Share the post "Faz compras online? Saiba o que muda nos pagamentos com cartão"
Até ao final do ano, os pagamentos online com cartão vão passar a ter novas regras. Em causa está a aplicação da diretiva de pagamentos europeia (PSD2, na sigla inglesa) que obriga à implementação de requisitos de segurança acrescidos para este tipo de transações.
A partir de 2021, para usar um cartão nas suas compras online vai ser necessária uma “autenticação forte”, que depende de informação que só o próprio pode conhecer (como uma palavra-passe), possuir (como o telemóvel) ou que lhe seja inerente (por exemplo, uma impressão digital).
Os dados impressos nos cartões de crédito, como o número do cartão, a data de validade ou o código CVV/CVC, deixam assim de ser considerados como válidos para concluir as compras na internet porque “poderão ser apropriados por terceiros”, conforme se lê no mais recente relatório dos Sistemas de Pagamentos, publicado pelo Banco de Portugal.
A autenticação forte, que já é exigida desde setembro de 2019 aos restantes serviços de pagamento, foi apenas uma das novidades trazidas pela PSD2. Mas as mudanças não se ficaram por aqui e já se fazem sentir em muitos aspetos da vida dos consumidores.
O que é a diretiva PSD2?
Primeiro, o nome: PSD é a sigla para a designação inglesa de “Payment Services Directive”, em português Diretiva de Serviços de Pagamento, que também dá pela sigla de DSP.
A PSD é uma diretiva europeia, ou seja, uma lei de âmbito europeu que determina regras fundamentais de segurança a aplicar às transações online.
De uma forma simples, esta diretiva veio definir os limites do acesso à informação, determinando o que é que as empresas que fornecem serviços de pagamentos podem saber sobre si. Do ponto de vista prático, a PSD veio limitar os dados que plataformas como o Paypal, o MBWay ou até o seu banco conhecem a seu respeito.
Quando falamos em PSD2 falamos numa revisão à diretiva original. Esta revisão é mais recente (a diretiva já remonta ao ano de 2012), e começou a ser implementada no ano passado. Em Portugal, a PSD2 só foi juridicamente enquadrada no final de 2018, estando as normas novas a ser implementadas agora.
O principal objetivo da PSD2 é aumentar os níveis de segurança dos pagamentos online e proteger a privacidade dos cidadãos europeus. Por ser uma lei europeia, também procura uniformizar as regras entre os países da União e igualar as condições das empresas de serviços de pagamento que atuam no mercado.
Que novidades trouxe a DSP2?
A autenticação forte
Desde 14 de setembro de 2019, que os prestadores de serviços de pagamento passaram a estar obrigados a uma autenticação forte dos seus clientes, de acordo com as regras decorrentes da DSP2 .
Esta autenticação deve ter, no mínimo, dois de três elementos ligados ao utilizador, ou seja, uma informação que só o próprio sabe (como um código pessoal), algo que possui (como um telemóvel ou outro dispositivo), ou um elemento que lhe seja inerente e confirme a sua identidade (como uma impressão digital).
O grau de autenticação forte passou a ser exigido sempre que o utilizador aceda a uma conta de pagamento através da internet (por exemplo, pelo homebanking); inicie uma operação de pagamento eletrónico (presencial ou remota); ou realize uma ação, através de um canal remoto, que possa envolver risco de fraude no pagamento ou outros abusos.
As mesmas regras de segurança terão agora de ser aplicadas nas compras online com cartão, depois de os prestadores de serviços de pagamentos terem argumentado em setembro que não estavam preparados para implementar a “autenticação forte”.
Tendo em conta o período transitório concedido pela Autoridade Bancária Europeia (EBA), essa adaptação terá de estar concluída até 31 de dezembro de 2020.
Há contudo prestadores de serviços de pagamento que podem optar por não aplicar mecanismos de autenticação forte em determinadas situações, por exemplo, quando efetuamos uma transferência para uma lista de beneficiários pré-definida ou quando passamos com o carro na “Via Verde”.
Nestas situações, no entanto, os prestadores de serviços de pagamento assumem a responsabilidade caso a operação seja indevidamente executada. A menos que o utilizador tenha atuado de modo fraudulento.
Dois novos serviços de pagamentos
Além dos serviços de pagamentos que já conhecemos, a DSP2 veio introduzir dois novos: o serviço de informação sobre contas e o serviço de iniciação de pagamentos.
O serviço de informação de contas
Com as novas regras da diretiva europeia para os pagamentos de serviços, os cidadãos europeus passam a poder agregar, numa única plataforma ou site, toda a sua informação bancária.
O objetivo é que cada consumidor tenha uma visão global e esclarecedora sobre a sua situação bancária, património e despesas, independentemente do país ou do banco onde tem o dinheiro domiciliado.
O serviço de iniciação de pagamentos
Com este serviço nasce o papel dos intermediários nas compras online. Estes intermediários atuam quando, ao fazer uma compra na internet, o consumidor não pede diretamente ao banco que faça o pagamento, mas antes a uma terceira entidade que resolve o processo por si.
De notar que, além de reconhecer este serviço, a DSP2 também limita o acesso que estas terceiras entidades têm à sua conta e à sua informação pessoal.
Repartição de responsabilidades no processamento de operações não autorizadas
Para lá dos novos serviços propostos, a DSP2 também diminui o valor total a suportar pelos consumidores perante a execução de operações de pagamento não autorizadas.
Se até aqui fosse realizada na sua conta uma operação de pagamento não autorizada, como por exemplo uma compra, o montante máximo que poderia ter de suportar era de 150€.
Agora, por força das novas regras de segurança que responsabilizam mais as entidades que prestam serviços de pagamentos, se uma operação for efetuada sem autorização, o valor que terá de suportar não vai passar dos 50€ (exceto em casos de fraude ou negligência grosseira).
Além disso, não lhe pode ser atribuída qualquer responsabilidade por operações online não autorizadas, nos casos em que o prestador de serviços de pagamento não exija procedimentos de autenticação forte (a menos que o utilizador aja fraudulentamente).
O dever de informação
O texto da DSP2 também estabelece informações de fornecimento obrigatório, ou seja, há dados que as empresas fornecedoras de serviços de pagamento têm de lhe dar sempre que fizer uma operação online.
O que acontece com pagamentos para fora da União Europeia?
Uma das mudanças que a revisão da DSP2 trouxe é o alargamento do âmbito das regras de segurança a operações que envolvam países de fora da União Europeia.
É certo que as leis europeias não podem ser impostas a empresas que atuam noutros mercados, mas também é verdade que, quando faz uma compra online (mesmo que seja fora do espaço europeu), o seu banco português, ou outro prestador de serviços de pagamento, tem de estar envolvido para autorizar o pagamento.
Assim, o que a nova diretiva diz é que o seu banco tem sempre a obrigação de informá-lo sobre os custos e características da operação, mesmo que o outro banco não o faça por não ter essa obrigação.