobre as futuras alterações aos pagamentos online na UE.

Payment Services Directive 2 (PSD2)

  • O que é a PSD2?

    A PSD2 entrou em vigor a 13 de janeiro de 2018. É o resultado de uma expansão das exigências de regulação da Comissão Europeia para com os pagamentos na Europa e foi transposta para a legislação local pelos estados-membro da UE a nível individual.

    As disposições da PSD2 apenas entram totalmente em vigor a 14 de setembro de 2019.

  • Qual é o objetivo da PSD2?

    Um dos objetivos principais é tornar os pagamentos online mais seguros para os clientes. Um componente principal no caminho para cumprir esse objetivo é a obrigação do uso de uma Autenticação Forte do Cliente. Esta deve ser feita antes de serem realizados quaisquer pagamentos online baseados em serviços bancários (p.e. pagamentos com cartões de crédito ou por transferência bancária).

    Grande parte dos bancos já contactou os seus clientes nos últimos meses para os informar das alterações e modificações futuras dos seus Termos e Condições.

Autenticação Forte do Cliente (AFC)

  • O que é a Autenticação Forte do Cliente?

    No futuro, os bancos terão de verificar dois de entre três critérios relativos ao cliente antes de iniciarem um pagamento online:

    • algo possuído pelo cliente (p.e. cartão de crédito, smartphone)
    • algo conhecido pelo cliente (p.e. PIN)
    • algo que o cliente é (p.e. impressão digital, características faciais)

    Isto significa que, para cumprir os requisitos da Autenticação Forte do Cliente, o cliente poderá ter de fornecer a sua impressão digital através de um smartphone para autorizar um pagamento.

    Este tipo de autenticação, usando dados biométricos, facilita a identificação do cliente, uma vez que só precisa de fornecer algo que já tem sempre consigo, neste caso um smartphone e a impressão digital.

    As senhas estáticas já não são suficientes.

  • Como é assegurada a Autenticação Forte do Cliente?

    Os bancos têm de pedir aos comerciantes que exijam uma Autenticação Forte do Cliente para pagamentos com cartão de crédito. Portanto, os comerciantes têm de exibir uma página do banco no seu site, através da qual o cliente poderá, inequivocamente, identificar-se. Isto assegura que nenhuma pessoa não autorizada obtém acesso a esta conta bancária e faz pagamentos no nome do cliente.

    Pagamentos de transferência feitos por terceiros, como SOFORT na Alemanha ou iDeal na Holanda, irão igualmente exigir uma Autenticação Forte do Cliente.

  • A Autenticação Forte do Cliente é exigida em todos os pagamentos?

    Não. A PSD2 define certas exceções para o uso da Autenticação Forte do Cliente.
    A Autenticação Forte do Cliente pode não ser exigida quando:

    • o banco do cliente determinar que o risco de um pagamento estar a ser feito por terceiros e não pelo cliente é insignificante;
    • o pagamento for até 30 EUR. Nota: no entanto, os bancos têm de exigir uma Autenticação Forte do Cliente caso tenham sido feitos cinco pagamentos desde a última autenticação ou caso o montante total dos pagamentos desde a última autenticação exceda 100 EUR;
    • o cliente pagar a um comerciante que designou como sendo um beneficiário de confiança e que colocou numa "lista branca" no seu banco. Normalmente, o cliente pode fazer isto durante o processo de autenticação.

    Importante:
    apesar destas exceções, o banco do cliente pode exigir a Autenticação Forte do Cliente em qualquer momento. Não existe qualquer garantia de que a Autenticação Forte do Cliente não seja exigida.

    A Autenticação Forte do Cliente nunca é exigida quando:

    • o cliente deu ao comerciante um mandato para iniciar pagamentos. Isto ocorre quando o cliente se regista nos serviços do comerciante. O cliente fornece as credenciais necessárias para fazer os pagamentos e fornece uma Autenticação Forte do Cliente.
    • o pagamento é feito para uma subscrição. Nestes casos, o cliente só precisa de fornecer Autenticação Forte do Cliente uma vez ao aderir à subscrição.

  • O comerciante sabe que método de Autenticação Forte do Cliente é usado?

    O banco do cliente é quem toma a decisão final sobre o método de Autenticação Forte do Cliente a ser oferecido. O comerciante não tem qualquer influência no assunto.

    Igualmente, o comerciante não tem qualquer conhecimento sobre qual o método de Autenticação Forte do Cliente que o cliente escolhe e fornece.

    Isto é garantido pelo facto de serem usadas iframes para exibir as páginas de Autenticação Forte do Cliente tais como disponibilizadas pelo banco ou pelos terceiros fornecedores de serviços de pagamento (p.e. iDeal).

    O comerciante não tem qualquer influência nos, ou acesso aos, conteúdos da iframe exibida no seu site.

    De igual forma para métodos de pagamento em que o comerciante encaminha o cliente para o site do fornecedor de pagamentos (p.e. SOFORT), o método de autenticação fornecido ou escolhido pelo cliente também não é conhecido.

Autenticação Forte do Cliente e Pagamentos com Cartão de Crédito

  • O que é o 3D Secure 2.0?

    De um modo geral, o 3D Secure é um processo concebido para dar segurança aos pagamentos com cartão de crédito feitos online. Tem como objetivo reduzir o risco de fraude, pedindo ao cliente que confirme a sua identidade com um código ou senha.

    O 3D Secure 2.0 é uma revisão deste processo que o coloca em linha com as exigências da PSD2, nomeadamente a Autenticação Forte do Cliente.

    No futuro, os pagamentos com cartão de crédito também exigirão uma Autenticação Forte do Cliente através do uso do 3D Secure 2.0.

  • Como funciona o 3D Secure 2.0?

    O 3D Secure 2.0 assegurará a Autenticação Forte do Cliente usando, por exemplo, uma aplicação fornecida pelo banco do cliente. A página do banco exibida no site do comerciante solicitará ao cliente que abra a aplicação no seu smartphone. Dependendo do método em específico, a aplicação poderá depois solicitar a impressão digital do cliente no smartphone.

    Os bancos podem disponibilizar diferentes métodos de autenticação para escolha do utilizador.

    Outros métodos possíveis incluem: senhas de utilização únicas exibidas ao cliente numa aplicação especial ou reconhecimento facial através da aplicação bancária do cliente.

Mais Métodos de Pagamento Afetados

  • Que outros métodos de pagamento online, para além dos cartões de crédito, são afetados?

    Transferências online através de fornecedores de serviços de pagamento, como SOFORT, iDeal, Multibanco ou Przelewy24, também terão de obter uma Autenticação Forte do Cliente no futuro.

Últimas Notícias

  • Irão todos os bancos na UE exigir a Autenticação Forte do Cliente para pagamentos online a partir de 14 de setembro de 2019?

    Muitos comerciantes e bancos não serão capazes de suportar a Autenticação Forte do Cliente a partir de 14 de setembro de 2019, conforme exigido.

    Como resultado, a 21 de junho de 2019, a European Banking Authority (EBA) recomendou que os estados-membros da UE e as suas autoridades financeiras responsáveis pela monitorização da implementação da PSD2 devessem conceder um período de implementação prolongado a tais empresas.

    Por essa razão, o prazo será respeitado em alguns países enquanto outros concederão aos bancos esse prolongamento do período de implementação.
    Ainda assim, mesmo em países com esse prolongamento do período de implementação, alguns bancos começarão a usar a Autenticação Forte do Cliente a partir de 14 de setembro de 2019.

  • O que isto significa para si?

    Contacte o seu banco para saber como e quando é que este exigirá a Autenticação Forte do Cliente.

Não conseguiste encontrar o que procuravas? Contactar Suporte