O que é a autenticação forte do cliente?

A autenticação forte do cliente (SCA) é uma norma regulamentar iniciada em 2019 ao abrigo da segunda diretiva relativa aos serviços de pagamento (PSD2) na Europa. O objetivo da SCA é proteger os consumidores, estabelecendo normas para autenticar os pagamentos em linha. A aplicação da SCA estava prevista para começar em 2020, embora se espere que a implementação continue ao longo de 2021. 

Eis tudo o que precisa de saber sobre a autenticação forte do cliente, o que significa para as empresas e o seu calendário de implementação. 

O que é a autenticação forte do cliente? 

A autenticação forte do cliente é um novo regulamento concebido para evitar a fraude nas transacções em linha. Para tal, obriga os bancos a exigirem uma autenticação adicional do utilizador antes de autorizarem os pagamentos. 

A maioria dos comerciantes vê os requisitos das AFC como sinónimo de autenticação de dois factores, mas é mais complicado do que isso. Os bancos e os prestadores de serviços de pagamento têm de fazer com que os clientes se autentiquem utilizando pelo menos dois de três factores: 

1. Algo na sua posse (como um telemóvel ou uma ficha de hardware)
2. Algo que sabem (como um número PIN ou uma palavra-passe)
3. Algo que faz parte da pessoa (como a sua impressão digital ou reconhecimento facial)

Este nível de autenticação torna mais difícil para os criminosos efectuarem compras não autorizadas utilizando a identidade de proprietários de contas legítimas. Uma vez ultrapassado o prazo de implementação, os emissores de cartões devem recusar quaisquer transacções que não sejam verificadas através de 2 dos métodos acima mencionados. 

Que empresas são afectadas pela PEC? 

A AFC é um regulamento europeu, pelo que todas as empresas sediadas no Espaço Económico Europeu (EEE) terão de estar em conformidade, assumindo que cobram cartões online e que os cartões também são emitidos no EEE. Inicialmente, o Reino Unido era considerado parte desta categoria e tinha o seu próprio calendário para o cumprimento da AFC, no entanto, desde o Brexit, deixou de estar sob a alçada da Autoridade Bancária Europeia.

As empresas sediadas nos EUA ou noutros países do mundo que processam transacções com cartões emitidos no EEE não estão sujeitas às regras da AFC. No entanto, muitas optam por atualizar o seu processo de autenticação atual para evitar potenciais recusas de transacções por parte dos bancos na Europa ou simplesmente para minimizar o impacto das tentativas de fraude na sua atividade. 

As empresas afectadas não devem ignorar os requisitos da AFC, caso contrário, podem acabar por ter várias transacções recusadas e até perder negócios. 

Isenções ao regulamento 

Certos tipos de transacções podem ser considerados de "baixo risco" e, por conseguinte, isentos da exigência de autenticação forte do cliente. Se a sua empresa processar transacções que cumpram os requisitos de isenção, pode solicitar uma isenção ao emissor, que decidirá se a concede ou não.

Eis os diferentes tipos de transacções que podem ser isentas: 

• Transacções de empresas - Trata-se de quaisquer transacções efectuadas entre duas empresas, por oposição a uma empresa e um consumidor.
• Transacções de baixo risco - Tanto os emissores como os adquirentes de pagamentos podem utilizar uma análise de risco de transação (TRA) para determinar se as transacções são consideradas de baixo risco. A TRA baseia-se no valor da transação e na taxa de fraude. 
• Transacções de baixo montante - Uma transação pode beneficiar de uma isenção se o valor da compra for inferior a 30 euros, a menos que um cliente efectue cinco transacções consecutivas com um valor combinado superior a 100 euros (caso em que se aplica a PEC).
• Assinaturas recorrentes - Quando os clientes efectuam uma série de pagamentos recorrentes do mesmo montante à mesma empresa, apenas o pagamento inicial tem de cumprir os requisitos da AFC. As transacções iniciadas pelo comerciante que utilizam cartões guardados para clientes não presentes também podem ser abrangidas por esta isenção. 

Quando é que a PEC será aplicada?  

A autenticação forte do cliente estava inicialmente prevista para começar a ser aplicada na íntegra a 1 de janeiro de 2021. No entanto, a pandemia criou desafios, incluindo o aumento significativo do número de empresas que efectuam transacções de comércio eletrónico abrangidas pela AFC. Este facto levou a que o prazo de conformidade se prolongasse até 2021. 

Alguns dos diferentes países do EEE estabeleceram o seu próprio calendário para o cumprimento integral da AFC, e a aplicação da lei será intensificada em diferentes áreas para refletir este facto em 2021. Eis os calendários actuais:

País 

Aplicação integral

França 

abril de 2021

Bélgica 

abril de 2021

Países Baixos

janeiro de 2021

Alemanha

março de 2021

Itália

abril de 2021

Irlanda

julho de 2021

Suíça 

setembro de 2021

Resto do EEE

janeiro de 2021

Como manter a conformidade com o SCA 

Começar a cumprir a Autenticação Forte do Cliente é uma boa ideia, uma vez que os prazos de aplicação estão a chegar. Espera-se também que surjam mais regulamentos de segurança em países de todo o mundo, tornando a conformidade antecipada uma escolha inteligente para empresas localizadas fora do EEE. 

Eis o que pode fazer agora para garantir que a sua empresa se mantém em conformidade com as SCA:

Utilizar o protocolo 3D Secure 

O 3D Secure é um protocolo que funciona como uma camada de segurança adicional para transacções de crédito e débito online. O protocolo determina se o titular do cartão está inscrito no 3D Secure e se é necessária autenticação. Baseia-se em dados partilhados por bancos, redes de cartões e comerciantes para verificar os pagamentos. A utilização da versão mais recente do protocolo 3D Secure no seu sítio Web de comércio eletrónico pode ajudá-lo a manter a conformidade com a SCA. 

Pedir isenções

Se uma grande parte ou a totalidade das transacções processadas na sua empresa se qualificar potencialmente para uma isenção da SCA, pode candidatar-se a recebê-la. Cabe ao emissor decidir se autoriza ou não a sua isenção. Mesmo que as suas transacções correspondam à definição, o emissor pode rejeitar o seu pedido devido às suas próprias regras de prevenção de fraudes.

A candidatura a isenções pode minimizar o atrito no checkout do cliente, mas também acarreta um maior risco de responsabilidade para os comerciantes. Se receber uma isenção e uma transação acabar por ser fraudulenta, será responsável pelo estorno. Tendo isso em conta, é melhor explorar outras opções que optimizem a experiência de checkout do cliente e, ao mesmo tempo, cumpram os regulamentos da SCA. 

Utilizar pagamentos bancários em linha

Trustly oferece os Pagamentos bancários em linha como uma solução de pagamentos móveis e de comércio eletrónico que cumpre os regulamentos da AFC e melhora simultaneamente a experiência de pagamento do consumidor. Os pagamentos bancários em linha implicam que os clientes iniciem sessão nas suas contas bancárias e introduzam as suas credenciais de memória, o que está em conformidade com a AFC. Esta abordagem também funciona bem para os comerciantes, uma vez que reduz o atrito e, simultaneamente, aumenta a segurança. 

Os pagamentos bancários em linha permitem que os comerciantes aceitem uma gama mais vasta de opções de pagamento, bem como utilizem pagamentos sem contacto, valor armazenado e transacções com carteiras digitais. O Trustly também maximiza a segurança utilizando a tokenização para encriptar dados de pagamento sensíveis, tornando-os inúteis para os autores de fraudes. 

Com pagamentos garantidos e elevadas taxas de aprovação, os pagamentos bancários em linha são a única solução que beneficia tanto os comerciantes como os clientes. Mais importante ainda, a tecnologia do Trustlyfoi concebida para evoluir e melhorar, pelo que pode sempre contar com o acompanhamento dos regulamentos mais recentes da SCA, PSD2 ou outra legislação.