A Diretiva 2015/2366, do Parlamento Europeu e do Conselho de 25 de novembro, relativa aos serviços de pagamento no mercado interno (Diretiva de Serviços de Pagamento Revista – DSP2), recentemente transposta para o ordenamento jurídico nacional pelo Decreto-Lei n.º 91/2018, de 12 de novembro, veio estabelecer o novo Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica. Em termos de aplicabilidade, enquanto a antiga Diretiva (DSP1) se cingia apenas aos pagamentos dentro da União Europeia, a nova estendeu o seu âmbito além-fronteiras, nomeadamente no que respeita às disposições relativas a transparência e deveres de informação, a cargo dos prestadores de serviços para com os seus clientes. Com a elaboração desta nova Diretiva Europeia pretende-se fomentar um mercado de pagamentos mais inovador, eficiente, integrado, competitivo e seguro, influenciando não só na forma como os prestadores de pagamento (ou de iniciação de pagamento) disponibilizam os seus serviços, mas também o modo como todos os utilizadores, quer sejam particulares, empresas ou serviços públicos efetuam os seus pagamentos no dia-a-dia.
O Decreto-Lei 91/2018 introduziu um conjunto de alterações no panorama da transacionalidade do sistema financeiro português, sendo de destacar os 4 pontos seguintes:
-
Aplicabilidade a mais modalidades de operações de pagamento;
-
Criação e regulação de novos tipos de serviços de pagamento;
-
Definição de um conjunto de requisitos de segurança a respeitar na execução de operações de pagamento;
-
Imposição de maiores responsabilidades na execução de operações de pagamento não autorizadas aos prestadores de serviços de pagamento.
Sob o ponto de vista de segurança e do combate à fraude, e no que diz respeito aos dois últimos pontos, são criados novos mecanismos com a nova diretiva de pagamentos – transposta em 2018 para o ordenamento jurídico nacional — nomeadamente:
-
O acesso à conta, a iniciação e a execução de pagamentos através de um canal remoto fica sujeito a requisitos de segurança reforçados para verificar a identidade do utilizador e a legitimidade das operações, obrigando os prestadores de serviços de pagamento a autenticar os seus clientes com o recurso, no mínimo, a dois instrumentos pertencentes às seguintes categorias:
-
Conhecimento – algo que apenas o utilizador conhece, por exemplo uma palavra-passe estática;
-
Posse – algo que apenas o utilizador possui, por exemplo, um dispositivo de autenticação (token) ou um telemóvel;
-
Inerência – alguma caraterística específica ao utilizador, por exemplo, um elemento biométrico.
Adicionalmente, para as operações remotas (por exemplo, via internet), o mecanismo de autenticação passa a associar, de forma dinâmica a operação ao montante e ao beneficiário específico (por exemplo, um código gerado e enviado para o telemóvel). Existe também a possibilidade de os prestadores de serviços de pagamento não aplicarem os mecanismos de autenticação reforçada em algumas e determinadas situações, onde é considerado como baixo o risco envolvido em função do montante, frequência e canal pelo qual é executada a operação. A título de exemplo, será possível realizar uma transferência para uma lista de beneficiários que esteja pré-definida, efetuar pagamentos em portagens e parques de estacionamento, ou ainda a pagamentos abaixo de 30 euros que respeitem determinadas condições. Contudo, nesta modalidade, os prestadores de serviços de pagamento passam a assumir o ónus caso a operação seja indevidamente executada, excetuando no caso em que seja provado que o utilizador atuou de forma fraudulenta.
-
As responsabilidades passam a estar repartidas quando são efetuadas operações não autorizadas, reforçando assim a salvaguarda do utilizador de serviços de pagamento face à regulamentação anterior, excetuando, mais uma vez, os casos de fraude, mas também os de negligência grosseira. Neste âmbito, diminui o montante máximo que será suportado pelo utilizador numa operação de pagamento não autorizada (de 150 euros para 50 euros), mas passa também a existir uma desresponsabilização sobre os utilizadores nas situações em que o prestador de serviços de pagamento não exige procedimentos de autenticação reforçado em toda e qualquer operação online, pois aumenta necessariamente o risco de fraude. Não obstante, sempre que utilizadores dos serviços de pagamento detetarem operações de pagamento não autorizadas, ou incorretamente executadas, deverão informar o mais rapidamente possível o seu prestador de serviços, pois só assim poderão estar a salvo de suportar quaisquer perdas adicionais resultantes da utilização não autorizada desse instrumento.
Devido, por um lado, aos requisitos de segurança reforçados, e por outro, às responsabilidades repartidas nas operações não autorizadas, alguns dos meios de pagamentos mais populares vão deixar de existir ou de funcionar nos termos habituais. Exemplo disso são as Cadernetas Bancárias, com as quais deixam de se poder fazer, desde 14 de setembro de 2019, levantamentos ou pagamentos, uma vez que a banda magnética existente não cumpre as regras de segurança agora exigidas (podem continuar a ser utilizadas apenas para atualização de movimentos e consulta de saldos). No que diz respeito aos cartões de débito e de crédito, não existem grandes alterações, uma vez que a esmagadora maioria já possui um elemento de segurança adicional. Contudo, os cartões que apenas têm banda magnética (por exemplo, cartões de refeição) vão ser substituídos, apesar de não estar prevista qualquer limitação quanto à sua utilização. No que diz respeito aos comerciantes e prestadores de servições na UE, deixarão de aceitar os pagamentos com número do cartão impresso (data de validade e código CVV/CVC), assim como irá desaparecer o denominado Cartão Matriz que é utilizado por algumas instituições como instrumento de autenticação dos seus clientes, sendo substituídos por outros meios mais seguros referidos anteriormente para combater a fraude.
Por último, sob o ponto de vista da segurança e combate à fraude, a nova diretiva comunitária levanta algumas dúvidas relativamente à proteção e utilização dos dados pessoais, pois a prestação de serviços de informação, acesso, iniciação e execução de pagamento poderá implicar o tratamento de dados dos utilizadores. Porém, para além do facto desse tratamento de dados pessoais ser obrigatoriamente enquadrado nos termos do Regulamento Geral da Proteção de Dados, os prestadores de serviços de pagamento apenas podem aceder aos dados estritamente necessários para a prestação do serviço e só os podem tratar e conservar com o consentimento explícito do utilizador. A exceção à regra pode suceder quando for indispensável o tratamento de dados pessoais pelos sistemas de pagamentos e pelos prestadores de serviços de pagamento para garantir a prevenção, a investigação e a deteção de fraudes.