Tecnologia

SCA: os novos requisitos de autenticação forte, provocados pelo PSD2

por Daniel Oliveira | 17 Outubro, 2019

Desde pequenos que nos dizem que devemos colocar a nossa segurança em primeiro lugar. Se este é um ensinamento que devemos seguir no nosso dia a dia, é também, cada vez mais, aplicável no mundo digital.

Com o intensificar da utilização de ferramentas digitais, são cada vez mais os dados guardados online. Desde os mais simples aos mais sensíveis, obrigando a alguns cuidados acrescidos no gestão dos mesmos.

De entre os vários tipos de dados presentes no mundo digital, os bancários são aqueles que levantam mais preocupação. Embora as plataformas digitais sejam uma ótima forma de gerir o dinheiro em qualquer lado e de realizar transações de forma simples e rápida, a verdade é que pode também ser um ponto de debilidade que pode provocar algumas fraudes. 

Nesse sentido, e com a entrada em vigor do PSD2 a 14 de setembro de 2019, uma revolução chegou também à segurança nas transações online, obrigando as plataformas a uma camada de segurança acrescida, conhecida como Strong Costumer Authentication (SCA).

Mas como funciona este novo conceito que promete aumentar a segurança dos pagamentos e lojas online?

O que é o Strong Costumer Authentication (SCA)?

A partir de 14 de setembro de 2019, os bancos dos 31 países/regiões do Espaço Económico Europeu passaram a ser obrigados a verificar a identidade da pessoa nas seguinte situações:

  • Aceder online à conta de pagamento;
  • Iniciar um pagamento eletrónico;
  • Realizar remotamente uma ação que possa envolver risco de fraude no pagamento ou outros abusos.

Esta verificação exige uma autenticação multifator. Assim, ajuda a garantir a segurança e a proteção das compras online, um processo conhecido por Strong Costumer Authentication (SCA), e que obriga a utilizar pelo menos 2 destes três elementos:

  1. Conhecimento (por exemplo, PIN ou palavra-passe);
  2. Posse (por exemplo, one-time password, telemóvel ou cartão de pagamento);
  3. Inerência (por exemplo, impressão digital).

Apenas quando o utilizador fornece dois destes tipos de dados é que a autenticação será feita e terá permissão para concluir a transação.

Quais as excepções ao SCA?

Embora esta seja uma camada de segurança nas transações online, algumas não estão obrigadas a cumprir o SCA:

  • Transações menores que 30 Euros;
  • Transações de baixo risco, conforme identificadas pelo Servidor de Pagamento;
  • Assinaturas mensais recorrentes com o mesmo valor todos os meses;
  • Negócios pré-aprovados que o cliente identifique em sua conta;
  • Pagamentos Corporativos Seguros (cartões corporativos, pagamentos corporativos feitos através de cartões virtuais, conforme utilizados no setor de viagens).

SCA, uma ferramenta para combater a fraude

Com o volume de negócios do comércio online a ser estimado em 3 triliões de dólares já em 2020, o Banco Central Europeu projeta que todos os anos se registem cerca de 1,3 mil milhões de dólares em fraudes bancárias.

Para combater estas previsões, a União Europeia procurou aumentar novas medidas de segurança. Assim, os constantes abusos nas transações online são evitados. 

Para cumprir este objetivo, a UE sentiu necessidade de atualizar a diretiva de serviços de pagamentos original (PSD). Esta foi  criada em 2007. A UE aprovou recentemente a nova versão, a PSD2.

O que é o PSD2?

Até agora, sempre que um utilizador pretendia aceder aos seus dados bancários ou executar alguma operação à distância, era necessário aceder às plataformas e aplicações específicas de cada banco. Isto obrigava, muitas vezes, o utilizador a saltar entre aplicações para fazer a sua gestão financeira das várias contas.  

Com a entrada em vigor do diploma comunitário, conhecido como PSD2 (Payment Services Directive 2), começou aquela que é apontada como uma das maiores revoluções no setor bancário. Esta revolução marca uma nova era de possibilidades para o utilizador, na gestão dos seus dados bancários e na segurança das transações online.

Com esta nova diretiva europeia, os bancos irão ser agora obrigados a disponibilizar uma API (Application Programming Interface). Esta API irá permitir que aplicações e plataformas de terceiros, com autorização do utilizador, acedam aos dados bancários. Assim, vão passar a oferecer serviços inovadores ou alternativos. Estes serviços, até aqui, apenas podiam ser desenvolvidos por entidades bancárias. Além disso, serão obrigados a integrar o SCA como forma de autenticação, duplicando as medidas de verificação de identidade do utilizador.

No fundo, o Open Banking irá permitir uma cooperação entre instituições bancárias, startups, fintechs e gigantes tecnológicas. Desta forma, vem trazer conceitos inovadores para o setor bancário, novas funcionalidades que permitem aos utilizadores gerir e utilizar todos os seus produtos financeiros e tudo isto de forma mais segura.

Quando tenho de ter o SCA implementado?

Englobado no PSD2, estava definido o dia 14 de setembro como data limite para a implementação do SCA, tendo estes prazos sofrido alterações.

O Reino Unido foi o primeiro a alargar estes prazos. A Financial Conduct Authority (FCA), a 13 de agosto, definiu um prazo de implementação de 18 meses. Já a Autoridade Bancária Europeia (EBA), a 16 de outubro de 2019, decidiu alargar também o prazo de implementação para dia 31 de dezembro de 2020. Assim, as organizações bancárias ganharam mais tempo para se adaptarem.

Jasmin: um software de gestão inteligente

Na vanguarda da tecnologia, o Jasmin é um software de gestão 100% cloud, que utiliza as infraestruturas Azure da Microsoft e por isso garante elevados padrões de performance, assim como níveis de segurança que cumprem todos os requisitos da legislação de Segurança e Proteção de Dados vigente na União Europeia.

Com o Jasmin, os seus dados serão confidênciais e estarão seguros. Experimente gratuitamente o Jasmin Express.

Mais artigos