Payment Services Directive 2 (PSD2) e Autenticação Forte do Cliente - Perguntas frequentes

PSD2 entrou em vigor em 13 de janeiro de 2018. É o resultado de uma expansão dos requisitos regulamentares da Comissão da UE que rege os pagamentos na Europa e aplicada na legislação local pelos estados membros da UE.

As disposições do PSD2 só entram em vigor em 14 de setembro de 2019.

Um dos principais objetivos é tornar os pagamentos online mais seguros para os clientes. Um componente principal na busca desse objetivo é o uso obrigatório da Autenticação Forte do Cliente. Isso deve ser realizado antes que qualquer pagamento on-line com base bancária seja feito (exemplo: cartão de crédito ou transferências on-line).

A maioria dos bancos já entrou em contato com seus clientes nos últimos meses para informar sobre as próximas mudanças e alterações em seus Termos e Condições.

No futuro, os bancos devem verificar dois dos três critérios referentes ao cliente antes de iniciar um pagamento on-line:

• algo que você possui (por exemplo, cartão de crédito, smartphone)
• algo que você conhece (por exemplo, PIN)
• características suas (por exemplo, impressões digitais, características faciais)

Isso significa que, para cumprir os requisitos da Autenticação Forte do Cliente , o cliente pode precisar fornecer sua impressão digital usando um smartphone para autorizar um pagamento.

Esses métodos de autenticação biométrica facilitam a identificação do cliente, uma vez que eles só precisam de um smartphone e uma impressão digital.

Senhas estáticas não são mais suficientes.

Os bancos devem exigir que os comerciantes exijam a Autenticação Forte do Cliente para pagamentos com cartão de crédito. Portanto, os comerciantes precisam exibir uma página do banco em seu site, por meio da qual o cliente possa se identificar. Isso garante que nenhuma pessoa não autorizada obtenha acesso a esta conta bancária e efetue pagamentos em nome do cliente.

Os pagamentos por transferência efetuados por terceiros, como SOFORT na Alemanha ou iDeal na Holanda, também exigem a Autenticação Forte do Cliente.

Não. O PSD2 prevê certas exceções no uso da Autenticação Forte do Cliente.
Autenticação Forte do Cliente pode não ser necessária quando:

• o banco do cliente considera risco insignificante que o pagamento seja de um terceiro não autorizado e não do cliente
• o pagamento é de um valor máximo de 30 Euros. Nota: No entanto, os bancos devem exigir a SAutenticação Forte do Cliente se tiver sido feito cinco pagamentos desde a última autenticação ou se o valor total em pagamentos feitos desde a última autenticação exceder 100 Euros.
• o cliente paga para a um comerciante que o cliente, que colocou na "lista branca" com o banco como confiável. Normalmente, o cliente pode fazer isso durante o processo de autenticação.

Importante:
Apesar dessas exceções, o banco do cliente pode exigir a Autenticação Forte do Cliente a qualquer momento. Não há garantia de que a Autenticação Forte do Cliente não será exigida.

Autenticação Forte do Cliente nunca é necessário quando:

• o cliente forneceu ao comerciante uma ordem para iniciar os pagamentos. Isso ocorre quando o cliente se registra nos serviços do comerciante. O cliente fornece as credenciais necessárias para efetuar os pagamentos e fornece a Autenticação Forte do Cliente.
• o pagamento é feito para uma assinatura. Nesses casos, o cliente precisa fornecer a Autenticação Forte do Cliente apenas uma vez ao se inscrever na assinatura

O banco do cliente decide, finalmente, qual método da Autenticação Forte do Cliente é oferecido O comerciante não tem opinião sobre o assunto.

Da mesma forma, o comerciante não tem conhecimento sobre qual método da Autenticação Forte do Cliente o cliente escolhe e fornece.

Isso é garantido pelo fato de que os iframes são usados para exibir as páginas da Autenticação Forte do Cliente , conforme fornecidas pelo banco ou por fornecedores de pagamento de terceiros (por exemplo, iDeal).

O comerciante não tem influência ou acesso ao conteúdo do iframe exibido em seu site.

Da mesma forma, para os métodos de pagamento em que o comerciante encaminha o cliente para o site do provedor de pagamento (exemplo: SOFORT), eles não sabem qual método de autenticação é fornecido ou escolhido pelo cliente.

3D Secure é um processo desenvolvido para fornecer segurança aos pagamentos com cartão de crédito online. O objetivo é reduzir o risco de fraude, solicitando que o cliente confirme sua identidade com um código ou senha.

3D Secure 2.0 é uma revisão desse processo para alinhar com os requisitos do PSD2, especificamente a Autenticação Forte do Cliente.

No futuro, os pagamentos com cartão de crédito também vão exigir a Autenticação Forte do Cliente através do uso do 3D Secure 2.0.

A Autenticação Forte do Cliente será garantida pelo 3D Secure 2.0 usando, por exemplo, um aplicativo fornecido pelo banco do cliente. A página do banco exibida no site do comerciante vai solicitar que o cliente abra o aplicativo em seu smartphone. Dependendo do método específico, o aplicativo pode solicitar a impressão digital do cliente no smartphone.

Os bancos podem oferecer diferentes métodos de autenticação para o cliente escolher.

Outros métodos possíveis incluem: senhas de uso único exibidas ao cliente em um aplicativo especial ou reconhecimento facial por meio do aplicativo bancário do cliente.

Também serão necessárias transferências on-line através de provedores de serviços de pagamento como SOFORT, iDeal, Multibanco ou Przelewy24 para coletar a Autenticação Forte do Cliente no futuro.

Muitos comerciantes e bancos não serão capazes de oferecer suporte a Autenticação Forte do Cliente até 14 de setembro de 2019, conforme necessário.

Como resultado, em 21 de junho de 2019, a European Banking Authority (EBA) recomendou que os estados da UE e suas autoridades financeiras responsáveis pelo monitoramento do período de implementação do PSD2 ofereçam uma extensão a essas empresas.

Como resultado, o prazo será respeitado em alguns países, enquanto outros fornecerão aos bancos o referido período prolongado de implementação.
No entanto, mesmo em países com um período de implementação prolongado, alguns bancos começarão a usar a Autenticação Forte do Cliente a partir de 14 de setembro de 2019.

Para descobrir como e quando o seu banco exigirá a Autenticação Forte do Cliente, entre em contato com o banco.