As medidas entraram em vigor este sábado, 14 de setembro, em toda a União Europeia - como já pode ter reparado pela utilização do homebanking ou por entretanto ter comprado alguma coisa online nos últimos dias -, mas não muda tudo de uma vez: foram definidos períodos de transição em alguns aspectos.

O Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017, que complementa a Diretiva dos Serviços de Pagamento revista (DPS2) obriga os prestadores de serviços de pagamento, como é o caso dos bancos, a fazerem “autenticação forte” dos seus clientes quando estes acedem online às suas contas, quando fazem pagamentos eletrónico ou em qualquer ação que possa envolver risco de fraude ou outros abusos. Na base, é um procedimento destinado a verificar a identidade do utilizador e a legitimidade das operações.

“Este procedimento implica que os prestadores de serviços de pagamento/bancos, em todas as situações descritas, solicitem ao cliente dois ou mais elementos pertencentes às categorias de ‘conhecimento’ (algo que só o cliente sabe, como, por exemplo, uma palavra-passe), de ‘posse’ (algo que só o cliente tem, como, por exemplo, um telemóvel para o qual é enviado um código por mensagem) e de ‘inerência’ (uma caraterística inerente ao cliente, como a impressão digital), sendo que pelo menos dois dos elementos solicitados deverão pertencer a categorias diferentes.

Isto quer dizer que, além da habitual palavra-passe, quando acede às suas contas bancárias através da internet ou da app no smartphone, ou quando faz compras online, pode ser-lhe pedido, por exemplo, um código enviado por SMS ou um elemento biométrico, como a sua impressão digital.

O Banco de Portugal explica que a escolha dos elementos utilizados na autenticação forte cabe a cada banco ou prestador de serviços de pagamento, desde que estejam de acordo com as novas regras. O método já era aplicado por alguns prestadores de serviços de pagamento em algumas situações específicas, mas a partir de agora as medidas passam a ser obrigatórias “para a generalidade das operações eletrónicas”.

As novas regras deixam de fora a utilização dos dados impressos do cartão de crédito, que vai deixar de ser possível no curto prazo. De momento decorre um período de transição, dado aos comerciantes para que se adaptem e passem também a aplicar a autenticação forte nos serviços que prestam, e para minimizar o impacto do novo enquadramento regulamentar no comércio eletrónico.

Com as mudanças introduzidas pelo Regulamento também deixa de ser possível a utilização da banda magnética nos pagamentos por cartão bancário num terminal (numa loja), valendo apenas o chip, assim como a utilização das cadernetas para fazer levantamentos.

O Banco de Portugal disponibiliza online um guia onde resume as novas medidas e os seus objetivos e explica como tudo funciona.