Seis tópicos sobre as novas diretrizes europeias para pagamentos online

Em 2012, as fraudes em pagamentos online levaram 794 milhões de euros dos bolsos dos consumidores da União Europeia, segundo um relatório do banco central europeu. Foi para prevenir cenários como este que a European Banking Authority (EBA) publicou no dia 19 de dezembro de 2014 as diretrizes finais sobre segurança dos pagamentos feitos pela internet.

Estas normas destinam-se a prestadores de serviços de pagamentos (PSPs) nos territórios da União Europeia, que tiveram até ao dia um de agosto de 2015 para as implementar.

Para pôr tudo em pratos limpos, Juan Manuel Nieto, especialista em segurança de informação no grupo SIA, preparou alguns tópicos sobre o tema, que diz que “todos devem conhecer”. Aqui fica o mais importante.

Em que consistem estas diretrizes?

As diretrizes são recomendações de segurança mínimas harmonizadas, na luta contra a fraude associada aos meios de pagamento. O principal objetivo é aumentar a confiança dos consumidores nos serviços de pagamento na Internet.

No total, existem 14 recomendações principais, 54 considerações principais e 12 melhores práticas. Mas diz Juan Manuel Nieto que o mais importante a reter é que “a iniciação de pagamentos na internet e o acesso a dados de pagamento sensíveis devem ser protegidos por uma autenticação forte do cliente, para garantir que quem está a iniciar um pagamento é um utilizador legítimo, e não fraudulento”.

O que é a autenticação forte do cliente?

A AFC é um processo baseado na utilização de dois ou mais dos seguintes elementos, explica Nieto : algo que apenas o utilizador conhece, como uma palavra-passe, um código, um número de identificação pessoal; algo que apenas o utilizador possui, como um cartão inteligente ou um telemóvel, e “algo que o utilizador é”, como, por exemplo, uma característica biométrica.

Que serviços de pagamentos estão incluídos?

No âmbito desta nova regulamentação são serviços de pagamentos online legítimos os cartões, incluindo cartões virtuais, transferências a crédito, ordens de pagamento eletrónicos e dinheiro eletrónico.

Por outro lado, estão excluídos serviços em que a ordem de pagamento é dada por correio, por telefone, por voice mail ou usando tecnologia baseada em SMS; transferências de crédito nas quais terceiros acedem à conta de pagamento do cliente; pagamentos com cartão utilizando cartões pré-pagos físicos ou virtuais anónimos e não recarregáveis; pagamentos móveis que não sejam pagamentos baseados em browser e transações realizadas por uma empresa através de redes dedicadas.

Quem é afetado pelas diretrizes de segurança?

As diretrizes destinam-se aos prestadores de serviços de pagamento conforme definido no Artigo 1 da Diretiva Relativa aos Serviços de Pagamento, indica o especialista de segurança do grupo SIA. Isto inclui seis categorias de PSPs:

• Instituições de crédito na aceção do Artigo 4(1)(a) da Diretiva 2006/48/CE;
• Instituições de moeda eletrónica na aceção do Artigo 1(3)(a) da Diretiva 2000/46/CE;
• Instituições que estão autorizadas nos termos da legislação nacional a prestarem serviços de pagamento;
• Instituições de pagamento, na aceção desta diretiva;
• O Banco Central Europeu e os bancos centrais nacionais, quando não ajam na qualidade de autoridade monetária ou outras autoridades públicas;
• Estados Membros ou respetivas autoridades regionais ou locais, quando não ajam na qualidade de autoridades públicas.

Quem elaborou estas normas?

As normas que agora entraram em vigor têm a sua origem no documento “Recomendações para a Segurança dos Pagamentos na Internet”, publicado pelo Fórum Europeu sobre a Segurança dos Pagamentos de Retalho (SecureRe Pay), em janeiro de 2013.

Um ano depois, o Fórum concluiu que estas recomendações beneficiariam com a criação de uma base legal mais sólida. De modo a pôr isto em prática, a EBA, na qualidade de membro da SecureRe Pay, concordou em converter as recomendações em diretrizes da EBA, ao abrigo do Artigo 16 do Regulamento da EBA n.º 1093/2010 do Parlamento Europeu e do Concelho de 24 de novembro de 2010, com pequenas alterações.

Porque é que as diretrizes de segurança são obrigatórias?

As diretrizes elaboradas vão ao encontro da visão da EBA para as práticas de supervisão dentro do Sistema Europeu de Supervisão Financeira. Neste sentido, espera-se que todas as autoridades competentes e instituições financeiras abrangidas cumpram estas normas.

Segundo o Artigo 16(3) do Regulamento da EBA, as autoridades competentes devem notificar a EBA se estão a dar cumprimento ou tencionam dar cumprimento a estas diretrizes. Caso contrário, devem também apresentar as razões que motivam o incumprimento.