Se tem um negócio, seja físico ou online, tem ouvido falar da PSD2 e da forma como esta diretiva pode afetar o seu negócio. Mas será que é percetível em que medida esta diretiva irá alterar o seu dia a dia?
PSD2 – o que é?
PSD2 significa Payment Services Directive 2 (Diretiva dos Serviços de Pagamentos) e é uma diretiva da União Europeia, que visa contribuir para a criação de um mercado único de serviços de pagamento na Europa mais integrado, seguro, eficiente, inovador e transparente.
Quais são os principais benefícios desta diretiva?
A PSD2 traz mais segurança para todas as partes envolvidas, dos consumidores às empresas, incluindo prestadores de serviços de pagamento, obrigando à adoção de mecanismos de autenticação para a realização de operações de pagamento e para o acesso à informação das suas contas (através do homebanking, mobile banking ou outras aplicações).
Estes mecanismos de autenticação baseiam-se em dois elementos distintos, que podem ser:
- Cartão de pagamento + PIN
- Cartão contacless + PIN
- Username ou password + Código recebido por SMS
- Notificação para app no telemóvel com PIN ou impressão digital
Esta autenticação é denominada de Autenticação Forte ou SCA – Strong Customer Authentication.
Deste modo, a PSD2 confere mais segurança, uniformização e transparência a todo o ecossistema de pagamentos, bem como oferece novas funcionalidades e serviços em torno dos mesmos.
O que mudará com a PSD2?
No ponto de vista das empresas, as mudanças serão poucas face ao que já existe hoje, uma vez que a oferta disponibilizada pela REDUNIQ cumpre todos os requisitos da nova diretiva.
As alterações mais significativas serão da responsabilidade das entidades financeiras que emitem os cartões de pagamento, como os bancos, por exemplo.
No que diz respeito às transações presenciais, eis as principais alterações levadas a cabo pela nova diretiva:
- Se permite efetuar transações presenciais já está habituado a que os clientes realizem os seus pagamentos com cartão + código PIN. Neste aspeto, uma das alterações que a PSD2 traz diz respeito à banda magnética do cartão do cliente. Em situações relacionadas com problemas de leitura do chip é normal recorrer à banda magnética. Em breve, mesmo que associada ao código do cliente, a utilização da banda magnética deixará de ser permitida para cartões europeus.
- Se disponibiliza a funcionalidade de pagamentos contactless aos seus clientes, apesar da diretiva prever algumas alterações, habitualmente manter-se-á o valor de 20€ para a realização de transações sem introdução do código do utilizador no terminal. Esta forma de pagamento é segura, pois cumpre todos os critérios de segurança dos sistemas de pagamento internacionais e atuam sobre o método tradicional de Chip & Pin.
Em relação às transações não presenciais (e-commerce, call-center, etc.), as mudanças que se farão sentir são as seguintes:
- Se possui uma loja integrada com as soluções REDUNIQ E-commerce ou se solicita aos seus clientes o pagamento por e-mail com o @Payments, não terá de se preocupar. Estas soluções já dão a possibilidade às entidades que emitem os cartões de pagamento efetuarem a autenticação forte dos seus clientes (protocolo 3D Secure).
- Se tem uma central de vendas ou um call-center, em que recebe os dados do cartão de pagamento dos seus clientes por escrito ou por telefone (MO/TO – mail order / telephone order), desde que garanta a certificação PCI dos seus sistemas e tenha implementado mecanismos de identificação e de proteção dos dados que recebe, também não terá de efetuar qualquer alteração.
Quando os clientes não estão tecnicamente presentes no momento da transação (presencialmente numa sessão de internet), a diretiva prevê que possa não ser possível a entidade emissora autenticar o seu cliente. Seguindo os procedimentos adequados para a solução REDUNIQ MO/TO, as transações estarão isentas dos mecanismos de autenticação forte.
- Se recorre às funcionalidades da solução REDUNIQ MO/TO de introdução dos dados de pagamento do seu cliente recebidos por escrito ou por telefone, através da interface web que a REDUNIQ lhe disponibiliza, e que assegura os procedimentos adequados para a proteção dos dados, também não terá de se preocupar. Essas transações estão também abrangidas pelos mecanismos de isenção previstos na diretiva.
- Se recebe dados dos seus clientes através de centrais de reservas, deverá seguir todos os procedimentos de proteção da informação e efetuar as transações através da solução REDUNIQ MO/TO ou através do terminal físico (key-enter). Se recorrer ao terminal físico deve assegurar que classifica a origem dos dados como “eletrónico”. Estas situações são frequentes, por exemplo, em casos de não comparência (no-show) de um cliente após uma reserva. Nestas situações a diretiva prevê que as transações estarão isentas dos mecanismos de autenticação forte.
Mas se muda pouco, porquê todo este ruído?
As principais alterações resultantes da diretiva no que respeita aos pagamentos com cartão, prendem-se com a obrigatoriedade da autenticação baseada em 2 fatores (SCA).
Embora nas lojas a generalidade das operações já é efetuada de acordo com este requisito (quando efetuadas com o cartão com chip+PIN), uma vez que desde 2015 é obrigatória a SCA para a realização de compras online, todos os negócios devem agora adotar os procedimentos que permitem às entidades que emitem os cartões autenticarem os seus clientes.
Este procedimento é baseado num protocolo reconhecido internacionalmente pela Visa, Mastercard e outras marcas internacionais, chamado 3D Secure. Este protocolo prevê que depois de o cliente introduzir os dados do seu cartão na loja online do comerciante, a entidade que emitiu o cartão o consiga autenticar.
Todas estas evoluções visam diminuir o número de situações em que é solicitada a autenticação do cliente, sem que exista um aumento sensível do nível de risco de fraude.