Ir para o conteúdo principal
Certyneo
Guia DSP2 & SCA · 2026

DSP2 e autenticação forte (SCA): o guia da assinatura eletrônica em conformidade

A segunda diretiva sobre serviços de pagamento (DSP2, diretiva (UE) 2015/2366) impõe a autenticação forte do cliente (Strong Customer Authentication, SCA) para acessar uma conta de pagamento online, iniciar um pagamento eletrônico ou realizar qualquer ação à distância que apresente risco de fraude. Este guia explica como a assinatura eletrônica avançada (AES) em conformidade com eIDAS satisfaz esses requisitos para bancos, instituições de pagamento e fintechs.

Atualizado em

O que é autenticação forte do cliente (SCA) no sentido da DSP2?

O artigo 97 da diretiva (UE) 2015/2366 (DSP2) impõe a autenticação forte do cliente. Suas modalidades técnicas são precisadas pelo regulamento delegado (UE) 2018/389 (Regulatory Technical Standards, RTS). O SCA baseia-se em pelo menos dois elementos independentes pertencentes a categorias diferentes.

  • Conhecimento: um elemento que apenas o cliente conhece (senha, código)
  • Posse: um elemento que apenas o cliente possui (telefone recebendo uma OTP por SMS)
  • Inerência: um elemento que o cliente é (biometria) — opcional se os dois outros são reunidos
  • Vínculo dinâmico: para um pagamento, o código deve estar vinculado ao montante e ao beneficiário (art. 5 RTS UE 2018/389)

Quais atos bancários estão sujeitos à autenticação forte?

Abertura de conta de pagamento e contrato de conta
Mandato de débito direto SEPA (primeira implementação)
Dossiê de abertura de relacionamento e KYC à distância
Subscrição à distância de serviços financeiros
Mandato de gestão e ordem de transferência significativa
Modificação de um meio de pagamento ou de um limite

Como é uma jornada de assinatura conforme SCA?

  1. 1

    Identificar o cliente (conhecimento)

    O cliente acessa o envelope através de um link seguro e se autentica por um primeiro fator (email + senha, ou identificador Certyneo). Este é o elemento de conhecimento.

  2. 2

    Verificar a posse (OTP)

    Um código de uso único (OTP) é enviado por SMS para o telefone previamente verificado do cliente. A inserção do código prova a posse — segundo fator independente.

  3. 3

    Assinar com carimbo de tempo qualificado

    O cliente apõe sua assinatura avançada (AES). Certyneo gera um certificado de assinatura único e um carimbo de tempo qualificado conforme ao artigo 26 do regulamento eIDAS.

  4. 4

    Produzir o trilho de auditoria SCA

    O PDF de prova documenta os dois fatores, o carimbo de tempo qualificado, o hash SHA-256 e o IP — oponível ao ACPR para demonstrar a conformidade SCA da jornada.

Perguntas frequentes — DSP2 & autenticação forte

A assinatura avançada (AES) é suficiente para satisfazer o SCA da DSP2?
Sim, quando combina dois fatores independentes. A assinatura avançada Certyneo cobre o conhecimento (senha / email de assinatura) e a posse (OTP SMS em um telefone verificado): dois elementos de categorias diferentes, conformes ao artigo 97 da DSP2 e ao regulamento delegado (UE) 2018/389. A biometria (inerência) não é necessária desde que estes dois fatores estejam reunidos.
Qual é a diferença entre autenticação forte (SCA) e assinatura eletrônica?
A SCA autentica o acesso e a intenção do cliente no momento de uma operação sensível; a assinatura eletrônica sela um documento com valor probatório duradouro. Certyneo combina os dois: o percurso de autenticação forte alimenta diretamente o audit trail da assinatura, de modo que a prova de autenticação e a prova de consentimento formam um todo oponível.
O que é o vinculação dinâmica exigida para pagamentos?
O artigo 5 do regulamento delegado (UE) 2018/389 impõe, para uma operação de pagamento, que o código de autenticação seja especificamente vinculado ao montante e ao beneficiário. Qualquer alteração desses dados invalida o código. Para a assinatura de um mandato ou de uma ordem, a integridade garantida pelo hash SHA-256 do documento cumpre uma função equivalente de não-alteração.
Existem isenções à autenticação forte?
Sim. O regulamento delegado (UE) 2018/389 prevê isenções (pagamentos de pequeno montante, operações recorrentes, beneficiários de confiança, análise do risco de transação). Elas dizem respeito à execução de pagamentos, não à assinatura de um ato contratual: a assinatura de uma convenção de conta ou de um mandato permanece submetida às exigências probatórias do artigo 1367 do Código Civil.
O audit trail é oponível à ACPR em caso de controle?
Sim. O audit trail Certyneo documenta os dois fatores de autenticação, a marcação de tempo qualificada, a integridade do documento e a identidade do signatário. Exportável em PDF certificado, permite demonstrar à Autoridade de Controle Prudencial e de Resolução (ACPR) que o percurso respeita as exigências SCA da DSP2.
Guia completo assinatura eletrônica · Solução Certyneo para banco & seguro · Guia eIDAS — níveis SES/AES/QES · Assinar uma abertura de conta profissional online · Assinar um mandato SEPA empresa online

Implementar um percurso de assinatura em conformidade com SCA

Plano gratuito permanente (5 envelopes / mês), sem cartão de crédito. Autenticação forte DSP2 (OTP SMS), assinatura avançada eIDAS, audit trail oponível e arquivamento 10 anos inclusos.