Embed Size (px)
Citation preview
Directiva n.º 2007/64/CE, do Parlamento Europeu e
do Conselho, de 13 de Novembro, relativa aos
serviços de pagamento no mercado interno, que
altera as Directivas97/7/CE, 2002/65/CE,
2005/60/CE e 2006/48/CE e revoga a Directiva
97/5/CE
Directiva n.º 2009/110/CE, 16 de Setembro, relativa ao acesso à atividade das
instituições de moeda electrónica, ao seu
exercício e à sua supervisão prudencial
Regime jurídico dos serviços de pagamento e
da moeda electrónica, Anexo I do Decreto-Lei n.º
317/2009, de 30 de Outubro (RSP)
Decreto-Lei n.º 242/2012, de 7 de Novembro
(alterou o Decreto-Lei n.º 317/2009, de 30 de
Outubro)
Directiva (UE) 2015/2366 do Parlamento Europeu e
do Conselho de 25 de Novembro de 2015
relativa aos serviços de pagamento no mercado
interno, que altera as Directivas 2002/65/CE,
2009/110/CE e 2013/36/CE e o
Regulamento (UE) n.º 1093/2010, e que revoga a Directiva 2007/64/CE (DSP
II)
(Prazo-limite para a transposição da directiva:
13 de Janeiro de 2018)
Special Eurobarometer464a (Setembro/2017)“Europeans’ attitudes towards cyber security”http://ec.europa.eu/commfrontoffice/publicopinion
Alterações decorrentes da DSP II
Âmbito objectivo e subjectivo de aplicação do diploma
Requisitos de autenticação
Alteração das regras do risco em função da autenticação exigida
1. Âmbito de aplicação objectivo e subjectivo
RSPRegula “o acesso à atividade das instituições de pagamento e a prestação de serviços de pagamento, bem como o acesso à atividade das instituições de moeda eletrónica e a prestação de serviços de emissão de moeda eletrónica” (art. 1.º)
Definição de serviços de
pagamento: art. 4.º (não inclui os serviços de iniciação de pagamento)
DSP IIAplica -se aos serviços de pagamentoprestados na União (mantém a noção)
Inclui os “serviços de iniciação de pagamento” (anexo I, n.º 7, da DSP II): “um serviço que inicia uma ordemde pagamento a pedido do utilizadordo serviço de pagamentorelativamente a uma conta de pagamento detida noutro prestadorde serviços de pagamento” (4º/15)
v. considerando 27 ss.: “pontetelemática” entre o sítio web do comerciante e a plataforma bancáriaem linha
Prestadores de serviços de iniciação de pagamento
“Os serviços de iniciação de pagamentos permitem que o prestador do serviço de iniciaçao do pagamento assegure aobeneficiario que o pagamento foi iniciado, a fim de incentivaro beneficiário a disponibilizar o bem ou a prestar o serviçosem demora indevida. Esses serviços oferecem uma soluçaopouco onerosa tanto aos comerciantes como aosconsumidores e dão aos consumidores uma possibilidade de efetuarem compras em linha, mesmo que não disponham de cartoes de pagamento” (considerando 29).
“Quando prestar exclusivamente serviços de iniciação de pagamentos, o prestador do serviço de iniciação do pagamento não detém fundos do utilizador em nenhuma faseda cadeia de pagamentos” (considerando 31).
Deveres do prestador de serviços de iniciação de pagamento
Prestação de informaçoes prévias, nomeadamente de identificação (art. 45.º/2)
Informaçoes a prestar após a iniciação da operação de pagamento (art. 46.º)
art . 66.º: Não armazenar dados de pagamento sensíveis do utilizador de serviços de pagamento;
Não exigir ao utilizador de serviços de pagamento quaisqueroutros dados além dos necessários para prestar o serviço de iniciação do pagamento;
Não utilizar nem armazenar dados nem aceder aos mesmos paraoutros fins que não sejam a prestação do serviço de iniciação do pagamento expressamente solicitado pelo ordenante;
Não alterar o montante, o ordenante nem qualquer outro elemento da operação.
Operações não autorizadas
Extensão das regras relativas ao ónus da prova aplicáveis aosprestadores de serviços de pagamento (art. 72.º)
“Caso a operação de pagamento seja iniciada através de um prestador do serviço de iniciação do pagamento, o prestadorde serviços de pagamento que gere a conta reembolsaimediatamente e, em todo o caso, o mais tardar até ao final do primeiro dia util seguinte, o montante da operação de pagamento não autorizada (…)”;
“Se o prestador do serviço de iniciação de pagamento for responsável pela operação de pagamento não autorizada, indemniza imediatamente o prestador de serviços de pagamento que gere a conta” (art. 73.º/2).
2. Autenticação forte
Introduz o conceito de autenticação forte do cliente: “uma autenticação baseada na utilizaçãode dois ou mais elementos pertencentes àscategorias conhecimento (algo que só o utilizadorconhece), posse (algo que só o utilizador possui) e inerência (algo que o utilizador é), os quais sãoindependentes, na medida em que a violação de um deles não compromete a fiabilidade dos outros, e que é concebida de modo a proteger a confidencialidade dos dados de autenticação” (art. 4.º/30 DSP II).
“algo quesó o
utilizadorconhece”
CONHECIMENTO
“algo quesó o
utilizadorpossui”
POSSE
“algo queo
utilizadoré”
INERÊNCIA
Autenticação forte (art. 97.º)
Exige -se autenticação forte quando o utilizador:
— Aceda em linha a sua conta de pagamento;
— Realize uma ação, através de um canal remoto, que possaenvolver um risco de fraude no pagamento ou outros abusos;
— Inicie uma operação de pagamento eletrónico*;
*Em caso de operaçoes de pagamento eletrónico remotas, osprestadores de serviços de pagamento devem aplicar umaautenticação forte do cliente que inclua elementos queassociem de forma dinamica a operaçao a um montanteespecifico e a um beneficiario especifico.
Operações não autorizadas: distribuiçãodo risco
“Caso o prestador de serviços de pagamento do ordenante não exija a autenticação forte do cliente, o ordenante só suporta as eventuais perdasfinanceiras se tiver atuado fraudulentamente” (art. 74.º/2 DSP II).
As demais regras de distribuição do risco aplicar-se-ão nos casos em que houver autenticação forte do utilizador e este suportará prejuízos apenas até 50€ caso não tenha actuado com negligência grave oucom dolo
Normas técnicas de regulamentação sobreautenticação e comunicação (art. 98.º/4)
Regulamento Delegado (UE) 2018/389 da Comissão quecomplementa a Diretiva (UE) 2015/2366 do ParlamentoEuropeu e do Conselho no que respeita as normastécnicas de regulamentação relativas a autenticaçãoforte do cliente e as normas abertas de comunicaçãocomuns e seguras, de 27.11.2017 [C(2017) 7782], JO L 69, 13.03.2018
[V. EBA (European Banking Authority), Final Report on Draft RTS on SCA and CSC, de 23 de Fevereiro de 2017]
Estabelece os requisitos de autenticação forte (art. 97.º) bem como as excepçoes a sua exigência, com base noscritérios do n.º 3 do art. 98.º DSP II
Regulamento Delegado (UE) 2018/389 da Comissão que complementa DSP II
Os prestadores de serviços de pagamento devem disporde mecanismos de controlo das operaçoes que lhespermitam detetar operaçoes de pagamentofraudulentas ou não autorizadas, com base:
Em listas de elementos de autenticação que foramobjeto de utilização fraudulenta ou furto;
No montante de cada operação de pagamento;
Cen ários de fraude conhecidos no contexto da prestaçãode serviços de pagamento;
Sinais de infeção por software maligno (malware) emsessoes do procedimento de autenticação (art. 2.º)
Regulamento Delegado (UE) 2018/389 da Comissão que complementa DSP II
Art. 4.º: A autenticação forte deve basear-se em dois ou maiselementos pertencentes as categorias de conhecimento, posse e inerência e resultar na geração de um código de autenticação.
O código de autenticação só deve ser aceite uma vez peloprestador de serviços de pagamento
Os elementos de autenticação forte não podem ser obtidosatravés do código
Não é possível gerar um código a partir de outro
O código de autenticação não pode ser falsificado
Máximo de 5 tentativas falhadas
Máximo de inactividade depois da autenticação: 5 minutos
Regulamento Delegado (UE) 2018/389 da Comissão que complementa DSP II
Opera çoes de pagamento eletrónico remotas (art. 5.º):
O código de autenticação gerado deve ser específico do montante da operação de pagamento e do beneficiárioaceite pelo ordenante ao iniciar a operação;
O código de autenticação aceite pelo prestador de serviços de pagamento deve corresponder ao montanteespecífico inicial da operação de pagamento e aidentidade do beneficiário aceite pelo ordenante;
Qualquer alteração do montante ou do beneficiárioresulta na invalidação do código de autenticação gerado.
Isenções: arts. 10.º ss.
Consulta de saldos e de operaçoes realizadas nos 90 dias anteriores
Pagamentos Contactless até 50€ (até a um máximo de 150€ e 5 pagamentos)
Tarifas de transporte e de estacionamento
Beneficiários certificados
Operaçoes recorrentes (para o mesmo beneficiário e do mesmomontante)
Transferências entre contas do beneficiário
Pagamentos de pequeno valor (30€) (até a um máximo de 100€ ou 5 pagamentos)
Pagamentos de baixo nível de risco (tendo em conta os mecanismos de monitorização)
Pagamentos entre empresas realizados através de protocolos seguros
