Autenticação Forte - O que é?

A premissa é simples: à autenticação simples adiciona-se um novo elemento e obtém-se a autenticação forte. Este novo elemento entra numa de três categorias: conhecimento (algo que só o utilizador sabe, como uma password), posse (algo que só o utilizador tem, como um telemóvel), ou inerência (algo inerente ao utilizador, como uma impressão digital).

A autenticação forte acontece sempre que pelo menos dois destes elementos se combinam para proceder a uma operação bancária eletrónica.

O Banco de Portugal, no seu guia sobre esta norma, explica que passa a ser obrigatório para os prestadores de serviços de pagamento “fazerem a autenticação forte dos seus clientes sempre que estes acedam online à sua conta de pagamento, iniciem uma operação de pagamento eletrónico ou realizem uma ação, através de um canal remoto, que possa envolver risco de fraude no pagamento ou outros abusos”.

As novas regras decorrem da entrada em vigor da norma conhecida como DSP2, aplicável a todos os estados membros da União Europeia.

A SIBS lembra que “a autenticação forte dos clientes já era realizada pelos prestadores de serviços de pagamento e bancos e algumas situações específicas, pelo que os ajustes para os consumidores serão mínimos”, não prevendo que a adaptação se figure difícil.

Ao mesmo tempo, “ao nível das compras online, nada mudou para os consumidores que recorrem ao pagamento de serviços ou ao MB Way, os dois principais métodos de pagamento online em Portugal. Quem utiliza estes métodos tem uma experiência de compra exatamente igual à que já tinha anteriormente”, esclarece a SIBS.

“De entre os vários benefícios da DSP2 para os consumidores”, a SIBS destaca três principais: “a melhor proteção contra a fraude e possíveis incidentes nos pagamentos, a maior escolha de métodos de pagamento online, e a maior segurança nos pagamentos”.

Apesar desta medida, alguns empresas de segurança alertam para o facto de ainda assim ser impossível erradicar a fraude em operações bancárias digitais. Os cibercriminosos demoram a adaptar-se e contornar as novas regras, e o cibercrime é suprimido, mas os atacantes rapidamente aprendem como se mover neste novo ambiente.

O sequestro do número de telemóvel, também conhecido como SIM Swapping é uma realidade, bem como a possibilidade de implementar vírus nos telemóveis e poder aceder ao código enviado por SMS ao utilizador – contornando-se a regra da “posse”. Também a impressão digital – pertencente ao campo da “inerência” – pode chegar aos cibercriminosos, quando por exemplo, um atacante “escurece o ecrã de um telemóvel” remotamente.

O utilizador estranha, tenta desbloquear o smartphone através da impressão digital, e aí pode estar a oferecê-la a outra pessoa. O acesso remoto a um telemóvel também permite observar as palavras-passe ou outros códigos utilizados naquele dispositivo, quebrando-se a última barreira criada, o “conhecimento”.

Já a SIBS garante que “o sistema de pagamentos nacional tem um nível de fraude três vezes inferior à média da Europa”, “pelo que há uma perceção de segurança relativamente elevada para os consumidores nacionais”.

Assinalando-se o facto de que “nenhum sistema ou serviço é totalmente infalível ou inviolável”, a SIBS aponta que “quanto mais diversificada e massificada for a adoção de sistemas de segurança e comportamentos de prevenção, melhor será o resultado”.

Fonte: IT Insight