DSP2 e autenticação forte (SCA): o guia da assinatura eletrônica em conformidade
A segunda diretiva sobre serviços de pagamento (DSP2, diretiva (UE) 2015/2366) impõe a autenticação forte do cliente (Strong Customer Authentication, SCA) para acessar uma conta de pagamento online, iniciar um pagamento eletrônico ou realizar qualquer ação à distância que apresente risco de fraude. Este guia explica como a assinatura eletrônica avançada (AES) em conformidade com eIDAS satisfaz esses requisitos para bancos, instituições de pagamento e fintechs.
O que é autenticação forte do cliente (SCA) no sentido da DSP2?
O artigo 97 da diretiva (UE) 2015/2366 (DSP2) impõe a autenticação forte do cliente. Suas modalidades técnicas são precisadas pelo regulamento delegado (UE) 2018/389 (Regulatory Technical Standards, RTS). O SCA baseia-se em pelo menos dois elementos independentes pertencentes a categorias diferentes.
- Conhecimento: um elemento que apenas o cliente conhece (senha, código)
- Posse: um elemento que apenas o cliente possui (telefone recebendo uma OTP por SMS)
- Inerência: um elemento que o cliente é (biometria) — opcional se os dois outros são reunidos
- Vínculo dinâmico: para um pagamento, o código deve estar vinculado ao montante e ao beneficiário (art. 5 RTS UE 2018/389)
Quais atos bancários estão sujeitos à autenticação forte?
Como é uma jornada de assinatura conforme SCA?
- 1
Identificar o cliente (conhecimento)
O cliente acessa o envelope através de um link seguro e se autentica por um primeiro fator (email + senha, ou identificador Certyneo). Este é o elemento de conhecimento.
- 2
Verificar a posse (OTP)
Um código de uso único (OTP) é enviado por SMS para o telefone previamente verificado do cliente. A inserção do código prova a posse — segundo fator independente.
- 3
Assinar com carimbo de tempo qualificado
O cliente apõe sua assinatura avançada (AES). Certyneo gera um certificado de assinatura único e um carimbo de tempo qualificado conforme ao artigo 26 do regulamento eIDAS.
- 4
Produzir o trilho de auditoria SCA
O PDF de prova documenta os dois fatores, o carimbo de tempo qualificado, o hash SHA-256 e o IP — oponível ao ACPR para demonstrar a conformidade SCA da jornada.
Perguntas frequentes — DSP2 & autenticação forte
- A assinatura avançada (AES) é suficiente para satisfazer o SCA da DSP2?
- Sim, quando combina dois fatores independentes. A assinatura avançada Certyneo cobre o conhecimento (senha / email de assinatura) e a posse (OTP SMS em um telefone verificado): dois elementos de categorias diferentes, conformes ao artigo 97 da DSP2 e ao regulamento delegado (UE) 2018/389. A biometria (inerência) não é necessária desde que estes dois fatores estejam reunidos.
- Qual é a diferença entre autenticação forte (SCA) e assinatura eletrônica?
- A SCA autentica o acesso e a intenção do cliente no momento de uma operação sensível; a assinatura eletrônica sela um documento com valor probatório duradouro. Certyneo combina os dois: o percurso de autenticação forte alimenta diretamente o audit trail da assinatura, de modo que a prova de autenticação e a prova de consentimento formam um todo oponível.
- O que é o vinculação dinâmica exigida para pagamentos?
- O artigo 5 do regulamento delegado (UE) 2018/389 impõe, para uma operação de pagamento, que o código de autenticação seja especificamente vinculado ao montante e ao beneficiário. Qualquer alteração desses dados invalida o código. Para a assinatura de um mandato ou de uma ordem, a integridade garantida pelo hash SHA-256 do documento cumpre uma função equivalente de não-alteração.
- Existem isenções à autenticação forte?
- Sim. O regulamento delegado (UE) 2018/389 prevê isenções (pagamentos de pequeno montante, operações recorrentes, beneficiários de confiança, análise do risco de transação). Elas dizem respeito à execução de pagamentos, não à assinatura de um ato contratual: a assinatura de uma convenção de conta ou de um mandato permanece submetida às exigências probatórias do artigo 1367 do Código Civil.
- O audit trail é oponível à ACPR em caso de controle?
- Sim. O audit trail Certyneo documenta os dois fatores de autenticação, a marcação de tempo qualificada, a integridade do documento e a identidade do signatário. Exportável em PDF certificado, permite demonstrar à Autoridade de Controle Prudencial e de Resolução (ACPR) que o percurso respeita as exigências SCA da DSP2.