A partir de agora, os bancos e demais prestadores de serviços de pagamento na União Europeia, estão obrigados a proceder à "autenticação forte" dos seus clientes quando estes acedem 'online' à sua conta, quando iniciam um pagamento eletrónico ou realizam uma ação que possa envolver risco de fraude ou outros abusos.
Em Portugal, a transposição da diretiva comunitária (DSP2) terá como efeito imediato que as cadernetas de banda magnética até agora bastante utilizadas pela Caixa Geral de Depósitos (CGD), Montepio e Crédito Agrícola (CA), sobretudo entre a população mais idosa, deixem de poder ser utilizadas para levantar dinheiro e fazer transferências a partir de sábado.
As novas regras estão disponíveis num guia preparado pelo Banco de Portugal e disponível 'online'.
Eis algumas perguntas e respostas sobre o tema:
O que é a autenticação forte?
A "autenticação forte" é um procedimento realizado pelo banco/prestador de serviços de pagamento com o objetivo de validar a sua identificação e a legitimidade da sua utilização do serviço de pagamento, com segurança acrescida.
O que muda?
Logo para aceder ao 'homebanking' ou à app (aplicação) do banco, ou para fazer compras ou pagamentos 'online', entre outras operações, pode ser pedido, por exemplo, além da habitual palavra-passe, um código enviado por SMS para o telemóvel ou um elemento biométrico, como a impressão digital ou reconhecimento facial.
Assim, a partir de sábado, os serviços de pagamento oferecidos por via eletrónica exigirão, por norma, a introdução de dois elementos de segurança, em cumprimento das regras europeias de "autenticação forte do cliente" (também designada por "autenticação de dois fatores").
Este procedimento será obrigatório em grande parte das operações de pagamento eletrónico e no acesso 'online' às contas bancárias, mesmo que apenas para consulta dos seus movimentos. A "autenticação forte" poderá ser também solicitada na realização de outras ações efetuadas através de um canal remoto que possam envolver um risco de fraude ou outros abusos.
Que elementos podem ser solicitados na "autenticação forte"?
Na "autenticação forte", os bancos/prestadores de serviços de pagamento solicitam aos utilizadores, pelo menos, dois elementos das seguintes categorias:
- Conhecimento -- algo que só o utilizador conhece (por exemplo, uma palavra-passe);
- Posse -- algo que só o utilizador possui (por exemplo, o telemóvel para o qual é enviado um código por SMS);
- Inerência -- algo que só o utilizador é, validada através de um atributo que o identifique (por exemplo, uma impressão digital).
Os dois elementos solicitados devem pertencer a categorias de segurança diferentes. Cada banco/prestador de serviços de pagamento poderá escolher os elementos de autenticação forte a solicitar aos seus clientes, desde que verificadas estas condições.
O que fazer?
Sempre que o banco/prestador de serviços de pagamento solicitar a "autenticação forte" esta é obrigatória para concretizar a operação. Por isso, segundo o BdP, os utilizadores devem informar-se junto do seu banco/prestador de serviços de pagamento sobre quais os procedimentos a adotar para continuar a fazer as suas operações de pagamento eletrónicas sem complicações. Devem ainda manter atualizada a informação e os dados de contacto fornecidas ao banco/prestador de serviços de pagamento e ler sempre com atenção a informação que o seu banco/prestador de serviços de pagamento enviar para autorizar a operação que pretende realizar.
Geralmente, os dados do pagamento são apresentados na página de confirmação da operação e, caso o procedimento de "autenticação forte" inclua o envio de uma SMS para o número de telemóvel fornecida como contacto.
Que recomendações dá o BdP?
O BdP pede aos utilizadores que sejam conscienciosos na divulgação de informação pessoal ou confidencial (por exemplo, palavras-passe, dados de documentos de identificação pessoal ou dados do cartão de pagamento). Evitar fazê-lo a menos que tal seja imprescindível para a realização do pagamento e sempre em 'sites' que ofereçam segurança.
Os utilizadores devem também desconfiar de solicitações de dados pessoais ou de natureza fora do comum, ainda que provenientes de uma entidade aparentemente confiável e, em caso de dúvida, pedir sempre esclarecimentos ao prestador de serviços de pagamento, utilizando, para o efeito, os respetivos contactos oficiais.