Autoridade Bancária Europeia (EBA) rejeita a biometria em dispositivos móveis como método para uma forte autenticação do cliente (SCA)
A Autoridade Bancária Europeia (EBA) exige uma forte autenticação do cliente (SCA) para os pagamentos electrónicos, a fim de aumentar a segurança. No entanto, a biometria no dispositivo já não é considerada um método válido a ser utilizado como segundo factor de autenticação, a EBA decidiu a 31 de Janeiro de 2023.
No entanto, nem todas as utilizações da biometria para verificar a identidade são iguais. Neste artigo vamos analisar a razão pela qual a utilização de um dispositivo móvel como sistema de identificação biométrica não é considerada segura e os métodos alternativos que o são.
O que é uma forte autenticação do cliente (SCA) na Directiva de Serviços de Pagamento 2 (PSD2)?
A forte autenticação do cliente (SCA) é um requisito de segurança estabelecido pela Autoridade Bancária Europeia (EBA) para a autenticação do cliente no Espaço Económico Europeu (EEE). Este requisito consiste no cumprimento de um processo de autenticação que requer dois ou mais factores de autenticação separados para que um cliente possa aceder em segurança às suas contas em linha ou completar uma transacção de pagamento em linha.
A SCA exige que os clientes forneçam dois ou mais dos seguintes factores de autenticação:
- Algo que o cliente sabe (por exemplo, uma senha ou PIN),
- Algo que o cliente possui (por exemplo, um telemóvel ou uma ficha de segurança), e
- Algo que o cliente é (por exemplo, dados biométricos como o reconhecimento facial, de impressões digitais ou de voz).
A SCA é uma iniciativa que visa reduzir a fraude e o acesso não autorizado às contas dos clientes. Ao implementar o SCA, os bancos e os prestadores de serviços de pagamento (PSP) podem oferecer aos clientes um nível mais elevado de segurança e protegê-los de perdas financeiras devidas a actividades fraudulentas. Além disso, o cumprimento do SCA é um requisito legal, e o não cumprimento pode levar a penalizações e perda de confiança dos clientes.
Como é que a SCA afecta as empresas do sector bancário?
Os bancos e instituições financeiras no EEE e no Reino Unido devem seguir a SCA para evitar sanções. A SCA visa reduzir a fraude e melhorar a segurança dos pagamentos electrónicos, construindo a confiança e lealdade dos clientes. Isto pode levar a fricções adicionais no processo de checkout, e por isso há uma oportunidade de inovação: oferecer uma experiência simples mas segura ao cliente.
O que diz a EBA sobre autenticação biométrica em dispositivos?
Em 31 de Janeiro de 2023, a EBA, na sua secção de perguntas e respostas, discute questões relacionadas com a utilização da biometria em dispositivos móveis. Esclarecendo como a informação do cartão de pagamento deve ser adicionada a uma carteira digital num dispositivo móvel, em conformidade com a PSD2.
Esclarecem que a utilização de um cartão de pagamento digital para efectuar pagamentos requer medidas de segurança adicionais da SCA, a menos que haja razões específicas para que tal seja desnecessário. Além disso, desbloquear um telefone utilizando dados biométricos (tais como uma impressão digital ou rosto), não pode ser considerado uma boa forma de verificar a identidade para adicionar um cartão de pagamento a uma carteira digital se o emissor do cartão de pagamento não controlar o mecanismo de bloqueio do ecrã do telefone.
Por outras palavras, a EBA afirma que os métodos de autenticação móvel só são seguros se o emissor os puder controlar ou assegurar que o utilizador é legítimo.
Como é que a biometria no dispositivo difere da autenticação biométrica baseada na nuvem da Alice Biometrics?
A utilização da biometria presente nos dispositivos móveis, tais como impressão digital ou reconhecimento facial para desbloquear o dispositivo, é uma substituição da palavra-chave para aceder ao dispositivo, mas não verifica a identidade do utilizador. Por outras palavras, a impressão digital introduzida como substituto da palavra-passe pode muito bem ser a do seu irmão ou amigo, e por isso a identidade do utilizador não pode ser assegurada.
A EBA recomenda que uma solução biométrica seja controlada pelo emissor do cartão e ligada à identidade oficial do cliente, para ser utilizada como elemento de Autenticação Forte do Cliente (SCA). Seria o banco emissor do cartão, utilizando serviços de verificação de identidade remota, como a Alice, que poderia verificar a identidade do cliente no momento de anexar um cartão ao telemóvel.
Por outras palavras, a utilização da biometria no dispositivo móvel não pode ser associada a algo que o cliente é, uma vez que não há controlo no processo de inscrição para validar que é de facto a pessoa autorizada. Contudo, com a verificação biométrica de Alice, a identidade é verificada de uma forma única e unívoca contra um elemento externo (documento de identidade) e é o emissor que tem o controlo sobre o processo de verificação.
Aumentar a segurança e reduzir a fraude de identidade com a tecnologia da Alice
O serviço de nuvem de autenticação biométrica da Alice valida a identidade oficial de uma pessoa antes de registar os seus dados biométricos, assegurando que a pessoa que apresenta o documento de identidade é genuína e presente no processo, e validando-o ainda mais através do mecanismo de prova de vida.
Uma vez concluído o processo de verificação, podem ser utilizados vários métodos de autenticação biométrica, tais como o reconhecimento facial para aceder à área privada do cliente, gerir transacções, ou utilizar o dispositivo móvel como método de pagamento.
A Alice assegura que apenas utilizadores autorizados tenham acesso. Desta forma, como banco ou instituição de serviços financeiros, pode cumprir os requisitos do PSD2 para SCA. Além disso, pode fazê-lo enquanto proporciona uma experiência sem atritos, ao contrário de outros processos de verificação que acrescentam etapas intermédias ou tempos de espera.
