Diante da digitalização dos pagamentos, em especial com a popularização do uso das carteiras digitais, a autenticação forte deixou de ser uma opção para se tornar condição fundamental para que os dados dos usuários sejam mantidos 100% seguros ao realizar uma transação. Afinal, esse tipo de autenticação exige mais de um fator de confirmação, incluindo além de senha, a validação de um ou mais códigos.

Sua adoção é destaque no uso de carteiras digitais em todo o mundo, principalmente, onde a legislação envolvendo serviços de pagamentos tem sido aprimorada, como no caso da União Europeia (UE), onde se aplica a PSD2 (sigla em inglês para Diretiva de Serviços de Pagamento Número 2).

Atualizada em 2018 com a finalidade de fortalecer o mercado financeiro do bloco, essa diretiva contém diversas medidas que vêm servindo de inspiração para vários países. A mais recente delas foca exclusivamente na aplicação da autenticação forte do cliente a carteiras digitais sob a PSD2.

Em comunicado à imprensa, a Autoridade Bancária Europeia (EBA, na sigla em inglês) divulgou um resumo das perguntas e respostas por ela elaboradas a fim de esclarecer de forma abrangente a utilização da autenticação forte dos usuários nessas carteiras. A proposta, explica a EBA, é trazer um entendimento consistente por todas as partes interessadas do mercado financeiro sobre os requisitos aplicáveis.

Em linhas gerais, o comunicado detalha a aplicação da autenticação forte do cliente ao registro de um cartão de pagamento a uma carteira digital e ao início de transações de pagamento com versões digitalizadas desse cartão.

Ao mesmo tempo, também esclarece os requisitos aplicáveis à terceirização da aplicação de autenticação forte do cliente para provedores de carteiras digitais.

Requisitos para adoção da autenticação forte em carteiras digitais

Começando com a inscrição de um cartão de pagamento em uma carteira digital, a EBA explana que esse processo leva à criação de um token/versão digitalizada do referido cartão e requer a aplicação de autenticação forte do cliente nos termos determinados pela PSD2, por se tratar de uma ação que pode implicar risco de fraude ou outros abusos.

Assim, ao adicionar a autenticação forte do usuário, o prestador do serviço de pagamento verifica de forma remota se o utilizador do serviço é proprietário legítimo do cartão e o associa, assim como a versão digitalizada desse cartão, ao respetivo dispositivo.

Ainda de acordo com a autoridade monetária, o emissor do cartão de pagamento é obrigado, juntamente com a aplicação da autenticação forte ao adicionar um cartão de pagamento a uma carteira digital, a se responsabilizar por fornecer os respectivos elementos e ferramentas de autenticação ao cliente.

Ademais, o emissor do cartão também deve garantir que medidas de segurança adequadas sejam implementadas para proteger a confidencialidade e a integridade das credenciais de acesso e de identidade fornecidas pelo usuário.

Já no que se refere à iniciação de transações de pagamento, a EBA informa que a versão digitalizada do cartão também requer a aplicação da autenticação forte do cliente durante esse processo.

Com relação a essa questão, a instituição afirma que o desbloqueio de um smartphone com biometria ou com senha não pode ser considerado um item de autenticação forte do cliente válido para efeito de adição de cartão de pagamento a uma carteira digital. A menos que o mecanismo de bloqueio de tela do dispositivo móvel seja um processo sob o controle do emissor do cartão.

Ademais, a emissão de um novo token, substituindo um já existente, vinculando-o a um dispositivo e usuário também requer a observância da autenticação forte do cliente.

Regulamentação sobre terceirização e pagamentos eletrônicos

Por sua vez, quanto à terceirização da autenticação forte do cliente em pagamentos eletrônicos, a EBA especifica que, em geral, os emissores de cartão podem terceirizar o fornecimento e a verificação dos elementos desse processo, como a um provedor de carteira digital, em conformidade com os requisitos gerais sobre terceirização da PSD2.

Com efeito, isto deve incluir ainda os requisitos das diretrizes da autoridade monetária sobre acordos de terceirização.

No entanto, a EBA explicita que a responsabilidade pelo cumprimento dos requisitos de autenticação forte do cliente não pode ser terceirizada e os emissores permanecem totalmente responsáveis pelo atendimento às normas.

Exemplos de autenticação forte

A autenticação forte pode se dar por meio de dois fatores ou mais, atuando como uma camada extra de proteção para clientes e demais usuários de sites e aplicativos, como é o caso de uma carteira digital.

Atualmente, existem diversas formas de pôr em prática esse tipo de autenticação. Geralmente, as mais usadas são:

• Por SMS: nesse caso, após digitar a senha, o usuário recebe, pelo celular cadastrado, uma mensagem contendo um PIN (sigla em inglês para Número de Identificação Pessoal) ou um token de verificação. Na sequência, o usuário deve informar esse dado para poder acessar a carteira digital ou outro serviço online; e
• Por e-mail: similar à autenticação via SMS, nessa modalidade, o usuário recebe o token ou PIN no e-mail cadastrado no sistema do prestador do serviço.

Juntamente com o SMS e o e-mail, outras maneiras de autenticação forte são a biometria (digital ou facial), assinatura digital, dispositivo USB, autenticador de QR Code e, ainda, um certificado digital.

Veja mais:

Segurança de dados: o que é e como ela impacta a experiência do usuário

O que é gerenciamento de identidade?

Fraudes financeiras seguem como grande desafio para a digitalização

O que é assessment e qual sua contribuição para a segurança da informação

Tecnologia financeira mira segurança à medida que ameaças cibernéticas crescem