Um utilizador de Facebook partilhou nesta rede social um vídeo no qual se vê uma imagem com a parte frontal e traseira de um cartão bancário. Apontando com uma seta encarnada para o local onde costuma estar o código CVV (código de verificação), diz que é ali que está o “PIN” (siglas inglesas para “Personal Identification Number”, em português “Número de Identificação Pessoal”). A partilha é acompanhada por um texto a dizer que o Banco de Portugal (BdP) foi avisado do problema e que nada fez porque “não quer prevenir as possíveis fraudes”. Trata-se de uma afirmação errada.

A publicação feita no Facebook

O utilizador começa o texto da descrição do vídeo por dizer que os “bancos até podem gravar à vista de todos o PIN dos cartões para pagamentos online, sem serem responsabilizados pelas entidades que dizem defender os cidadãos”. Contactado pelo Observador, o BdP explica por que é que tudo isto é errado.

“Começamos por informar que o CVV (Card Verification Value) é, em regra, um código de três dígitos impresso no cartão de pagamento (crédito e débito), adotado pelas marcas de cartões como procedimento de segurança adicional para reduzir a fraude nos pagamentos online”, explica a entidade reguladora. O Banco de Portugal adianta ainda que “este código é também conhecido como CSC (Card Security Code), CW2, CVC2 ou CID, consoante a marca de cartão de pagamento em causa (por exemplo, a Visa ou a Mastercard)” e que “a impressão do código CVV no cartão não decorre de uma imposição do regulador”.

PUB • CONTINUE A LER A SEGUIR

Como clarifica o BdP, “este código pretende validar que o utilizador que está a realizar o pagamento, sobretudo em contexto de comércio eletrónico online, se encontra na posse do cartão e que a conta de pagamento associada ao cartão é legítima”. Além disso, o “código CVV não constitui, nem substitui, um código PIN”.

O código PIN do cartão é habitualmente utilizado na execução de operações de pagamento no ponto de venda (isto é, nas lojas físicas) e nos levantamentos em ATM [Multibanco]. Trata-se de um código pessoal e intransmissível e, em nenhuma circunstância, deverá ser divulgado a terceiros. Como tal, o código PIN nunca se encontra impresso no cartão de pagamento”, explica o Banco de Portugal.

É por estes motivos  que “o CVV não deverá também ser entendido como um ‘PIN para os pagamentos online’. Porquê? Porque os dados impressos no cartão, como é o caso do CVV, “não são suficientes para realizar pagamentos online”, continua por explicar a entidade reguladora.

Por detrás desta afirmação do BdP está o facto de, desde 14 de setembro de 2019, com a entrada em vigor das novas regras no âmbito da Diretiva de Serviços de Pagamento Revista, conhecida como “DSP2”, os prestadores de serviços de pagamento (PSP, habitualmente os bancos) “devem aplicar autenticação forte do cliente nos pagamentos online realizados com cartão”. Por outras palavras, os bancos devem pedir o seguinte, como explica a entidade reguladora: “Dois ou mais elementos, pertencentes às categorias de conhecimento (por exemplo, palavra-passe), posse (por exemplo, dispositivo do cliente cuja posse é comprovada pela geração/receção de uma palavra-passe de utilização única) e inerência (por exemplo, impressão digital)”.

[Abaixo, pode ver um vídeo do Banco de Portugal no qual são explicadas as alterações que a DSP2 impôs]

Desta forma, o número do cartão, a data de validade e o código CVV “não são suficientes para realizar essa autenticação forte”. Aliás, como contou o Observador no início do mês ao responder às principais dúvidas após o ataque informático ao grupo Impresa, foi graças a esta diretiva que se pôde afastar o risco de os cartões de crédito dos utilizadores de serviços como a Opto ou da subscrição do Expresso terem ficado comprometidos.

As dúvidas do ataque de hackers que obrigou a Impresa a recuar no tempo. O que pode ter sido comprometido?

A autenticação para utilizar um código CVV “é geralmente efetuada através do envio de um código por SMS para o telemóvel do utilizador ou através de uma aprovação na aplicação móvel disponibilizada pelo banco”, diz o BdP. Assim, garante-se que o mesmo código não possa gerar fraudes maiores.

Os utilizadores devem estar alerta para eventuais situações de risco quando realizam compras online com cartão. O Banco de Portugal disponibiliza, no seu site institucional, um conjunto detalhado de boas práticas dirigidas aos utilizadores de cartões de pagamento, com o intuito de promover a sua utilização adequada e segura”, informa o BdP.

Porém, e no caso de o banco não optar por uma autenticação tão forte? Por exemplo, como explica o Banco de Portugal, “processando operações com cartão apenas com base no número do cartão, a data de validade e o código CVV, sem a realização do procedimento de autenticação forte”. Nesse caso, a entidade reguladora é perentória: “O cliente não poderá ser responsabilizado por operações de pagamento incorretamente executadas, assumindo o banco essa responsabilidade”, o que contradiz as afirmações do utilizador de Facebook.

Conclusão

É errado que o código atrás do cartão bancário seja um código PIN e que o Banco de Portugal não queira prevenir fraudes ao permitir que este número esteja visível. Pelo contrário, o CVV existe para evitar problemas maiores online e, com explicou a entidade reguladora ao Observador, os bancos que não tenham as proteções implementadas pela DSP2 são responsabilizados por operações indevidas.

Assim, de acordo com o sistema de classificação do Observador, este conteúdo é:

ERRADO

No sistema de classificação do Facebook este conteúdo é:

FALSO: as principais alegações do conteúdo são factualmente imprecisas. Geralmente, esta opção corresponde às classificações “falso” ou “maioritariamente falso” nos sites de verificadores de factos.

Nota: este conteúdo foi selecionado pelo Observador no âmbito de uma parceria de fact checking com o Facebook.

IFCN Badge