PSD3: tudo o que precisa de saber

• A Diretiva dos Serviços de Pagamento 3 (PSD3) é uma versão atualizada da Diretiva Serviços de Pagamento 2 (PSD2) que estabelece regras para aumentar a eficiência e a segurança dos pagamentos digitais e dos serviços financeiros na União Europeia. O objetivo é promover a concorrência e a inovação no setor financeiro.

• A PSD3 define regulamentos mais abrangentes da Autenticação Forte do Cliente (SCA) e regras rigorosas para o acesso aos sistemas de pagamento e às informações das contas.

• A PSD3 protege os direitos dos consumidores e os dados pessoais, enquanto promove a concorrência no setor de pagamentos.

• As novas propostas incluem um novo regulamento sobre serviços de pagamento (PSR) para reforçar a proteção dos consumidores. Este regulamento aplica-se aos Estados-membros da União Europeia.

• Ainda não existe um calendário definido para a implementação da PSD3 e da PSR. Mas geralmente, os Estados-membros têm um período de transição de 18 meses, o que significa que a PSD3 e a PSR poderão entrar em vigor em 2026.

Desde a introdução da anterior Diretiva dos Serviços de Pagamento (PSD), o mercado de serviços de pagamento na UE sofreu alterações significativas. Estas transformações resultam no aumento de pagamentos digitais e na entrada de novos prestadores que oferecem serviços de open banking.

O principal objetivo da Diretiva dos Serviços de Pagamento (PSD2) é garantir condições equitativas entre os atuais e os novos prestadores de serviços de pagamento por cartão, Internet e telemóvel.

Devido à evolução do mercado, foi necessário atualizar as regras e a regulamentação. No dia 28 de junho, a Comissão Europeia apresentou propostas para adaptar os pagamentos e o setor financeiro à era digital. Estas propostas iriam alterar e modernizar a Diretiva dos Serviços de Pagamento (PSD2), que passará a ser a PSD3, e a introduzir um Regulamento de Serviços de Pagamento (PSR).

Este artigo apresenta uma visão geral das propostas da Diretiva dos Serviços de Pagamento 3 (PSD3) da Comissão Europeia, compara-as com a PSD2 e analisa o impacto que poderão vir a ter no setor de pagamentos.

A PSD3 é uma Diretiva da UE que estabelece regras para a autorização e a supervisão dos prestadores de serviços de pagamento (PSP) não bancários na UE. O objetivo da PSD3 é proteger os direitos e os dados pessoais dos consumidores, promovendo simultaneamente a concorrência no setor de pagamentos. Deste modo, os consumidores podem partilhar os seus dados de forma segura e beneficiar de uma maior oferta de produtos e serviços financeiros inovadores. Uma vez que se trata de uma diretiva, as regras da PSD3 têm de ser integradas na legislação nacional dos Estados-membros da UE.

O que é o PSR?

O PSR é um regulamento da União Europeia que se aplica diretamente aos Estados-membros da UE após a sua adoção e entrada em vigor. O PSR será diretamente aplicável sem a necessidade de transposição pelos Estados-membros a nível nacional. Isto contribui para uma aplicação uniforme e coerente em toda a UE. O PSR visa assegurar a proteção dos consumidores, uma área em que a consistência de regras é crucial.

A PSD3 abrangerá um âmbito mais alargado do que a PSD2, tornando-a mais adequada ao panorama atual do setor de pagamentos, dada a aplicação desigual de regras que podem incentivar a arbitragem regulamentar. A diretiva inclui a maioria dos princípios da PSD2, como a transparência, a responsabilidade e o open banking. No entanto, a PSD3 estabelece regulamentos de Autenticação Forte do Cliente (SCA) mais extensos e regras mais rigorosas para o acesso a sistemas de pagamento e a informações sobre contas, em comparação com a PSD2. Estas medidas são fundamentais para salvaguardar as transações de pagamento e combater fraudes nos pagamentos.

Fique a conhecer como a PSD2 e a SCA interagem atualmente.

As alterações relacionadas com a Autenticação Forte do Cliente (SCA), bem como o acesso aos sistemas de pagamento e às informações das contas, irão afetar o setor de pagamentos. Vejamos essas alterações e como farão a diferença.

Autenticação Forte do Cliente

As alterações introduzidas pela PSD3 em relação à SCA garantem experiências de compra mais seguras. Existirão novas regras que abrangem a partilha de dados, a prevenção de fraudes, a autenticação, as transacções e a acessibilidade.

Dados

As empresas terão de partilhar mais dados com os emissores, permitindo monitorizar características ambientais e comportamentais, como a localização do utilizador, o tempo da transação, os dispositivos utilizados, os hábitos de consumo, o histórico de transações, os dados da sessão e o endereço IP do dispositivo. Como consequência, este processo pode aumentar as taxas de aprovação, permitindo identificar com maior precisão as transações que devem ser aprovadas e as que devem ser recusadas.

Os sistemas de pagamento e os prestadores de serviços de pagamento (PSP) serão autorizados a processar dados pessoais para prevenir fraudes, sem o consentimento do utilizador, de acordo com o Regulamento Geral sobre a Proteção de Dados (RGPD). Esta autorização aplica-se apenas quando os dados são utilizados exclusivamente para prevenir fraudes.

Fraude

As novas propostas sugerem uma alteração na responsabilidade em casos de fraude. Os sistemas, os prestadores de serviços técnicos (como os fornecedores de carteiras digitais) e o gateway de pagamentos serão responsabilizados por situações de fraude caso não implementem a AFC. Esta medida protege os prestadores de serviço contra avarias técnicas e incentiva-os a garantir uma elevada qualidade de serviço.

Os emissores também serão responsáveis em casos de fraude de falsificação. Isto acontece quando um fraudador se faz passar por funcionário de um banco para obrigar o utilizador a autenticar o pagamento. Se o prestador agir de forma fraudulenta ou por negligência grave, continuará a ser responsável.

Autenticação

A PSD2 exigia que os fatores SCA pertencessem a duas das seguintes categorias: conhecimento, posse e inerência. Com a PSD3, é possível utilizar duas das mesmas categorias, como um token e um SMS OTP, ou mesmo duas palavras-passe.

A delegação de SCA por emissores a terceiros, como o Apple Pay, é qualificada como outsourcing e tem de cumprir as suas regras para autenticar o titular do cartão. A Adyen antecipou que o outsourcing seria regulamentado e desenvolveu uma solução de autenticação delegada, que permite realizar a autenticação internamente, sem recorrer a terceiros. Desta forma, os emissores podem delegar a SCA diretamente.

Isenções

As transações realizadas pelo retalhista (MIT), como assinaturas, estão agora excluídas da AFC. Apenas a primeira transação requer uma venda separada. As MIT têm o mesmo direito a reembolso incondicional de 8 semanas (“no question asked”) que se aplica aos Débitos Diretos SEPA. 

Da mesma forma, as encomendas realizadas por correio e por telefone baseadas em cartões, também designadas por transações MOTO, não necessitam de ser autenticadas com a Autenticação Forte do Cliente. Esta isenção beneficiará de setores como a indústria de viagens.

Relativamente à tokenização, a AFC é apenas necessária se o titular do cartão iniciar a transação, como por exemplo, durante uma transação de cartão em ficheiro ou quando o titular do cartão regista inicialmente o seu cartão numa carteira digital.

Acessibilidade

As AFC devem ser acessíveis a clientes vulneráveis, como idosos, pessoas com deficiência e consumidores sem conhecimentos digitais, disponibilizando métodos de autenticação que não dependam exclusivamente de smartphones.

Acesso a sistemas de pagamento e informações sobre contas

O PSR irá introduzir alterações no atual quadro de open banking, eliminando obstáculos à prestação de serviços open banking e, em última análise, aumentando o tempo de funcionamento dos serviços bancários e financeiros.

Os serviços de iniciação de pagamentos (PISP) e os prestadores de serviços de informação sobre contas (AISP) serão autorizados a criar interfaces personalizadas que permitam a ligação a bancos e outras instituições financeiras.

Os bancos e as instituições financeiras terão de partilhar mais informações sobre o desempenho das suas API, publicando estatísticas trimestrais sobre a disponibilidade e o desempenho das interfaces, aumentando a transparência. Isto permite oferecer às empresas informações mais precisas sobre os sistemas de pagamento, permitindo-lhes tomar decisões informadas sobre o parceiro adequado para as suas necessidades de processamento de pagamentos.

Em caso de interrupções ou complicações nos serviços bancários, os bancos devem permitir que terceiros (AISP e PISP), utilizem as suas próprias interfaces bancárias. Isto garante processos de pagamento mais eficientes para as empresas digitais e para os seus clientes. De acordo com o direito civil aplicável, as empresas têm o direito de reclamar indemnizações por perdas incorridas.

Os bancos são obrigados a fornecer aos clientes um painel de controlo de autorização. Este painel de controlo permite aos clientes monitorizar e gerir, de forma contínua, as autorizações concedidas aos prestadores de serviços de informação sobre contas (AISP).

As propostas da PSD3 e da PSR garantem que os consumidores podem continuar a efetuar pagamentos e transações digitais na UE de forma segura e protegida, a nível nacional ou entre fronteiras, em euros e noutros países. O objetivo é oferecer uma maior diversidade de prestadores de serviços de pagamento, salvaguardando simultaneamente os clientes. 

Na Adyen, colaboramos com as entidades reguladoras e os sistemas de cartões para garantir a preparação para a PSD3. De momento, não são necessárias ações adicionais. 

Ainda não existe um calendário definido para a implementação da PSD3 e da PSR. O Parlamento Europeu e o Conselho Europeu irão analisar as alterações propostas. As versões finais poderão estar disponíveis no final de 2024. Os Estados-membros têm geralmente um período de transição de 18 meses, o que indica que a PSD3 e a PSR poderão entrar em vigor em 2026. Para mais informações, consulte os documentos oficiais aqui.

Descubra como equilibrar conveniência e segurança através de uma autenticação eficaz aqui.