www.cesce.pt
 


A European Banking Authority (EBA) publicou no dia 19 de dezembro de 2014 as suas Diretrizes finais relativas à segurança dos pagamentos feitos através da internet, com base nas recomendações feitas pelo fórum SecuRe Pay. As Diretrizes definem os requisitos de segurança mínimos que os Prestadores de Serviços de Pagamento na União Europeia deverão implementar até ao dia 1 de agosto de 2015.

Assim, caso ainda não seja do seu conhecimento, permita-me que lhe apresente as cinco questões sobre este tema que todos devem conhecer.

Quem é afetado pelas Diretrizes de Segurança?
Onde é que as Diretrizes de Segurança foram definidas?
Porque é que as Diretrizes de Segurança são mandatórias?
O que deve ser protegido e como?
Quando é que as Diretrizes de Segurança devem ser implementadas?

Quem é afetado pelas Diretrizes de Segurança?

As Diretrizes aplicam-se à prestação de serviços de pagamento oferecidos através da internet por Prestadores de Serviços de Pagamento (Payment Service Providers (PSPs)) conforme definido no Artigo 1 da Diretiva Relativa aos Serviços de Pagamento (Payment Service Directive (PSD)). Isto inclui seis categorias de PSPs:

• Instituições de crédito na aceção do Artigo 4(1)(a) da Diretiva 2006/48/CE;
• Instituições de moeda eletrónica na aceção do Artigo 1(3)(a) da Diretiva 2000/46/CE;
• Instituições que estão autorizadas nos termos da legislação nacional a prestarem serviços de pagamento;
• Instituições de pagamento, na aceção desta Diretiva;
• O Banco Central Europeu e os bancos centrais nacionais, quando não ajam na qualidade de autoridade monetária ou outras autoridades públicas;
• Estados Membros ou respetivas autoridades regionais ou locais, quando não ajam na qualidade de autoridades públicas.

Além disso, onde sejam oferecidos regimes de pagamento através de um sistema de pagamento (como sejam sistemas de pagamento com cartão, sistemas de transferências a crédito, sistemas de débito direto, etc.), as autoridades competentes com função de supervisão e os bancos centrais relevantes devem intermediar de forma a assegurar a aplicação consistente das diretrizes por parte de cada ator.

Onde é que as Diretrizes de Segurança foram definidas?

Em Janeiro de 2013, o Fórum Europeu sobre a Segurança dos Pagamentos de Retalho (SecureRe Pay) – criado em 2011 -, publicou o documento “Recomendações para a Segurança dos Pagamentos na Internet”, definindo como prazo de cumprimento fevereiro de 2015.

Durante uma avaliação do progresso da implementação, no verão de 2014, o Fórum concluiu que as recomendações beneficiariam com uma base legal mais sólida. Para esse fim, a EBA, na qualidade de membro da SecureRe Pay, concordou em converter as recomendações em diretrizes da EBA, ao abrigo do Artigo 16 do Regulamento da EBA n.º 1093/2010 do Parlamento Europeu e do Concelho de 24 de novembro de 2010, com alguns pequenos desvios para as colocar em linha com a PSD existente como base legal.

Dado que as negociações sobre a revisão da PSD estavam em curso e só poderão ser publicadas em 2017/2018, a EBA não considerou a possibilidade de atrasar a implementação das diretrizes até à transposição da PSD 2. Assim, a EBA concordou que as Diretrizes entrassem em vigor em 1 de agosto de 2015, o que significaria que seriam aplicadas durante um período transitório, até entrarem em vigor requisitos mais rigorosos numa data posterior, nos termos da PSD 2 (ou seja, uma abordagem em duas fases).

Porque é que as Diretrizes de Segurança são mandatórias?

Em geral, as diretrizes elaboradas nos termos do Artigo 16 do Regulamento (UE) n.º 1093/2010 estabelecem a visão da EBA para as práticas de supervisão dentro do Sistema Europeu de Supervisão Financeira. Por isso, a EBA espera que todas as autoridades competentes e instituições financeiras a quem as diretrizes são dirigidas envidem todos os esforços para cumprir as diretrizes.

As autoridades competentes a quem as diretrizes se aplicam devem cumprir, incorporando-as nas respetivas práticas de supervisão conforme apropriado (por exemplo, alterando o seu regime jurídico ou os seus processos de supervisão). Segundo o Artigo 16(3) do Regulamento da EBA, as autoridades competentes devem notificar a EBA se estão a dar cumprimento ou tencionam dar cumprimento a estas diretrizes, ou, caso contrário, quais as razões do não cumprimento. Ou seja, se a sua organização for afetada, esteja preparado para receber uma notificação da sua autoridade competente.

O que deve ser protegido e como?

As diretrizes constituem recomendações de segurança mínimas harmonizadas, na luta contra a fraude associada aos meios de pagamento e visam aumentar a confiança dos consumidores nos serviços de pagamento na internet. Existem 14 recomendações principais, 54 considerações principais (KC) e 12 melhores práticas (BP).

Contudo, a recomendação principal é que a iniciação de pagamentos na internet e o acesso a dados de pagamento sensíveis devem ser protegidos por uma autenticação forte do cliente, para garantir que quem está a iniciar um pagamento é um utilizador legítimo, e não fraudulento.

Com isto em mente, os serviços de pagamento na internet a considerar, independentemente do dispositivo de acesso utilizado, são:

Cartões, a realização de pagamentos com cartão na internet, incluindo pagamentos com cartão virtual, bem como o registo dos dados dos pagamentos com cartão para utilização em pagamentos de baixo valor;
Transferências a crédito, a realização de transferências a crédito (TCs) na internet;
Ordens de pagamento eletrónicos, a emissão e alteração de autorizações eletrónicas de débito direto;
Dinheiro eletrónico transferências de dinheiro eletrónico entre duas contas de dinheiro eletrónico através da internet.

Por outro lado, os seguintes serviços estão especificamente excluídos do âmbito:

• Outros serviços de internet fornecidos por um PSP através do respetivo website de pagamentos (p. ex. corretagem online, contratos online);
• Pagamentos em que a ordem é dada por correio, por telefone, por voice mail ou usando tecnologia baseada em SMS;
• Pagamentos móveis que não sejam pagamentos baseados em browser;
• TCs onde terceiros acedem à conta de pagamento do cliente;
• Transações de pagamento realizadas por uma empresa através de redes dedicadas;
• Pagamentos com cartão utilizando cartões pré-pagos físicos ou virtuais anónimos e não recarregáveis;
• Compensação e liquidação de transações de pagamento.

Para compreender o cerne da recomendação, existem dois conceitos relevantes que são necessários compreender:

Dados de pagamento sensíveis

Estes incluem, em geral:

• Dados que permitem iniciar uma ordem de pagamento;
• Dados utilizados para autenticação;
• Dados utilizados para encomendar instrumentos de pagamento ou ferramentas de autenticação a serem enviadas aos clientes;
• Dados, parâmetros e software que, se modificados, podem afetar a capacidade da parte legítima de verificar transações de pagamentos, de autorizar mandatos eletrónicos ou de controlar a conta, como sejam listas “negras” e listas “brancas”, limites definidos pelo cliente, etc.

E eu disse “em geral”, porque a condição sensível dos dados anteriores irá depender das circunstâncias sob as quais os dados são utilizados. Por isso, as avaliações de riscos são necessárias.

Autenticação Forte do Cliente

Entrando em detalhes, e para efeitos das Diretrizes, a AFC é um processo baseado na utilização de dois ou mais dos seguintes elementos (categorizados como conhecimento, propriedade e inerência):

• Algo que apenas o utilizador conhece, como seja uma palavra-passe estática, um código, um número de identificação pessoal.
• Algo que apenas o utilizador possui, como seja um token, um cartão inteligente, um telemóvel.
• Algo que o utilizador é, como seja uma característica biométrica, como uma impressão digital.

Além disso, os elementos selecionados têm de ser independentes entre si, isto é, a violação de um deles não compromete o(s) outro(s); e pelo menos um dos elementos deve ser não reutilizável e não replicável (exceto por inerência), e não susceptível de ser sub-repticiamente roubado através da internet.

Quando é que tudo isto deverá estar implementado?

A data de entrada em vigor das Diretrizes é 1 de agosto de 2015, o que constitui um prolongamento de seis meses, comparado com a data de implementação que tinha sido estabelecida originalmente para as recomendações SecuRe Pay. O prolongamento visa dar a algumas autoridades competentes e instituições financeiras tempo extra para cumprirem as diretrizes da EBA, mas deve-se também ao facto de a EBA ser obrigada, pelo seu regulamento, a submeter à consulta pública o seu projeto de diretrizes, a analisar as respostas e a elaborar uma síntese das respostas recebidas e as diretivas finais após a consulta.

As autoridades competentes e as instituições financeiras que já estão a implementar as recomendações SecuRe Pay desde a data original de 1 de fevereiro de 2015 não são abrangidas pelo prolongamento e devem prosseguir com os seus planos.

 

 

Juan Manuel Nieto Moreno
Coordenador Técnico de Segurança
SIA Group

Mais informação: dci@cesce.pt