O PSD2 é parte do esforço da Comunidade Européia para unificar os processos financeiros em todos os países, derrubando as barreiras operacionais e de legislação existentes. A adoção de uma política unificada para os serviços de pagamento no âmbito da União Européia foi importante para impulsionar um processo de transformação nos sistemas de pagamento em todo o mundo.
Esta diretiva no entanto foi além desse objetivo, incluindo diretrizes técnicas que passaram a ser referência mundial. Entre outros pontos, ela estabeleceu:
- requisitos de segurança rigorosos, aplicáveis aos pagamentos eletrônicos e à proteção dos dados financeiros dos consumidores, garantindo a autenticação segura (Strong Authentication) e reduzindo os riscos de fraude;
- transparência das condições e requisitos de informação aplicáveis aos serviços de pagamento;
- direitos e obrigações dos utilizadores e dos prestadores de serviços de pagamento.
Autenticação Segura
As orientações com processos robustos de autenticação formam um dos pilares da estrutura técnica do PSD2.
Entende-se por autenticação forte o uso dinâmico e combinado de pelo menos 2 dos três atributos básicos:
- Eu sou
- Eu tenho
- Eu sei
Estas são medidas de proteção da confidencialidade e da integridade das credenciais de segurança personalizadas e que estabelecem normas abertas de comunicação comuns, seguras e documentadas, periodicamente testadas, avaliadas e auditadas. O PSD2 incentivou o desenvolvimento de métodos de autenticação cada vez mais inovadores, seguros e dinâmicos, para fazer face às ameaças crescentes a fraudes com as credenciais dos usuários.
Os diversos métodos de autenticação passaram ser utilizados pelos operadores de serviços de acordo com a grade de riscos de cada operação.
Serviços submetidos ao PSD2
Este é o escopo dos serviços submetidos ao PSD2:
- Serviços que permitam depositar numerário numa conta de pagamento, bem como todas as operações necessárias para a gestão dessa conta.
- Serviços que permitam levantar numerário de uma conta de pagamento, bem como todas as operações necessárias para a gestão dessa conta.
- Execução de operações de pagamento, incluindo a transferência de fundos depositados numa conta de pagamento aberta junto do prestador de serviços de pagamento do utilizador ou de outro prestador de serviços de pagamento:
- Execução de débitos diretos, incluindo os de caráter pontual;
- Execução de operações de pagamento através de um cartão de pagamento ou de um dispositivo similar;
- Execução de transferências a crédito, incluindo ordens de domiciliação.
- Execução de operações de pagamento no âmbito das quais os fundos são cobertos por uma linha de crédito concedida a um utilizador de serviços de pagamento:
- Execução de débitos diretos, incluindo os de caráter pontual;
- Execução de operações de pagamento através de um cartão de pagamento ou de um dispositivo similar;
- Execução de transferências a crédito, incluindo ordens de domiciliação.
- Emissão de instrumentos de pagamento e/ou aquisição de operações de pagamento.
- Envio de fundos.
- Serviços de iniciação do pagamento.
- Serviços de informação sobre contas.
Severidade e níveis de autenticação
Acionar o cliente para uma autenticação em cada atividade que ele execute significa uma péssima experiência de uso. Por isso, as estratégias de autenticação devem ser construídas em camadas de segurança, utilizando processos de autenticação sem fricção (RBA – Risk Based Authentication), OTP, biometria, entre outros. O balanceamento entre segurança e experiência de uso é fundamental.
Esse é o desafio para o próximo período.
