A entrada em vigor da nova diretiva europeia dos pagamentos, neste sábado, 14 de setembro, vai trazer mudanças na forma como as pessoas acedem e movimentam as contas bancárias. Com a maior “liberalização” dos acessos permitido no âmbito desta diretiva, vão ser reforçados os requisitos de segurança para garantir que quem consulta as contas e faz pagamentos é, de facto, o dono das contas bancárias. Está na hora de dizer adeus às cadernetas, às bandas magnéticas, aos cartões-matriz e, dentro de alguns meses, aos números físicos do cartão de crédito.

A nova diretiva europeia dos serviços de pagamentos traz uma mudança fundamental na forma como vemos os nossos dados financeiros — por exemplo, quanto dinheiro temos na conta ou quais foram os últimos pagamentos que fizemos. Desde sempre, os clientes bancários habituaram-se a olhar para esta informação como algo que, sendo nossa, na realidade “pertencia” ao banco. Tanto que, quando alguém tem conta em vários bancos, é preciso visitar cada um dos sites individualmente para saber quando dinheiro lá está, quanto falta pagar do crédito, etc.

Com a nova diretiva, todas estas informações passam a pertencer, realmente, ao cliente, o que implica que os bancos tiveram de desenvolver plataformas (as API) que permitem que entidades autorizadas possam “ler” essa informação — e não só ler mas, se o cliente tiver autorizado, promover pagamentos e transferências.

Com esta mudança conceptual sobre aquilo que é uma conta bancária, na prática torna-se possível ter, por exemplo, uma aplicação no computador (ou smartphone) que vai automaticamente beber informação aos vários bancos, de forma a poder agregar essa informação num só ecrã. Por outro lado, quando o utilizador autoriza que isso aconteça, essas entidades terceiras podem ter, também, a capacidade de iniciar pagamentos sem passar pelo banco.

Esta maior “liberalização” explica porque é que uma das principais novidades da nova regulamentação é passar a ser obrigatória a autenticação forte nos pagamentos eletrónicos. E isso, na prática, implica que para que alguém consiga mexer numa conta bancária é necessário provar que é o verdadeiro dono da conta, ou uma entidade legitimamente autorizada.

Nos pagamentos presenciais, como ir a uma loja e pagar num terminal “multibanco”, a evolução nos últimos anos já levou a que, com a entrada das novas regras, não se prevejam grandes alterações no dia a dia das pessoas. Como já foi noticiado, os clientes de bancos que ainda usam cadernetas vão deixar de poder usar este instrumento para fazer levantamentos ou outras operações. E, pela mesma razão — porque são facilmente clonáveis –, também as bandas magnéticas vão desaparecer, só restando o chip como alternativa viável. A exceção, aqui, são os cartões-refeição, que normalmente não têm chip.

Algo que eu sei, algo que eu tenho e algo que eu sou

De resto, porém, não é nos pagamentos presenciais ou nas operações nas caixas multibanco que se preveem as maiores alterações. Isto porque as novas regras querem, em termos simples, assegurar que demonstramos a nossa identidade com pelo menos duas de três coisas: algo que eu sei, algo que eu tenho e algo que eu sou. Algo que eu sei pode ser, por exemplo, o código PIN; algo que eu tenho pode ser o cartão bancário; e algo que eu sou pode ser, por exemplo, a leitura da impressão digital e reconhecimento facial que os smartphones mais modernos já permitem.

Este é o raciocínio que ajuda a perceber porque é que os cartões-matriz que alguns bancos usam, sobretudo para as operações no homebanking, também têm os dias contados. Dependendo do banco que usa, poderá sentir alterações na forma como a instituição financeira tenta comprovar que o acesso que está a ser feito é legítimo. No homebanking, se hoje em dia alguns bancos apenas pedem um nome de utilizador e uma palavra-passe para dar acesso às contas, agora vai criar-se uma nova camada de segurança: na maioria dos casos, com o envio de códigos (dinâmicos) através de SMS — para um número previamente autorizado e validado como seu.

Isto não significa que de cada vez que quiser aceder ao seu banco, através de computador, terá de introduzir um código de segurança recebido por SMS, mas isso poderá acontecer para o primeiro acesso e, além disso, periodicamente o banco irá repetir o processo — no máximo, uma vez em cada 90 dias.

Quando se fala de pagamentos online, onde as pessoas estão habituadas a introduzir os números do cartão de crédito, para já essa prática vai poder continuar mas por toda a Europa a indicação dada aos comerciantes vai no sentido de fazer uma transição para acabar com estes números, porque não dão suficientes garantias de segurança. Ainda não foi definido quanto tempo durará este período de adaptação, mas o final de 2020 é uma das datas prováveis. Os comerciantes terão de introduzir mecanismos alternativos, que garantam que é possível fazer uma autenticação forte.

A indicação dada pelo Banco de Portugal é que os clientes devem informar-se junto do banco sobre como é que estas alterações se aplicam a cada caso, além de ser importante garantir que estão atualizadas a informação pessoal e os dados de contacto.