O que você precisa saber sobre a regulamentação e conformidade da PSD2

No contexto do mercado de pagamentos eletrônicos, as instituições financeiras e os provedores de pagamento têm muito em comum. Mais notavelmente, ambas as partes estão permitindo uma nova onda de transações on-line – e, por sua vez, estão sujeitas a regulamentações rigorosas. Isso é especialmente válido para a Europa, onde a Diretiva de serviços de pagamento da região está elevando o nível da autenticação forte, de operações bancárias abertas e da conformidade.

Continue lendo para entender as noções básicas da conformidade com a PSD2, por que ela é importante e o que você pode fazer para preparar sua organização para o futuro hoje mesmo.

A PSD2 representa a segunda atualização da Diretiva de serviços de pagamento. Embora se aplique especificamente à União Europeia (UE), é amplamente considerada uma regulamentação histórica dos serviços de pagamento com potencial para mudar a forma como os bancos, processadores de pagamentos e empresas semelhantes operam em todo o mundo.

Em 2007, a Comissão Europeia promulgou a Diretiva de serviços de pagamento original por dois motivos principais:

1. Para criar um mercado europeu de pagamentos mais integrado, competitivo e eficiente
2. Para tornar os pagamentos mais seguros e protegidos na era digital

Em outras palavras, a PSD1 pretendia nivelar as condições de concorrência para todos os intervenientes financeiros, incentivando a participação de instituições não tradicionais. Permitiu que novas empresas, como empresas de fintech e terceiros prestadores de serviços de pagamento, entrassem no mercado com mais facilidade. Também unificou as instituições financeiras sob um único marco regulatório, estabelecendo regras comuns para todos.

A PSD1 também proporcionou ao público mais transparência e informação sobre taxas, responsabilidades e direitos do consumidor. E, como ficou mais fácil a entrada de novos prestadores de pagamentos no mercado, o regulamento deu mais liberdade de escolha aos consumidores.

No entanto, com o passar do tempo, a União Europeia reconheceu a necessidade de atualizar e rever a PSD1. Em 2013, frente a mudanças tecnológicas e preocupações crescentes com a segurança, a UE decidiu fazê-lo formalmente. Três anos depois, os estados membros da UE votaram pela aprovação da PSD2, que estava programada para entrar em vigor em 2018. No entanto, certos elementos do regulamento da PSD2 atualizada foram introduzidos gradualmente, dando às instituições financeiras tempo para se adaptarem.

O objetivo principal da PSD2, mais uma vez, foi promover ainda mais a inovação, a concorrência e a segurança em todo o setor europeu de pagamentos.

Quem está sujeito à conformidade com a PSD2?

A PSD2 destina-se a proteger os consumidores em todos os estados membros da UE. Como tal, o seu foco principal está nas instituições financeiras da UE, incluindo processadores de pagamentos, bancos, corretoras, empresas de Fintech e muito mais.

No entanto, as organizações sediadas fora da Europa poderão ainda estar sujeitas aos requisitos de conformidade da PSD2 se tiverem clientes ou usuários na região. Nesse caso, as empresas não têm outra escolha senão cumprir a regulamentação da PSD2 se atualmente operam ou planejam operar na UE.

As instituições que não cumprirem os requisitos da PSD2 podem receber cobrança de multas financeiras de até 4% dos seus rendimentos anuais.

Antes de poder atender aos requisitos da PSD2, primeiro você precisa entender como ela alterou fundamentalmente o setor bancário em toda a União Europeia, principalmente por meio da introdução de “operações bancárias abertas”.

O que são serviços bancários abertos?

As operações bancárias abertas são um processo pelo qual um terceiro provedor de serviços financeiros obtém acesso aberto a serviços bancários de consumo, transações e outros dados de bancos e outras instituições financeiras por meio de interfaces de programação de aplicativos (APIs). Resumindo: é o compartilhamento seguro de informações financeiras entre duas partes. Embora esse conceito já exista há muito tempo, a PSD2 foi pioneira na adoção em toda a Europa.

A introdução das operações bancárias abertas ajudou a PSD2 a cumprir o seu objetivo de aumentar a concorrência, a transparência e a segurança no mercado. Por sua vez, trouxe dois novos tipos de provedores de pagamento regulamentados:

1. Payment Initiation Service Providers (PISPs) permitem o uso de banco digital para fazer pagamentos online. Resumindo, eles permitem que você pague diretamente de sua conta bancária, em vez de usar um cartão de crédito ou débito de terceiros. O termo “payment initiation” refere-se ao processo que os PISPs utilizam para unir duas contas por meio de uma interface que facilita a transação.
2. Account Information Service Providers (AISPs) facilitam a coleta e armazenamento de informações de contas bancárias de um cliente em um único lugar. Isso permite que o consumidor tenha uma visão global de suas finanças e analise facilmente os gastos. Por exemplo, aplicativos de orçamento e sites de comparação de preços podem se enquadrar na categoria de Account Information Service Providers porque armazenam esses dados em um painel de vidro.

De acordo com o regulamento da PSD2, essas duas partes devem solicitar o consentimento do consumidor e são reguladas pelo banco central.

Como a PSD2 impacta as instituições financeiras tradicionais?

Os bancos são agora obrigados a abrir o acesso às contas dos clientes a terceiros fornecedores (TPPs) – AISPs e PISPs – desde que o cliente tenha concedido permissão. Por sua vez, o principal requisito tecnológico para a conformidade com a PSD2 é a criação de APIs abertas, que o TPP necessita para acessar as informações da conta.

Além disso, os consumidores têm mais opções para serviços de pagamento. Agora podem escolher a melhor opção para as suas necessidades, o que significa que os bancos terão de competir mais arduamente pelos seus negócios.

O que é autenticação forte do consumidor?

A Diretiva de serviços de pagamento revisada também introduz o conceito de Autenticação forte do cliente (SCA). De acordo com o requisito de SCA, os consumidores devem usar pelo menos dois tipos de autenticação multifator (MFA) em todos os pagamentos. Esses métodos são organizados em três categorias:

1. Conhecimento: Algo que o cliente já conhece, como uma senha.
2. Inerência: Algo que faz parte do usuário, como impressão digital ou reconhecimento facial.
3. Posse: Algo que o usuário tem ou pode enviar, como um código único.

O requisito de SCA foi concebido para aumentar a proteção do consumidor. Com salvaguardas adicionais entre o usuário e as informações financeiras confidenciais, a autenticação forte torna mais difícil para os contraventores escaparem impunes de fraudes.

Com o objetivo de atualizar mais uma vez a Diretiva de serviços de pagamento para melhoria contínua, a Comissão Europeia decidiu reavaliar o regulamento em 2022. A avaliação concluiu que a PSD2 teve um sucesso limitado no cumprimento dos seus objetivos. Embora a introdução da Autenticação Forte do Consumidor tenha tido um impacto significativo na redução de fraudes, surgiram novos desafios.

Para maior especificidade, aqui está o texto exato relatado pela Comissão Europeia:

“Surgiram novos tipos de fraude para os quais a PSD2 não está equipado. Por exemplo, a PSD3 irá além da PSD2, combatendo novos tipos de fraude como o “spoofing” (fraude de personificação), que esbate a distinção entre transações não autorizadas e autorizadas, uma vez que o consentimento dado pelo cliente para autorizar uma transação está sujeito a técnicas manipulativas por parte de o fraudador, que por exemplo usa o número de telefone ou endereço de e-mail do banco. Mecanismos de prevenção como a SCA têm sido insuficientes para prevenir tais fraudes até agora.”

Para além das preocupações relacionadas com a segurança, a Comissão concluiu também que ainda existem condições de concorrência desiguais entre os prestadores de serviços de pagamento. Assim, com o parecer da Autoridade Bancária Europeia, a Comissão decidiu propor alterações que irão:

• Fortalecer estratégias de prevenção de fraudes
• Permitir aos prestadores de serviços de pagamento não bancários o acesso a todos os sistemas de pagamento da UE
• Melhorar a funcionalidade de operações bancárias abertas
• Melhorar ainda mais a informação e os direitos dos consumidores
• Aumentar a disponibilidade de dinheiro
• Realizar a fusão de marcos jurídicos aplicáveis à moeda eletrônica e aos serviços de pagamento

Ainda não há um cronograma claro para quando os requisitos de conformidade da PSD3 serão finalizados. No entanto, supondo que o regulamento revisto estará concluído até o final de 2024, os estados membros da UE terão um período de transição de 18 meses. Isso sugere que a PSD3 poderá entrar em vigor até o final de 2026.

Independentemente de como isso possa mudar, a conformidade com a PSD ainda é inegociável para instituições financeiras e provedores de pagamento. Sendo assim, é importante tomar as medidas necessárias para preparar a sua organização para o futuro e ficar à frente da curva da PSD3 – especialmente quando se trata de segurança.

A boa notícia? Existem muitas soluções disponíveis para ajudar a superar os requisitos de SCA e oferecer aos consumidores o mais alto nível de garantia possível. Por exemplo, com uma parceira como a Entrust, você pode aproveitar os seguintes recursos:

1. MFA resistente a phishing: Implante uma variedade robusta de estratégias de autenticação, incluindo autenticação progressiva baseada em risco, baseada em certificado e adaptável. Em combinação com o logon único (SSO), os usuários obtêm acesso contínuo, mas seguro, aos serviços de pagamento, sem perder o ritmo. Além disso, o SSO evita o cansaço e a reutilização de senhas para que você (e seus consumidores) permaneçam protegidos.
2. Certificados digitais: Os Certificados de autenticação de site qualificado (QWACs) criptografam dados confidenciais e identificam provedores de serviços de pagamento e instituições financeiras em conformidade com a PSD2. Os QWACs da Entrust apresentam reemissões e licenças de servidor ilimitadas, permitindo reemitir e instalar certificados sem custo adicional.
3. Análise de risco de transações: O monitoramento de transações e a análise de risco levam em consideração a reputação do dispositivo, a autenticação adaptável e a conformidade com 3DS para transações sem cartão.
4. Comprovação de identificação: Verifique identidades instantaneamente para melhorar a experiência do cliente e reduzir as taxas de abandono. A solução de comprovação de identificação da Entrust é compatível com milhares de documentos emitidos pelo governo e múltiplas camadas de segurança avançada.
5. Módulos de segurança de hardware (HSMs): Os HSMs nShield® da Entrust geram e armazenam chaves de assinatura e codificação e facilitam suas operações criptográficas a partir de um dispositivo certificado e seguro para que você possa emitir certificados e criptografar dados sabendo que está protegido por uma forte raiz de confiança.

O regulamento da PSD2 é tão importante quanto difícil de implementar. Entretanto, com a gama de soluções de PSD2 e de operações bancárias abertas da Entrust, é possível facilitar a conformidade e satisfazer seus requisitos em grande escala.

Com MFA, comprovação de identificação, certificados digitais e HSMs, estamos à disposição para ajudá-lo a oferecer aos clientes a máxima garantia.