Uma palavra-passe. Um cartão no telemóvel. Uma impressão digital. É uma combinação de dois elementos deste género que vai passar a ser exigida no acesso ao homebanking e na realização de operações bancárias online. Há quem já as exija. Mas vai ser tudo obrigatório a partir deste sábado.
Ir ao site do seu banco, colocar o número do cartão e uma palavra-passe para depois aceder às contas e fazer movimentos é um percurso do passado. A partir deste sábado, 14 de setembro, há novas regras de segurança na banca. Na maior parte das vezes, o telemóvel será o melhor amigo, já que será com mensagens escritas – como, aliás, acontece já em alguns casos – que terá de fazer as transações.
Autenticação forte do cliente: é para esta expressão que os bancos e outros prestadores de serviços de pagamentos têm de olhar para assegurarem-se de que o cliente é mesmo o cliente. É por isso que, para fazerem operações bancárias por homebanking, os clientes têm de mostrar uma combinação de pelo menos dois elementos de segurança.
Segundo as novas regras, que são iguais para toda a União Europeia (por resultarem da diretiva europeia dos pagamentos, a PSD2), há três tipos de elementos de segurança:
- de conhecimento (que pode ser uma palavra-passe, um PIN ou também o caminho que desbloqueia o telemóvel);
- de posse (cartão físico – como o cartão que está nos telemóveis –, ou as mensagens escritas que são enviadas para o telemóvel);
- de inerência (impressão digital, reconhecimento de voz e reconhecimento fácil).
Ora, quando aceder ao homebanking ou quando for necessário fazer uma transferência, será exigida uma autenticação forte, o que configura uma combinação de dois destes elementos. A escolha da combinação exigida cabe aos bancos. Nas aplicações nos telemóveis, isso já é feito, já que é incluída uma palavra-passe no telemóvel, ou seja, um elemento de conhecimento e um elemento de posse. Mas na maior parte dos sites dos bancos, nem por isso. Vai ter, agora, de ser.
É por isso que deixa de ser possível apenas introduzir o número de cartão ou de conta e a palavra passe ou pin. Será necessário um elemento adicional que, na maior parte dos casos, como já os bancos começaram a anunciar, será através de um código enviado por SMS (junta-se, assim, um elemento de conhecimento, a palavra-passe ou o pin, a um elemento de posse, o código por SMS que prova a posse do telemóvel).
A autenticação forte será exigida, por exemplo, em compras e pagamentos online (aqui há um período de tempo ainda por definir para haver uma exigência efetiva), transferências, pagamentos de serviços, consultas online dos movimentos e para alteração de informação bancária.
Tem uma caderneta do seu banco? A partir de dia 14, não poderá levantar nem transferir dinheiro
É a 14 de setembro que a caderneta bancária deixa de funcionar como meio de pagamento e levantamento. Só servirá para consulta de movimentos e saldos.
BANDA MAGNÉTICA A DESAPARECER?
Da mesma forma, os pagamentos por cartão num terminal (numa loja) vão deixar de permitir a utilização de banda magnética, já que esta não assegura as condições de segurança de autenticação forte. Ou seja, só apenas o chip poderá ser utilizado. Se não estiver a funcionar, não será possível recorrer à banca magnética, como acontece atualmente.
As cadernetas bancárias têm uma banda magnética, mas não um chip que sirva de elemento de posse. É por esta exigência de combinação dos elementos que as cadernetas bancárias vão deixar de permitir operações de transferências e levantamentos. Só será possível a consulta de saldos já que, aí, não é requerida a autenticação forte.
Há aqui exceções: cartões-refeição, por exemplo. Nestes casos, continua a ser permitida a sua utilização (mesmo sem disporem de chip). Também será possível fazer pagamentos sem contacto (cartões contactless), como já ocorre. Da mesma forma, os cartões gerados MBNet podem funcionar da mesma forma. E, por agora, também as compras online diretamente no comerciante se mantêm iguais – mas aí, é certo, terá de haver mudanças dentro de um período de tempo, ainda por determinar.
O cartão matriz, utilizado em alguns bancos para o acesso online, também não se insere em nenhum dos elementos de segurança, deixando por isso de ter esta utilidade. Ou seja, é o caminho do fim do cartão matriz, a não ser que os bancos lhe deem novas funcionalidades.
A ida a uma caixa de levantamentos (como o Multibanco) não muda: já há um elemento de posse (cartão) e de conhecimento (PIN).
CONSELHOS DO BANCO DE PORTUGAL
Tendo em conta as alterações, na nota de imprensa emitida esta sexta-feira, o Banco de Portugal aconselha os clientes a “contactar o seu prestador de serviços de pagamento/banco e informar-se sobre os procedimentos a adotar para continuarem a aceder online à sua conta e a autorizar operações de pagamento eletrónicas”.
“Devem ainda certificar-se de que os seus dados pessoais, anteriormente fornecidos aos seus prestadores de serviços de pagamento/bancos (incluindo dados de contacto), se encontram atualizados”, lembra o supervisor – já que muitas das operações serão feitas com SMS, o número de telemóvel deverá estar atualizado.
As mudanças são trazidas pela PSD2, criada para incentivar a concorrência na área de pagamentos (já quatro empresas pediram autorização para exercer os novos serviços neste sector anteriormente exclusivos da banca), mas que, abrindo a porta à inovação, trouxe acrescidas regras de segurança.
Qualquer perda para o cliente numa operação que deveria ter sido feita sob as regras acrescidas de segurança ficará a cargo dos bancos. Ou seja, terão de pagar pela perda financeira e também pelo processo de contraordenação (que pode causar coimas).