Usa o homebanking ou a app do seu banco? Saiba o que muda (já amanhã)

13 Set 2019 · Notícias 11 Comentários

É já amanhã que entra em vigor em Portugal a nova diretiva europeia sobre serviços de pagamentos. No Pplware já apresentamos algumas das mudanças que vão acontecer já a partir de amanha e o Banco de Portugal partilhou agora um conjunto de informações importantes.

Usa o homebanking ou a app do seu banco? O acesso às contas e os pagamentos online terão novas regras, a pensar na sua segurança.

É já amanhã, 14 de setembro de 2019, que entram em vigor em Portugal e nos outros países da União Europeia novas regras nos serviços de pagamento online, a pensar na sua segurança. De acordo com o Banco de Portugal, a partir de agora, os bancos e demais prestadores de serviços de pagamento na União Europeia, estão obrigados a proceder à “autenticação forte”.

O que é a autenticação forte?

A “autenticação forte” é um procedimento realizado pelo seu banco/prestador de serviços de pagamento com o objetivo de validar a sua identificação e a legitimidade da sua utilização do serviço de pagamento, com segurança acrescida.

Afinal o que muda no homebanking com as novas regras?

Na “autenticação forte”, os bancos/prestadores de serviços de pagamento solicitam aos utilizadores, pelo menos, dois elementos das seguintes categorias:

Conhecimento – algo que só o utilizador conhece (por exemplo, uma palavra-passe);
Posse – algo que só o utilizador possui (por exemplo, o telemóvel para o qual é enviado um código por SMS);
Inerência – algo que só o utilizador é, validada através de um atributo que o identifique (por exemplo, uma impressão digital).

Os dois elementos solicitados devem pertencer a categorias de segurança diferentes.

Cada banco/prestador de serviços de pagamento poderá escolher os elementos de autenticação forte a solicitar aos seus clientes, desde que verificadas estas condições.

Nas operações de pagamento remotas, como, por exemplo, nas compras online, o seu banco/prestador de serviços de pagamento terá de incluir um elemento na autenticação que esteja associado à operação específica que pretende efetuar. Este elemento traduz-se, muitas vezes, no envio de uma SMS para o seu telemóvel. Por isso, mantenha o telemóvel junto de si ao efetuar pagamentos na internet.

Alguns dos procedimentos de autenticação utilizados hoje em dia já são compatíveis com a autenticação forte do cliente. Por exemplo:

a utilização de uma palavra-passe (elemento de conhecimento) conjuntamente com uma mensagem enviada para o telemóvel com um código (elemento de posse);
o uso de identificação facial ou de uma impressão digital (elemento de inerência) numa aplicação instalada no telemóvel associado ao utilizador (elemento de posse);
o PIN do cartão de pagamento (elemento de conhecimento) e o próprio cartão (elemento de posse) quando se realiza um pagamento presencial.

O que os clientes têm de fazer?

Sempre que o banco/prestador de serviços de pagamento a solicitar, a “autenticação forte” é obrigatória para concretizar a operação. Por isso:

Informe-se junto do seu banco/prestador de serviços de pagamento sobre quais os procedimentos a adotar para continuar a fazer as suas operações de pagamento eletrónicas sem complicações.
Mantenha sempre atualizados a informação e os dados de contacto que forneceu ao seu banco/prestador de serviços de pagamento.
Leia sempre com atenção a informação que o seu banco/prestador de serviços de pagamento lhe enviar para autorizar a operação que pretende realizar. Geralmente, os dados do pagamento são apresentados na página de confirmação da operação e, caso o procedimento de “autenticação forte” inclua o envio de uma SMS, constarão também da SMS que o banco/prestador de serviços de pagamento envia para o número de telemóvel que forneceu como contacto.
Seja consciencioso na divulgação de informação pessoal ou confidencial (por exemplo, palavras-passe, dados de documentos de identificação pessoal ou dados do cartão de pagamento). Evite fazê-lo a menos que tal seja imprescindível para a realização do pagamento e sempre em sites que lhe ofereçam segurança. Desconfie de solicitações de dados pessoais ou de natureza fora do comum, ainda que provenientes de uma entidade aparentemente confiável. Em caso de dúvida, peça sempre esclarecimentos ao seu prestador de serviços de pagamento, utilizando, para o efeito, os respetivos contactos oficiais.

O Banco de Portugal disponibiliza aqui um guia simples para obter mais informação sobre autenticação forte do cliente.

Leia também...

Usa a banda magnética para pagamentos com o seu cartão? Vai deixar de servir

Este artigo tem mais de um ano

Acompanhe o Pplware no Google Notícias

Propor Revisão Proponha uma correção, faça uma sugestão

Autor: Pedro Pinto

Tags: banco homebanking

Comentários11

Jota says:

13 de Setembro de 2019 às 12:35

Acho muito bem! Esta é uma matéria demasiado sensível para ter apenas um fator de autenticação!

Responder
- Pintor says:
  
  13 de Setembro de 2019 às 12:47
  
  Normalmente tens 3, Password, Cartão matriz e ainda sms para o telemóvel.
  Se utilizares diariamente até achas que são de mais
  
  Responder
  - Tuaregue says:
    
    13 de Setembro de 2019 às 14:24
    
    Ne todos os bancos usam cartão matriz.
    
    Responder
Tuaregue says:

13 de Setembro de 2019 às 12:48

“código por SMS”?? A sério?

https://www.banfico.com/sms-otp-psd2-sca-compliant-or-not/
https://www.zdnet.com/article/german-banks-are-moving-away-from-sms-one-time-passcodes/

De nada.

Responder
- Woot! says:
  
  13 de Setembro de 2019 às 14:54
  
  Até poderiam implementar o Google Authenticator não teriam assim tanto trabalho.
  
  Responder
  - Joao Ptt says:
    
    13 de Setembro de 2019 às 18:47
    
    Mas o Google Authenticator só serve para gerar códigos que mudam a cada 30 segundos… os bancos têm de enviar para o cliente também a informação que o cliente está a validar ao introduzir esse código… ou seja, a pessoa tem de saber que está a validar uma transferência de todo o seu dinheiro da sua conta para uma outra conta nas Bahammas, e não que só está a pagar a conta da Internet que era o que pensava que estava realmente a fazer na aplicação/ web site comprometido.
    
    Responder
    - Woot! says:
      
      16 de Setembro de 2019 às 11:20
      
      Enviam a SMS a informar o que está a acontecer e o código de validação é via Google Authenticator e não via SMS.
      
      Eu quando disse Google Authenticator não queria necessáriamente dizer que fosse o sistema da Google, poderiam usar a ideia numa app deles, da SIBS, qualquer coisa em que o codigo fosse gerado e a informação necessária também passada.
      
      Responder
joca says:

13 de Setembro de 2019 às 13:11

Se a ideia é segurança os sms não o são. sms+matriz é manhoso mas sempre é mais seguro. Para o nosso bem espero que sms não seja a unica opção, existem alternativas melhores. Também vi hoje que querem acabar com os numeros dos cartões de crédito para pagamentos online, não é que seja má ideia mas quando acontecer rip “mbnet” os cartões temporários são do melhor.

Responder
Rui Ribeiro says:

13 de Setembro de 2019 às 17:07

Este deve ser um processo pacífico. Se há coisas que os bancos têm gerido bem são as evoluções tecoligicas/segurança. Alguem viu algum banco passar por stress quando o RGPD se tornou obrigatório, como aconteceu com muitas empresas?
Não, porque cerca de um ano antes da data já a maior parte estavam preparados.

Responder
Joao Ptt says:

13 de Setembro de 2019 às 18:39

“autenticação forte” & “SMS” associado na mesma frase como sendo uma e a mesma coisa, é mesmo coisa de comédia!!!!
Os atacantes podem, e têm no feito por todo o mundo, ter acesso e controlar o número de telefone da pessoa!
É algo que está 100% fora do controlo da pessoa, além de que o SMS nunca foi e nunca será (até onde se consegue deslumbrar a sua evolução) seguro e confidencial… por isso estão a enviar confirmações por um meio que divulga a todo “o mundo” a operação que se está a fazer e ainda se facilita a vida de atacantes utilizando um meio de comunicação que pode ser interceptado (logo podem ler tasi códigos), que pode ser redireccionado (e enviar a informação para terceiros), que se pode tomar controlo com alguma facilidade (por exemplo através de enganar o suporte técnico ou comercial ou com pessoas infiltradas que tenham acesso a esse processo nas operadoras) e tudo sem que o cliente final possa ter sequer alguma hipótese de prevenir porque acontece tudo antes de chegar ao seu terminal (smartphone/ telemóvel, etc.).
A única coisa que poderia substituir assim de repente o SMS, ou seja formato de SMS, seria enviar as mensagens para o Threema, que é o único mensageiro online que garante o mínimo de privacidade e segurança de ponto-a-ponto, mas é pago (tanto por mensagem para quem envia (o banco) como para o cliente que têm de fazer um pagamento único (que não chega a 4 euros) para ter o programa) e logo ninguém vai querer instalar mais um programa e menos ainda se tiver de pagar.

Responder
falcaobranco says:

13 de Setembro de 2019 às 19:15

Para mim, cartão matriz e sms é suficientemente forte para confirmar que é o utilizador certo… a pessoa que está a usar o homebanking também tem que pensar que existem casos de phishing e isso é crucial estarmos atentos e muitos bancos em Portugal já foram atacados e muitas pessoas nem deram conta…

Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.