Sabe o que é a “autenticação forte”? Se não sabe, vai ficar a saber a partir de deste sábado, porque várias operações bancárias só vão poder ser realizadas mediante o cumprimento de novas regras de segurança, para assegurar a identidade do utilizador e a legitimidade das operações. É por esta razão que as “velhas” cadernetas deixam de permitir levantamentos ou transferências de dinheiro. Não há alterações na utilização de cartões de débito, vulgarmente designados de multibanco, nem de cartões de crédito.

As novas regras, impostas pela directiva comunitária de pagamento (DSP2 na sigla em inglês), e por isso comum aos países que integram a União Europeia, pretendem tornar os pagamentos mais seguros, nomeadamente quando os particulares acedam à sua conta de pagamento por via online, quando realizam operações de pagamento electrónico, e ainda quando realizam uma acção, através de um canal remoto, como levantamentos de dinheiro através de uma aplicação (app) para telemóveis. Na prática, todas as operações bancárias que possam envolver risco de fraude nos pagamentos ou outros abusos.

Como destaca o Banco de Portugal (BdP), em comunicado divulgado nesta sexta-feira, a autenticação forte é um procedimento adoptado para verificar a identidade do utilizador e a legitimidade das operações. Este procedimento implica que os prestadores de serviços de pagamento, nomeadamente os bancos, mas não só, solicitem ao cliente dois ou mais elementos pertencentes às categorias de “conhecimento” (algo que só o cliente sabe, como, por exemplo, uma palavra-passe), de “posse” (algo que só o cliente tem, como, por exemplo, um telemóvel para o qual é enviado um código por mensagem) e ainda de “inerência” (uma característica inerente ao cliente, como a impressão digital). Os cartões matriz, usados para certificar operações online, desaparecem. 

A partir deste sábado, os elementos utilizados na autenticação forte são escolhidos por cada prestador de serviços de pagamento/banco, que algumas instituições já seguiam ou têm vindo a implementar, mas que agora passam a ser obrigatórias.

O que muda?

A autenticação forte passa a ser exigida sempre que particulares ou empresas fazem compras e pagamentos online com cartão, para iniciar transferências; para efectuar pagamentos de serviços; para consultar online os movimentos da sua conta; para consultar e alterar online outra informação (por exemplo, dados de operações recorrentes ou listas de beneficiários preferenciais). Algumas operações de pagamento abaixo de baixo valor, como portagens e via verde, parques de estacionamento, não necessitam de autenticação forte, ou seja, não sofrem alterações face ao que existe actualmente.

Neste contexto, as cadernetas deixam de poder fazer levantamentos ou pagamentos porque a banda magnética não cumpre as regras de segurança agora exigidas. No entanto, podem continuar a ser utilizadas para actualização de movimentos e consulta de saldos.

Ao nível dos cartões de débito e de crédito não haverá alterações, porque quase todos têm “chip” metálico. Gradualmente, os cartões que apenas têm banda magnética, como cartões de refeição, vão ser substituídos, mas não existe, actualmente, qualquer limitação à sua utilização. Ainda neste segmento, os pagamentos com número do cartão impresso, data de validade e código CVV/CVC deixarão, brevemente, de ser possíveis, pelo menos entre os comerciantes da UE.

Gradualmente também vai desaparecer o cartão matriz (conjunto de coordenadas de letra e números) utilizados por algumas instituições como forma de autenticação dos seus clientes, sendo substituídos por outros meios mais seguros, como o SMS Token (código enviado para o telemóvel), já utilizados em boa parte dos bancos.

Quem paga no caso de burla

Com a DSP2, uma operação de pagamento só é considerada autorizada se o ordenante (particular ou empresa) tiver dado o seu consentimento à execução daquela operação. Assim, no caso de operações de pagamento não autorizadas (as regras de segurança não foram aplicadas), o cliente só pode ser obrigado a suportar as perdas até ao montante máximo de 50 euros (excepto se existir fraude ou negligência grosseira da sua parte), quando até agora era de 150 euros. São exemplo de operações de pagamento não autorizadas aquelas que resultem da utilização de um instrumento de pagamento perdido ou furtado, ou da sua apropriação abusiva.

A partir do momento em que o utilizador tenha notificado o prestador de serviços de pagamentos de que o seu instrumento de pagamento pode ter sido objecto de uma utilização fraudulenta, não deverá ser-lhe exigido que suporte quaisquer perdas adicionais resultantes da sua utilização.

O BdP disponibiliza no seu site um guia e um descodificador para reforçar a informação aos utilizados de serviços electrónicos, e aconselha-os a contactar o seu prestador de serviços de pagamento/banco sobre os procedimentos a adoptar para continuarem a aceder online à sua conta e a autorizar operações de pagamento.