Autenticação Delegada e Passkeys na PSD3 / PSR

O panorama europeu de pagamentos foi significativamente alterado pela segunda Diretiva de Serviços de Pagamento (PSD2). Entrando em vigor progressivamente a partir de 2018, a PSD2 tornou obrigatória a Autenticação Forte de Cliente (SCA) para a maioria dos pagamentos eletrónicos, com o objetivo de reforçar a segurança e combater a fraude. Isto normalmente exige a verificação da identidade de um utilizador através de, pelo menos, dois de três fatores independentes: Conhecimento (algo que só o utilizador sabe, como uma password), Posse (algo que só o utilizador possui, como um telemóvel ou um token de hardware) e Inerência (algo que o utilizador é, como uma impressão digital ou reconhecimento facial).

Embora os requisitos de SCA da PSD2 tenham reduzido comprovadamente certos tipos de fraude, também introduziram atrito no processo de pagamento, especialmente para pagamentos com cartão que envolvem protocolos 3-D Secure (3DS), que frequentemente redirecionam os utilizadores para o domínio do seu banco para autenticação. Este atrito adicional no checkout pode levar ao abandono do carrinho e a uma experiência de utilizador menos fluida.

Reconhecendo estes desafios e a rápida evolução do mercado de pagamentos digitais, a Comissão Europeia publicou propostas legislativas a 28 de junho de 2023 para atualizar o enquadramento. Este pacote consiste numa nova Diretiva de Serviços de Pagamento (PSD3) e num Regulamento de Serviços de Pagamento (PSR).

Muitas vezes descrita como uma "evolução, não uma revolução", esta reforma visa refinar conceitos existentes como a Autenticação Forte de Cliente (SCA) e o Open Banking, reforçar ainda mais a proteção do consumidor contra a fraude, fomentar a concorrência entre os provedores de serviços de pagamento (PSPs) e melhorar o funcionamento geral do mercado de pagamentos da UE. Uma das principais áreas de evolução é a clarificação explícita e o enquadramento fornecido para a Autenticação Delegada.

O percurso desde a proposta até à aplicação envolve várias etapas. Após a publicação em junho de 2023, as propostas entraram no processo legislativo da UE, envolvendo o Parlamento Europeu e o Conselho da UE. A comissão de Assuntos Económicos e Monetários (ECON) do Parlamento publicou projetos de relatório com alterações no final de 2023 e início de 2024, seguindo-se a adoção da posição do Parlamento em primeira leitura em abril de 2024. A fase seguinte envolve negociações entre o Parlamento, o Conselho e a Comissão para acordar os textos finais. Ao longo deste processo, stakeholders, incluindo bancos, PSPs, empresas de tecnologia e grupos de consumidores, participam em consultas públicas e esforços de lobbying para influenciar o resultado.

Embora as estimativas iniciais sugerissem a finalização até ao final de 2024 ou início de 2025, o processo legislativo pode ser complexo, e algumas análises sugerem agora potenciais atrasos, possivelmente adiando o acordo final e a data de aplicação para o primeiro trimestre de 2027. Geralmente, espera-se que as novas regras se apliquem 18 meses após a sua publicação no Jornal Oficial da UE, o que coloca a data de início provável em meados de 2026, na melhor das hipóteses, mas potencialmente mais tarde, dependendo do cronograma de finalização.

Uma mudança estrutural significativa é a introdução do PSR juntamente com a PSD3. O PSR será diretamente aplicável em todos os estados-membros da UE, garantindo a implementação uniforme de regras operacionais como os requisitos de SCA e o acesso ao Open Banking. Isto aborda diretamente uma fraqueza da PSD2, cuja natureza como diretiva levou a variações na transposição e implementação nacionais, criando fragmentação. A PSD3, permanecendo uma diretiva, focar-se-á na autorização, licenciamento e supervisão de instituições de pagamento, permitindo algum contexto nacional na supervisão do mercado. Esta estrutura dupla representa uma abordagem estratégica: visar uma harmonização mais rápida e consistente em áreas operacionais críticas através do regulamento, enquanto se mantém o formato de diretiva para a supervisão institucional, onde as especificidades nacionais são mais relevantes.

Considerando as complexidades das negociações do trílogo, a necessidade subsequente de a Autoridade Bancária Europeia (EBA) desenvolver Normas Técnicas Regulamentares (RTS) e Orientações detalhadas, e o tempo necessário para a indústria se preparar para a implementação, o período de transição de 18 meses, comumente citado, parece ambicioso. As empresas devem ter em conta potenciais atrasos no seu planeamento, apontando para o final de 2026 ou mesmo início de 2027 como datas de aplicação plausíveis.

Uma das clarificações mais notáveis no quadro proposto da PSD3/PSR é a permissão explícita da Autenticação Delegada (DA).

A Autenticação Delegada (DA) refere-se ao processo em que o Provedor de Serviços de Pagamento (PSP) do Pagador, tipicamente o banco que emite o instrumento de pagamento (por exemplo, o emissor do cartão), permite que um terceiro realize a Autenticação Forte de Cliente (SCA) em seu nome.

O texto original da proposta de regulamento (Artigo 87 da proposta de PSR, ênfase adicionada) diz:

Os textos preliminares afirmam que os emissores (tipicamente bancos que fornecem a conta de pagamento) podem delegar a responsabilidade de aplicar a SCA a certos terceiros. Prevê-se que estes terceiros incluam comerciantes, gateways de pagamento ou adquirentes, marketplaces online ou fornecedores de carteiras digitais.

Esta medida é significativa porque reconhece formalmente e fornece um potencial caminho regulatório para cenários onde alguém que não a instituição detentora da conta realiza a verificação de autenticação exigida pela SCA. O objetivo declarado por trás da permissão da DA é fomentar a inovação na experiência de autenticação. Ao permitir a delegação, a regulamentação espera capacitar as entidades que estão frequentemente mais próximas da interação com o cliente (como comerciantes ou carteiras) para construir fluxos de autenticação mais integrados e com menos atrito, que aproveitem as tecnologias mais recentes, como biometria ou passkeys, melhorando, em última análise, a experiência do utilizador. Exemplos iniciais, como a implementação de DA da Stripe lançada antes do rascunho da PSD3, visavam capturar estes benefícios, relatando tempos de autenticação mais rápidos e aumento das taxas de conversão para os emissores participantes.

No entanto, as propostas preliminares introduzem uma condição crítica: a delegação da SCA por um emissor a um terceiro é explicitamente classificada como terceirização. Esta classificação não é meramente semântica; ela acarreta um peso regulatório significativo. Significa que qualquer acordo de DA deve cumprir as regras rigorosas que regem a terceirização por instituições financeiras, principalmente as Orientações da EBA sobre Acordos de Terceirização. Além disso, os operadores de carteiras digitais que verificam os elementos da SCA precisarão de acordos formais de terceirização com os bancos emissores.

Este rótulo de 'terceirização' apresenta um compromisso complexo. Por um lado, permitir explicitamente a DA sinaliza uma abertura regulatória à inovação e a uma potencial melhoria da UX. Por outro lado, sujeitar estes acordos a todo o peso das regulamentações de terceirização de serviços financeiros introduz uma sobrecarga de conformidade substancial. O processo transforma-se de uma transferência técnica potencialmente simples na delegação de uma função de segurança central e regulada. Isto aciona requisitos extensivos relacionados com diligência prévia, especificidades contratuais, gestão de risco, monitorização contínua, direitos de auditoria e, potencialmente, conformidade com o Regulamento sobre a Resiliência Operacional Digital (DORA). O fardo significativo associado a estes requisitos de terceirização poderia potencialmente travar a própria inovação que a DA pretende encorajar, particularmente para comerciantes ou TSPs mais pequenos que não têm os recursos para navegar neste complexo cenário regulatório.

A classificação da Autenticação Delegada como 'terceirização' sob as propostas da PSD3/PSR significa que tais acordos se enquadram diretamente no âmbito das Orientações da EBA sobre Acordos de Terceirização. Estas orientações estabelecem um quadro abrangente ao qual as instituições financeiras (incluindo os emissores que delegam a SCA) e, por extensão, os Provedores de Serviços Técnicos (TSPs) que executam a função delegada, devem aderir.

Estas orientações impõem várias obrigações chave:

• Diligência Prévia: Antes de delegar a SCA, o emissor deve realizar uma diligência prévia exaustiva sobre os Provedores de Serviços Técnicos (TSP). Isto envolve avaliar a reputação comercial do TSP, as suas capacidades técnicas, estabilidade financeira, experiência, recursos (humanos, TI), estrutura organizacional e medidas de segurança para garantir que são adequados para desempenhar a função crítica da SCA.
• Avaliação de Risco: Uma análise de risco abrangente é obrigatória antes de celebrar e durante todo o acordo de terceirização. Esta deve cobrir riscos operacionais, riscos legais, riscos de conformidade, riscos de concentração (depender excessivamente de um TSP) e riscos associados à sub-terceirização (onde o TSP delega ainda mais partes da função). A terceirização de funções consideradas 'críticas ou importantes' (com a SCA implicitamente considerada como tal, a menos que explicitamente isenta) aciona requisitos ainda mais rigorosos.
• Requisitos Contratuais: Um acordo escrito detalhado é essencial. Este contrato deve definir claramente o âmbito da função delegada, papéis e responsabilidades, acordos de nível de serviço, lei aplicável, obrigações financeiras, disposições de segurança de dados (cobrindo acessibilidade, disponibilidade, integridade, confidencialidade e segurança), planos de continuidade de negócio e cláusulas de rescisão. Crucialmente, o acordo deve conceder à instituição delegante e aos seus reguladores direitos irrestritos de acesso e auditoria em relação à função terceirizada.
• Monitorização Contínua: O emissor não pode simplesmente 'delegar e esquecer'. Deve monitorizar continuamente o desempenho do TSP em relação às métricas acordadas, avaliar a sua postura de risco contínua e rever as suas medidas de segurança e continuidade de negócio. Confiar apenas nas certificações do TSP é insuficiente.
• Estratégia de Saída: Para funções críticas como a SCA, o emissor deve ter um plano de saída documentado. Este plano deve delinear estratégias para terminar o acordo, transferir a função para outro TSP ou trazer a função de volta para a empresa sem interromper o serviço ou comprometer a segurança ou a conformidade.
• Risco de Concentração: Tanto as instituições delegantes como as autoridades competentes devem monitorizar os riscos de concentração decorrentes de múltiplas instituições que dependem do mesmo TSP, ou de um pequeno número de TSPs dominantes, particularmente para funções críticas.
• Não a 'Estruturas Vazias': As orientações afirmam explicitamente que a terceirização não deve levar a uma situação em que a instituição delegante se torne uma 'estrutura vazia', sem a substância e a capacidade operacional para permanecer autorizada. A responsabilidade final pela conformidade e gestão de risco permanece com o órgão de gestão da instituição delegante.

Adicionando outra camada de complexidade está o Regulamento sobre a Resiliência Operacional Digital (DORA), que estabelece regras harmonizadas em toda a UE para a gestão de riscos de Tecnologias de Informação e Comunicação (TIC) no setor financeiro. O DORA aplica-se a partir de 17 de janeiro de 2025.

O DORA é relevante para a DA de várias maneiras:

• Aplicabilidade Direta: O DORA aplica-se diretamente a entidades financeiras, incluindo os bancos e outros PSPs que estariam a delegar a SCA.
• Provedores Terceiros Críticos de TIC (CTPPs): O DORA estabelece um quadro de supervisão para provedores terceiros de TIC considerados críticos para o sistema financeiro. Grandes TSPs que oferecem serviços de DA em escala (por exemplo, grandes gateways de pagamento, fornecedores de carteiras, potencialmente provedores de serviços na nuvem envolvidos) poderiam ser designados como CTPPs, colocando-os sob supervisão direta das autoridades da UE.
• Integração com a PSD3/PSR: As propostas da PSD3/PSR fazem referência explícita ao DORA, indicando que os acordos de terceirização, incluindo a DA, devem cumprir os seus requisitos. Isto significa que os TSPs que realizam DA precisarão de cumprir as normas do DORA para gestão de riscos de TIC, comunicação de incidentes, testes de resiliência e gestão de riscos de terceiros, aumentando ainda mais o fardo da conformidade.

A interação entre as Orientações de Terceirização da EBA e o DORA cria uma teia densa de obrigações de conformidade para qualquer TSP que se aventure na DA. Oferecer estes serviços com sucesso exigirá não apenas proeza técnica, mas também um investimento significativo em estruturas de governação, quadros de gestão de risco, documentação robusta, prontidão para auditorias e resiliência operacional demonstrável. Este ambiente complexo pode inadvertidamente favorecer TSPs maiores e estabelecidos com os recursos e a experiência para navegar nestes requisitos exigentes.

Uma consequência crucial da DA no âmbito do quadro proposto é a mudança na responsabilidade por transações fraudulentas onde a SCA falha.

• As propostas preliminares indicam que o terceiro que realiza a SCA delegada (por exemplo, comerciante, gateway, carteira) torna-se responsável pelos danos financeiros resultantes de fraude se não aplicar a SCA corretamente. Esta é uma mudança fundamental em relação à típica transferência de responsabilidade sob o 3DS, onde a responsabilidade muitas vezes se transfere para o emissor se a SCA for aplicada com sucesso.
• Além disso, o projeto de PSR introduz uma potencial responsabilidade para os provedores de serviços técnicos e operadores de esquemas de pagamento se uma falha na SCA for atribuível aos seus sistemas ou infraestrutura. Este ponto específico enfrenta forte oposição, nomeadamente da Mastercard, que argumenta que se baseia em equívocos sobre as responsabilidades de implementação da SCA.
• Os emissores, embora possam delegar o processo de SCA, não são totalmente absolvidos. Eles permanecem responsáveis por certos tipos de fraude, como o 'spoofing', onde um fraudador se faz passar pelo banco. O Parlamento Europeu propôs mesmo expandir estes direitos de reembolso em casos de fraude APP.

Esta responsabilidade direta colocada sobre os TSPs por falhas na SCA sob a DA representa um risco financeiro significativo. Embora a promessa de uma melhor experiência do utilizador e taxas de conversão seja atrativa, o custo potencial da fraude pode atuar como um dissuasor considerável para muitos TSPs que contemplam oferecer serviços de DA. Estratégias robustas de mitigação de risco, potencialmente incluindo taxas de serviço mais altas ou seguros especializados, podem tornar-se pré-requisitos necessários para a adoção generalizada da DA por comerciantes e gateways.

A Autenticação Delegada tem o potencial de remodelar fundamentalmente a experiência do utilizador para pagamentos com cartão, particularmente em comparação com o processo tradicional 3-D Secure (3DS).

Atualmente, o processo 3DS para desafios de SCA envolve tipicamente uma transferência onde o cliente interage com um elemento controlado pelo emissor. Tradicionalmente, isto significava um redirecionamento completo do navegador para longe do site ou aplicação do comerciante para o domínio do emissor (por exemplo, a sua aplicação bancária ou uma página de autenticação específica). Cada vez mais, as versões mais recentes do 3DS apresentam este desafio em linha através de um iframe incorporado na página do comerciante. Embora um iframe evite uma saída completa da página, ambos os métodos de redirecionar o foco do utilizador para um passo controlado pelo emissor podem ser disruptivos, adicionar tempo ao processo de checkout e contribuir para o abandono do cliente.

A DA oferece um caminho para eliminar este atrito da mudança de processo. Ao permitir que o comerciante, o gateway de pagamento ou a carteira digital realizem a SCA diretamente no seu próprio ambiente, o passo de autenticação pode ser perfeitamente integrado no fluxo de checkout. Isto promete uma experiência mais suave, rápida e coesa para o cliente. Quando combinada com métodos de autenticação modernos e de baixo atrito, como biometria integrada no dispositivo (Face ID, leitores de impressão digital) ou passkeys, a DA poderia reduzir significativamente o atrito no checkout, levando potencialmente a taxas de abandono de carrinho mais baixas e a taxas de conversão de pagamento mais altas. Dados do mundo real, como o aumento de 7% na conversão e a autenticação quatro vezes mais rápida relatados pela Stripe para transações que usam a sua solução de DA com titulares de cartões Wise, sublinham este benefício potencial.

Realizar este potencial requer um trabalho de base técnico e comercial significativo. Envolve o estabelecimento de novos pontos de integração e protocolos de comunicação entre comerciantes/gateways/carteiras e emissores. Esquemas de pagamento como a Visa e a Mastercard desempenham um papel importante aqui. A Mastercard, por exemplo, desenvolveu o seu Identity Check Express que permite aos comerciantes e à Mastercard autenticar o consumidor em nome do emissor dentro do fluxo do comerciante. Da mesma forma, a Stripe construiu as suas capacidades de DA com base em acordos bilaterais com emissores específicos como a Wise.

Estes desenvolvimentos sugerem que a DA é mais do que apenas uma atualização regulatória. Atua como um auxílio para re-arquitetar os fluxos de autenticação de pagamento. Mover o ponto de autenticação do domínio do emissor de volta para o ambiente do comerciante ou da carteira cria oportunidades para decisões de autenticação mais ricas e sensíveis ao contexto e experiências de utilizador que são menos disruptivas do que o modelo de redirecionamento tradicional. Esta mudança arquitetónica necessita da integração de métodos de autenticação modernos como as passkeys diretamente nos processos de checkout. No entanto, esta transição depende do estabelecimento de medidas de segurança robustas, alocação clara de responsabilidades (como discutido anteriormente) e quadros de confiança, provavelmente governados por uma combinação de regras de esquemas, acordos bilaterais e adesão às rigorosas regulamentações de terceirização e DORA.

Embora as propostas preliminares da PSD3/PSR estabeleçam as bases legislativas, a forma final da Autenticação Delegada será significativamente influenciada pelo diálogo contínuo e pelo lobbying dos principais intervenientes da indústria. Bancos, PSPs, fornecedores de tecnologia e comerciantes estão a interpretar ativamente estas propostas e a defender mudanças que se alinhem com os seus modelos de negócio e objetivos estratégicos. Muitos esforços de lobbying da UE são acessíveis através do Registo de Lobby Alemão (nota: este registo está principalmente em alemão, e muitos dos documentos submetidos também foram enviados para outros órgãos da União Europeia). A análise seguinte baseia-se em resumos e documentos disponíveis destas submissões públicas.

Como um importante fornecedor de infraestrutura de pagamentos, a Stripe vê uma oportunidade significativa na DA. Eles veem-na como uma ferramenta crucial para melhorar as taxas de conversão de pagamentos e a experiência de checkout do cliente, reduzindo o atrito. A Stripe lançou proativamente a sua própria solução de DA, baseada em acordos bilaterais com emissores como a Wise, demonstrando o seu compromisso com este modelo mesmo antes da finalização da PSD3/PSR. Os seus esforços de lobbying parecem focados em garantir que o ambiente regulatório apoie a inovação e minimize os encargos. As áreas chave incluem a defesa de processos de re-autorização simplificados para entidades licenciadas existentes sob a PSD3, a busca de maior clareza e flexibilidade em relação às isenções de SCA (como os limites da Análise de Risco de Transação (TRA) e as Transações Iniciadas pelo Comerciante (MITs)), garantir que as plataformas que usam soluções como o Stripe Connect não sejam desnecessariamente sobrecarregadas com requisitos de licenciamento de agentes, e pressionar por acesso direto aos sistemas de pagamento para PSPs não bancários.

O PayPal, uma importante instituição de moeda eletrónica e fornecedor de carteiras, é um proponente vocal de uma abordagem baseada em resultados para a SCA. Eles argumentam que as regulamentações devem priorizar a eficácia de segurança demonstrável de um método de autenticação – particularmente a sua resistência a ameaças modernas como o phishing – em vez de aderir estritamente às categorias de fatores tradicionais de Conhecimento/Posse/Inerência definidas na PSD2. Eles destacam o sucesso da sua implementação de passkeys, que reduziu significativamente a fraude enquanto melhorava o sucesso do login. Consequentemente, o PayPal insta os decisores políticos que desenham o PSR a focarem-se na força geral das soluções de autenticação, a permitirem combinações de fatores fortes mesmo que da mesma categoria (por exemplo, dois fatores de posse), a equilibrarem a segurança com a usabilidade e a evitarem mandatos tecnológicos excessivamente prescritivos.

A Mastercard contesta veementemente a classificação ampla de toda a DA como terceirização na proposta. Eles argumentam, juntamente com outros grupos da indústria, que apenas os modelos de autenticação onde o emissor não tem controlo sobre o processo de SCA devem estar sujeitos ao rigor total dos requisitos de terceirização. A sua posição de lobbying reflete isso: eles procuram clarificação de que a DA não é uma terceirização 'crítica', defendem acordos de terceirização escaláveis ou multilaterais para facilitar a adoção da DA, e querem que a responsabilidade proposta para esquemas e TSPs relacionada com falhas de SCA seja removida por completo. Adicionalmente, a Mastercard pressiona para que os comerciantes sejam obrigados a enviar informações adicionais, como dados comportamentais e ambientais, aos emissores para melhorar a avaliação de risco, e solicita a permissão explícita para que os TSPs processem dados biométricos sem consentimento explícito do utilizador especificamente para fins de SCA, e sugere o ajuste fino das isenções de SCA para casos de uso específicos de baixo risco.

As associações comerciais e os órgãos da indústria ecoam em grande parte as preocupações levantadas pelos principais intervenientes. A Payments Europe, por exemplo, reflete a posição da Mastercard sobre a definição de terceirização, enfatizando que apenas os cenários onde o emissor perde o controlo devem acionar as regras de terceirização. A Bitkom, representando a indústria digital, também pede clareza sobre este ponto e defende a regulamentação explícita da biometria comportamental para a SCA. Estes grupos consistentemente sublinham a necessidade de neutralidade tecnológica e flexibilidade no quadro da SCA para fomentar a inovação e evitar a exclusão digital). A CCIA Europe levanta preocupações práticas sobre a implementabilidade dos amplos direitos dos emissores de auditar e controlar as disposições de segurança dos TSPs no âmbito dos acordos de DA.

Tabela: Posições Chave da Indústria sobre Autenticação Delegada e SCA na PSD3/PSR

A forte e coordenada oposição à abordagem atual da proposta sublinha uma tensão fundamental. A indústria deseja os benefícios de experiência do utilizador e inovação potencialmente oferecidos pela DA, mas procura evitar os significativos encargos de conformidade associados à terceirização regulada sob as Orientações da EBA. A sua alternativa proposta – definir a terceirização com base na retenção de controlo pelo emissor – visa criar um espaço para a DA que seja menos intensivo em termos regulatórios. A resolução deste debate durante as discussões legislativas será crucial para determinar a viabilidade prática e a atratividade da DA para muitos TSPs.

Apesar desta incerteza regulatória, intervenientes de topo como a Stripe e a Mastercard não estão à espera. Estão a desenvolver e a implementar ativamente soluções de DA agora, utilizando quadros existentes como acordos bilaterais e regras de esquemas, incorporando frequentemente tecnologias avançadas como biometria e padrões FIDO. Esta estratégia proativa permite-lhes capturar uma quota de mercado inicial, demonstrar a viabilidade técnica da DA, potencialmente moldar os padrões emergentes e preparar os seus clientes para o cenário futuro. Esta abordagem não é impulsionada apenas pela melhoria da experiência do consumidor; serve também para vincular os clientes mais estreitamente ao provedor de pagamentos em vez do emissor, tudo isto enquanto navegam nos riscos inerentes de um ambiente regulatório em evolução e nas mudanças de responsabilidade associadas. À medida que a indústria explora estes novos modelos de DA, o papel de tecnologias de autenticação avançadas como as passkeys torna-se cada vez mais central para alcançar tanto os objetivos de segurança como de experiência do utilizador.

As passkeys, baseadas no padrão WebAuthn da FIDO Alliance, representam um avanço importante na tecnologia de autenticação, e esta secção discutirá como elas podem ajudar a preencher a lacuna para a Autenticação Forte de Cliente (SCA) num contexto de Autenticação Delegada (DA).

A força principal das Passkeys é o uso de criptografia de chave pública para criar credenciais únicas para cada site ou aplicação. Este mecanismo torna-as inerentemente resistentes a ataques de phishing, uma vez que a credencial só funciona no site legítimo para o qual foi criada e depende do desbloqueio seguro do dispositivo (muitas vezes através de biometria) em vez de segredos partilhados como passwords. Esta combinação oferece o potencial tanto para uma segurança reforçada como para uma experiência de utilizador mais suave.

Do ponto de vista técnico, as passkeys parecem idealmente adequadas para cenários de Autenticação Delegada. Num fluxo de DA, um comerciante ou gateway que realiza a SCA poderia solicitar ao utilizador que se autenticasse usando uma passkey armazenada no seu dispositivo (telemóvel, computador). Esta autenticação acontece diretamente no ambiente do comerciante ou do TSP, aproveitando as capacidades biométricas integradas do dispositivo (como Face ID ou leitura de impressão digital) para verificação, eliminando assim a necessidade de redirecionamentos ou códigos de uso único (OTPs) complicados. Isto alinha-se perfeitamente com o objetivo da DA de criar checkouts mais fluidos e seguros. Mas vamos ver como um Emissor poderia controlar e verificar uma autenticação de terceiros com passkeys.

No entanto, a integração de passkeys no mundo regulado da SCA, especialmente sob a DA, enfrenta desafios. A categorização rígida de três fatores (Conhecimento, Posse, Inerência) da PSD2 criou ambiguidade sobre como as passkeys se enquadram, particularmente no que diz respeito ao elemento 'Posse' e à independência dos fatores quando a biometria desbloqueia o dispositivo que detém a passkey. O surgimento de passkeys sincronizadas (que podem estar disponíveis em múltiplos dispositivos) complica ainda mais esta classificação.

Embora a PSD3/PSR introduza alguma flexibilidade ao clarificar que os fatores de autenticação precisam apenas de ser independentes (a compromisso de um não afeta o outro) em vez de pertencerem necessariamente a categorias diferentes, como explicitamente declarado na proposta de regulamento:

Isto não resolve totalmente a ambiguidade da classificação nem fornece um endosso explícito para as passkeys sincronizadas como conformes com a SCA. Esta incerteza regulatória reforça os argumentos de intervenientes como o PayPal, que defendem uma abordagem baseada em resultados para a SCA, focando-se nos resultados de segurança comprovados (como a resistência a phishing) fornecidos por métodos como as passkeys, em vez de os forçar a caixas categoriais potencialmente desatualizadas. (Para uma análise mais aprofundada da SCA baseada em resultados e passkeys, consulte a nossa análise sobre SCA baseada em resultados)

Dada a ampla adoção de passkeys sincronizadas por utilizadores e comerciantes, e as limitações do SPC, o quadro da PSD3/PSR deve visar a criação de um caminho claro para aproveitar estas relações de passkey existentes na Autenticação Delegada. Esta abordagem focar-se-ia na segurança prática e baseada em resultados, em vez de ser restringida por implementações técnicas específicas concebidas antes da maturação das passkeys sincronizadas. Para alcançar isto, são necessários vários desenvolvimentos chave, focando-se em ajustes regulatórios, mecanismos de confiança operacional e padrões da indústria em evolução. Um modelo de DA à prova de futuro que aproveite as passkeys sincronizadas poderia envolver vários desenvolvimentos chave que vamos discutir agora.

A generalização eficaz de passkeys sincronizadas na DA começa com uma clara Capacitação Regulatória e Mandatos sob a PSD3/PSR. Isto envolve as seguintes considerações chave:

• Endosso Explícito de Passkeys Sincronizadas para DA: A PSD3/PSR deve clarificar explicitamente que as passkeys sincronizadas, quando usadas apropriadamente, podem cumprir os requisitos de SCA num contexto de DA. O foco deve estar na ligação criptográfica verificável, na resistência a phishing alcançada e na independência do processo de autenticação, em vez de uma adesão rígida a categorizações de fatores de SCA pré-passkey.
• Mandato de Dados de Autenticação Ricos: Alinhando-se com os pedidos da indústria (como os da Mastercard), a regulamentação deve exigir que os TSPs que realizam DA incluam dados de autenticação abrangentes e padronizados (por exemplo, detalhes da autenticação com passkey, elementos de assertion FIDO relevantes e sinais de risco contextuais) na informação da transação de pagamento enviada para as redes de pagamento e emissores. Isto baseia-se em mecanismos existentes como o campo threeDSRequestorAuthenticationInfo usado no EMV 3DS para dados FIDO do comerciante 1.

Para além da clareza regulatória, a Operacionalização da Confiança com Passkeys detidas pelo Comerciante é crucial para a adoção generalizada. Isto requer sistemas e processos robustos para:

• Verificação pelo Emissor da DA Iniciada pelo Comerciante: Os emissores precisariam de sistemas robustos para receber e verificar criptograficamente as assertions de autenticação geradas a partir de passkeys. Crucialmente, em muitos cenários de DA, a passkey usada poderia ser uma que o utilizador já criou com o comerciante para aceder aos próprios serviços do comerciante.
• Desafio Dinâmico e Controlo do Emissor: Para manter o controlo do emissor e garantir a vinculação dinâmica, uma transação de DA poderia funcionar da seguinte forma:
  • O emissor (ou a rede de pagamentos em seu nome) fornece um desafio único e específico da transação ao TSP (comerciante/gateway).
  • O TSP solicita ao utilizador que autorize a transação assinando este desafio (mais dados críticos da transação) usando a sua passkey sincronizada existente registada com o comerciante.
  • A assertion assinada é devolvida ao emissor para verificação.
• Roll-Over Condicional da DA: Uma autenticação inicial mais forte diretamente com o emissor (talvez usando uma passkey registada pelo emissor ou um fluxo de desafio 3DS robusto) poderia estabelecer uma relação de confiança para uma passkey específica do comerciante. Transações de DA subsequentes usando essa mesma passkey de comerciante verificada poderiam então prosseguir com o modelo de desafio dinâmico descrito acima, oferecendo uma experiência de utilizador mais fluida, desde que a passkey permaneça válida e os parâmetros de risco sejam cumpridos.

Finalmente, o sucesso a longo prazo da DA baseada em passkeys dependerá da Evolução dos Padrões e de uma mudança firme para uma Perspetiva de SCA Baseada em Resultados. Isto implica:

• Papel dos Órgãos da Indústria: Organizações como a FIDO Alliance (incluindo os seus grupos de trabalho focados em pagamentos) e a EMVCo são cruciais no desenvolvimento e padronização dos protocolos e sinais de confiança necessários para suportar tais modelos de DA de forma segura e escalável. Isto inclui definir como as assertions de autenticação de passkeys detidas pelo comerciante podem ser apresentadas e verificadas de forma fiável pelos emissores num contexto de DA.
• Para Além das Definições Rígidas de SCA: O objetivo final deve ser a transição para uma abordagem baseada em resultados para a SCA. Se um método de DA que utiliza passkeys sincronizadas (mesmo aquelas criadas com o comerciante) puder demonstrar que fornece uma autenticação multifator resistente a phishing e dinamicamente ligada à transação, deve ser considerado conforme. Isto prioriza o resultado de segurança real sobre a adesão a interpretações tradicionais, por vezes desatualizadas, dos elementos da SCA, fomentando assim a inovação e aproveitando tecnologias já familiares aos utilizadores.

Esta evolução permitiria que o ecossistema de pagamentos capitalizasse o significativo investimento e adoção existentes de passkeys sincronizadas tanto por utilizadores como por comerciantes, criando um caminho para uma Autenticação Delegada mais segura, fluida e amplamente acessível.

O diagrama de sequência acima ilustra um futuro potencial para a Autenticação Delegada (DA) aproveitando as passkeys no ecossistema de pagamentos. Ele descreve um fluxo simplificado onde os comerciantes, usando passkeys, poderiam realizar a Autenticação Forte de Cliente (SCA) em nome dos emissores. Esta visão alinha-se com a direção da PSD3/PSR e a crescente adoção da tecnologia de passkeys.

Verificação da Realidade: No entanto, este futuro visionado ainda não é o padrão atual. Vários desafios práticos devem ser abordados para uma adoção generalizada. Os quadros regulatórios, particularmente sob a futura PSD3/PSR, precisam de clarificar totalmente como as passkeys sincronizadas se enquadram na Autenticação Forte de Cliente e como a responsabilidade será gerida em cenários de Autenticação Delegada. Padrões técnicos essenciais, incluindo aqueles para os emissores verificarem as passkeys detidas pelos comerciantes e para garantir uma vinculação dinâmica de transação consistente em todas as plataformas, ainda estão a amadurecer. Construir uma ampla confiança dos emissores nos processos de autenticação liderados pelos comerciantes é também um passo crítico. Além disso, garantir uma experiência de utilizador fluida, gerir potencialmente múltiplas passkeys por utilizador e alcançar um suporte universal de navegador/plataforma para todas as funcionalidades específicas de pagamento necessárias continuam a ser esforços contínuos. Finalmente, abordar quaisquer perceções de segurança remanescentes em torno dos ecossistemas de passkey sincronizada e a fiabilidade da attestation será importante para construir total confiança.

Apesar destes obstáculos – muitos dos quais são específicos da legislação europeia de SCA que, é importante lembrar, se aplica apenas à Europa – a tecnologia subjacente para tal sistema já está, em grande parte, implementada. Isto é evidenciado pela realidade atual: a adoção generalizada de passkeys por grandes intervenientes fora da UE, como o PayPal, e o uso extensivo por numerosos bancos dos EUA (incluindo aqueles que utilizam o Banno da Jack Henry e muitos outros). O fluxo representado é, portanto, tecnicamente viável e capitalizaria este forte e existente impulso de adoção de passkeys por utilizadores e comerciantes, em vez de trabalhar contra ele. Esta abordagem poderia abrir caminho para experiências de pagamento mais seguras e fluidas a nível global.

A proposta da PSD3 e do PSR representa uma evolução significativa no quadro regulamentar de pagamentos da UE, com o objetivo de construir sobre as bases da PSD2, ao mesmo tempo que aborda as suas limitações e se adapta a um mercado em rápida digitalização.

Um desenvolvimento chave é a permissão explícita da Autenticação Delegada (DA), permitindo que terceiros como comerciantes e carteiras realizem a Autenticação Forte de Cliente (SCA) em nome dos bancos emissores. No entanto, esta permissão vem com uma ressalva crucial na UE: a classificação da DA como 'terceirização'. Isto aciona uma teia complexa de obrigações de conformidade sob as Orientações da EBA sobre Acordos de Terceirização e o Regulamento sobre a Resiliência Operacional Digital (DORA). Além disso, as propostas transferem a responsabilidade por uma SCA falhada diretamente para a entidade que realiza a autenticação delegada.

Isto cria uma tensão fundamental, particularmente no contexto europeu. De um lado, há o impulso regulatório para uma segurança, controlo e resiliência reforçados, manifestado através de requisitos rigorosos de terceirização e resiliência operacional. Do outro lado, há o forte desejo da indústria por inovação, flexibilidade e melhores experiências de utilizador, que a DA, particularmente quando combinada com métodos modernos como as passkeys, promete entregar. Os intensos esforços de lobbying em torno da definição de 'terceirização' para fins de DA destacam este conflito. É de notar que, embora estes obstáculos regulatórios específicos sejam proeminentes na UE, a tecnologia de passkeys subjacente está a ter uma robusta adoção global e implementação bem-sucedida noutros mercados com cenários regulatórios diferentes.

A futura taxa de adoção e o impacto da Autenticação Delegada, especialmente na UE, dependem criticamente dos detalhes finais do processo legislativo – particularmente no que diz respeito ao âmbito das regras de terceirização, à alocação de responsabilidade e, crucialmente, ao reconhecimento explícito das passkeys sincronizadas como um mecanismo compatível com a SCA na DA. A capacidade da indústria de estabelecer quadros de confiança práticos e escaláveis entre emissores e TSPs que realizam a autenticação também será primordial.

As passkeys, particularmente as passkeys sincronizadas, estão intrinsecamente alinhadas com os objetivos da DA, oferecendo uma robusta resistência a phishing e o potencial para experiências de utilizador fluidas e baseadas em biometria. Elas representam uma alternativa convincente às passwords tradicionais e aos OTPs. O desafio não reside na viabilidade técnica de usar passkeys para a DA – como evidenciado pela sua adoção global bem-sucedida para vários fins de autenticação – mas em navegar nos requisitos regulatórios específicos da UE e estabelecer critérios claros e baseados em resultados para a sua aceitação sob a SCA. Uma abordagem que priorize os resultados de segurança demonstráveis das autenticações com passkey (por exemplo, verificabilidade criptográfica, resistência a phishing, vinculação dinâmica) sobre a adesão rígida às categorizações de fatores tradicionais será essencial para desbloquear todo o seu potencial na DA.

Para as empresas que operam no ecossistema de pagamentos europeu, os próximos anos exigem uma monitorização cuidadosa da finalização da PSD3, do PSR e das normas técnicas associadas da EBA. As organizações devem avaliar proativamente como a Autenticação Delegada, impulsionada pelo ecossistema de passkeys em maturação, pode remodelar as suas estratégias de pagamento e autenticação. Isto envolve não só avaliar o potencial de tecnologias como as passkeys sincronizadas, mas também preparar-se para as mudanças operacionais e de conformidade necessárias para construir uma confiança verificável com parceiros em acordos de DA.

Para os fornecedores de soluções de autenticação, a oportunidade reside no desenvolvimento de ofertas que sejam seguras, fáceis de usar e arquitetadas para ajudar os clientes (TSPs) a cumprir os exigentes requisitos de conformidade da DA no cenário da PSD3/PSR. Isto inclui facilitar a troca segura de dados de autenticação e apoiar mecanismos que permitam aos emissores verificar com confiança as transações de DA realizadas com passkeys detidas por comerciantes, fomentando, em última análise, as experiências de pagamento seguras e fluidas que a PSD3/PSR visa alcançar, aproveitando o impulso global da tecnologia de passkeys.