Em entrevista à Exame Informática, Alberto López, Director CyberSecurity & Intelligence Solutions da Mastercard, explica o que vai mudar com a nova norma de Autenticação Forte nas compras online que entra em vigor no final deste mês. Comprar online vai ser mais seguro, mas compradores, empresas e bancos vão ter de preparar-se para mais processos de autenticação.
A 31 de dezembro entra em vigor a autenticação forte nas compras online com cartão. O que muda para as empresas e para os utilizadores?
Todo o ecossistema será impactado e todos estão a trabalhar quase em “contra-relógio” para ter tudo pronto para o próximo ano.
A principal mudança terá impacto nos utilizadores e nos comerciantes. Os primeiros, vão ter de autenticar-se mais vezes e de uma forma diferente do que o que costumavam fazer. Agora, fazem-no com base em dois fatores diferentes (não apenas o SMS que é o padrão hoje), e o que terão de aprender a fazer é uma nova forma de processo de autenticação. Normalmente, e dependendo do emissor, este novo método utilizará o aplicativo bancário para validar as transações.
Para os comerciantes, o impacto pode ser maior no caso de nunca terem utilizado sistemas de autenticação para comércio eletrónico. Para esses comerciantes, vai ser necessário integrarem os seus sistemas para suportar o novo protocolo de autenticação definido pela EMVCo (EMV-3DS). Os comerciantes que já tinham um sistema de autenticação só precisam de fazer as atualizações para a nova versão.
Em qualquer caso, é fundamental que todos os estabelecimentos comerciais analisem a sua estratégia de autenticação e as exceções que o regulamento oferece, de forma a encontrar a melhor solução em termos de Experiência do Utilizador.
Os clientes devem contactar os bancos?
Provavelmente, existem algumas empresas que ainda estão a ultimar a implementação e a executar todos os testes necessários, antes da entrada em vigor. Na Mastercard, apoiámos desde os consumidores – portadores de cartões -, aos emissores e comerciantes através do Mastercard® Identity Check ™ – uma solução de autenticação de última geração baseada em EMV 3DS, que oferece uma experiência de pagamento online mais perfeita para os consumidores. Com tantos consumidores acostumados a checkouts apenas com um clique, esta nova solução Mastercard foi projetada para minimizar interrupções e atritos desnecessários no checkout. A verificação de identidade também oferece suporte aos requisitos de autenticação forte da Diretiva PSD2.
Os consumidores têm de garantir que todos os seus dados de contacto, especialmente números de telefone móvel, estejam disponíveis no seu banco e precisam, também, de estarem atentos a qualquer comunicação do seu banco sobre este assunto.
Normalmente todos os emissores irão registar os clientes neste novo método de autenticação, mas, em caso de dúvida, o melhor é mesmo entrar em contato com o Banco.
Que tipos de autenticação podem ser utilizados?
Em concreto, a autenticação forte marca a mudança das passwords estáticas ou “senha única”, para uma autenticação com dois fatores. No comércio eletrónico, um dos fatores será o smartphone, e será este a principal “chave” para fazermos compras pela internet. Para complementar esse fator, a melhor experiência de autenticação será oferecida, sem dúvida, pela tecnologia biométrica, pois evita a necessidade de nos termos de lembrar de passwords e está sempre disponível. Da mesma forma, serão implementados sistemas avançados de biometria comportamental para facilitar ainda mais o processo, uma vez que o utilizador precisará apenas de interagir normalmente com seu equipamento para ser corretamente identificado.
O que as empresas são obrigadas a fazer para estar de acordo com o regulamento?
Todos os operadores foram obrigados a implementar novos desenvolvimentos para os seus sistemas poderem suportar o novo padrão, por ser bastante diferente do anterior. Porém, as especificações técnicas estão disponíveis desde 2018. Importante frisar que o novo padrão EMV 3DS foi muito relevante, pois responde a todos os requisitos da autenticação forte e, por isso, permitiu que a maioria dos comerciantes se preparassem para o prazo de 31 de dezembro imposto pela diretiva PSD2 . Para os que ainda não o fizeram ou têm alguma dúvida, é recomendável que entrem em contato com seu fornecedor de serviços de pagamento para saberem se precisam de fazer mais alguma coisa.
Se não estiverem de acordo, os pagamentos dos clientes são recusados?
A Diretiva PSD2 é muito ampla e cobre muitos casos de uso diferentes. Nas Normas Técnicas Regulatórias (RTS) estão descritas todas as isenções e exclusões da norma e, portanto, nem todas as transações de comércio eletrónico precisam de estar em conformidade com a autenticação forte do cliente. Como referi, os comerciantes e os acquirers devem analisar em detalhes as suas estratégias de autenticação e a tipologia das suas transações, para verificarem se podem aplicar alguma isenção ou se estão fora do âmbito do regulamento. Os emissores, por sua vez, devem analisar cada transação para decidirem se é compatível ou não ou se podem aplicar uma isenção para a aceitr. Portanto, há transações sem autenticação forte ou sem qualquer uma exceção do acquirer que poderão ser aprovadas. Caso contrário, recomendamos o uso do conceito da “recusa suave”, que informará o comerciante de que há uma transação que precisa de autenticação forte para ser validada.
No entanto, a palavra final recai sobre as autoridades nacionais em todos os países, responsáveis pelo cumprimento da Diretiva PSD2. Há países em que foram dados sinais de algum grau de flexibilidade na aplicação dos novos requisitos durante as primeiras semanas.
A partir de que valor é que as empresas estão obrigadas a usar a Autenticação Forte do Cliente?
A Autenticação Forte é obrigatória para todos os pagamentos online, independentemente do valor. No entanto, a legislação também prevê uma série de isenções, tais como transações de baixo valor para transações remotas (online) abaixo de € 30 (até 5 vezes consecutivas ou até um montante acumulado de € 100 antes de ser pedido uma nova autenticação forte), ou em função da análise de risco de transação (TRA) que permite não aplicar a autenticação forte até 500 € (dependendo do nível de fraude) e, finalmente, temos a isenção de “beneficiários de confiança” que permitirá aos emitentes aceitar transações sem limitação relativamente ao valor da transação.
