Elementos de Autenticação Forte para o cliente bancário

A Autoridade Bancária Europeia (EBA) dirigiu um parecer às autoridades bancárias nacionais, no que nos diz respeito particularmente ao Banco de Portugal para clarificar os procedimentos e as combinações de elementos de autenticação que constituem a chamada autenticação forte do cliente bancário.

Este parecer pode ser útil aos prestadores de serviços de pagamento, aos utilizadores de serviços de pagamento e até aos clientes bancários (para sabermos o que nos espera brevemente).

A autenticação forte do cliente será obrigatória a partir do dia 14 de Setembro de 2019, data em que entra em vigor o Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de Novembro de 2017, que complementa a Directiva dos Serviços de Pagamento revista (DSP2).

Os prestadores de serviços de pagamento vão passar a ter que realizar a autenticação forte dos seus clientes sempre que procedam a um acesso online às suas contas de pagamento, iniciem operações de pagamento electrónico ou realizem acções através de um canais remotos, que possam envolver risco de fraude ou outros abusos.

O parecer pode ser consultado aqui.

Destacamos que passarão a ser necessários obrigatoriamente dois elementos entre as chamas categorias de características de conhecimento (por exemplo, um código enviado por SMS para o telemóvel, provando, desta forma, a posse do dispositivo), posse ou inerência (por exemplo, a impressão digital).

O parecer desambigua que os detalhes impressos em cartões de cidadão não são podem ser considerados elementos de posse.  O mesmo se passa com os códigos presentes em cartões matriz – elementos frequentemente solicitados actualmente pelos vários prestadores de serviços de pagamento nacionais para a iniciação de operações de pagamento online ou acesso ao homebanking.

A EBA esclarece também, que estando ciente de que a adopção de mecanismos de autenticação forte do cliente, compatíveis com os novos requisitos estabelecidos pela DSP2, apenas será possível com o envolvimento dos vários intervenientes do mercado (prestadores de serviços de pagamento, consumidores e empresas), a título excepcional e com o objectivo de minimizar os impactos junto dos utilizadores, as autoridades competentes nacionais poderão interagir com o mercado e facultar um período de tempo adicional para a adopção de soluções compatíveis com mecanismos de autenticação forte, desde que os prestadores de serviços de pagamento tenham estabelecido um plano de migração para esses novos mecanismos, acordado esse plano com as autoridades competentes nacionais e o cumpram de forma expedita.