Passkeys e PSD2: MFA Resistente a Phishing e em Conformidade com a PSD2

No setor bancário digital, a segurança e a experiência do usuário já não precisam estar em conflito. As passkeys unem os dois fatores, introduzindo uma MFA resistente a phishing que se alinha aos requisitos da PSD2 e da SCA. As passkeys são a forma de autenticação mais segura e fácil de usar que pode ser implementada nos serviços financeiros. Este avanço surge num momento crucial, enquanto o setor bancário lida com a implementação da Diretiva de Serviços de Pagamento Revisada (PSD2) - um quadro regulamentar concebido para melhorar a segurança e a competitividade do setor bancário europeu.

Neste contexto, as Passkeys surgem não apenas como uma solução de conformidade, mas também como uma grande forma de inovação, prometendo cumprir os rigorosos requisitos da PSD2 sem comprometer a experiência do usuário (UX). Neste post de blog, analisamos as nuances da PSD2 e o seu mandato para a Autenticação Forte do Cliente (SCA): fica claro que as passkeys representam o futuro da MFA resistente a phishing no setor bancário.

A PSD2 é uma legislação introduzida pela União Europeia para revolucionar os serviços de pagamento e o panorama bancário na Europa. Os seus objetivos principais são aumentar a concorrência, reforçar a proteção do consumidor e fomentar a inovação no espaço de pagamentos digitais. Ao exigir o acesso aberto a informações financeiras de clientes a terceiros aprovados (com o consentimento do cliente), a PSD2 abre caminho para um ecossistema financeiro mais integrado, eficiente e fácil de usar. No entanto, com grande poder vem grande responsabilidade, e a PSD2 aborda isso através do seu foco na segurança, particularmente através da lente dos protocolos de autenticação.

No cerne das medidas de segurança da PSD2 está o requisito de Autenticação Forte do Cliente (SCA), um protocolo concebido para reduzir drasticamente a fraude e aumentar a segurança dos pagamentos eletrónicos. A SCA baseia-se no princípio de que os pagamentos eletrónicos não devem ser apenas fluidos, mas também seguros o suficiente para resistir a várias ameaças. Este quadro de autenticação é obrigatório para prestadores de serviços de pagamento, bancos e gateways de pagamento eletrónico que operam no âmbito da PSD2.

A implementação da SCA sob a PSD2 é definida por vários requisitos críticos:

A autenticação deve envolver pelo menos dois elementos das seguintes categorias:

• Conhecimento: Algo que apenas o usuário sabe, como uma senha ou PIN.
• Posse: Algo que apenas o usuário possui, como um dispositivo móvel, smart card ou token de hardware.
• Inerência: Algo inerente ao usuário, incluindo identificadores biométricos como impressões digitais, reconhecimento facial ou padrões de voz.

Para cada transação, deve ser gerado um código de autenticação único que vincula dinamicamente os detalhes específicos da transação, como o montante e o número da conta do destinatário.

Os usuários são obrigados a reautenticar-se em intervalos, tipicamente a cada 90 dias, para manter o acesso aos serviços de banca online. No entanto, este requisito foi revisto para otimizar o equilíbrio entre segurança e conveniência.

A SCA deve ser aplicada a todas as transações eletrónicas, garantindo que a autenticação seja específica ao montante e ao beneficiário, criando uma assinatura única para cada transação.

Os prestadores de serviços de pagamento devem usar uma abordagem baseada em risco para aplicar a SCA, onde transações de menor risco podem ser isentas da SCA para agilizar o processo de pagamento sem comprometer a segurança (note a ligação com as passkeys aqui já?).

Todo o processo de autenticação deve ser rastreável e auditável, com registos mantidos para provar a adesão aos requisitos da SCA.

Ao introduzir a SCA, a PSD2 elevou significativamente o padrão de segurança das transações no setor bancário. A seguir, focaremos nos diferentes fatores envolvidos na Autenticação Multifator (MFA). Estes fatores também têm impacto no requisito de Autenticação Específica da Transação (leia mais abaixo).

A seguir, apresentaremos as diferentes fases de evolução da autenticação no setor bancário.

A jornada da autenticação no setor bancário começou com o uso de Números de Identificação Pessoal (PINs) e Números de Autenticação de Transação (TANs). Os clientes recebiam uma lista de TANs, cada um para ser usado uma vez para verificação de transações. Este método, embora revolucionário na época, tinha as suas desvantagens, incluindo o risco de as listas de TANs serem roubadas ou mal utilizadas.

Com o avanço da tecnologia, os bancos introduziram TANs eletrónicos (eTANs) e TANs móveis (mTANs), onde os TANs eram gerados e enviados para o dispositivo móvel do cliente via SMS. Este método melhorou a segurança ao vincular o TAN ao dispositivo, mas também introduziu novas vulnerabilidades, como o risco de interceção de SMS e a inconveniência de ter de esperar e gerir estas mensagens. Até à introdução das passkeys, o OTP por SMS ainda é considerado a opção de 2FA mais confortável disponível para o setor bancário do ponto de vista da UX.

Para aumentar ainda mais a segurança, os bancos adotaram smart cards e dispositivos token que geravam códigos únicos para autenticação. Estas soluções baseadas em hardware ofereciam um nível de segurança mais elevado, mas também adicionavam complexidade e inconveniência para os clientes, que agora tinham de carregar um dispositivo adicional.

A mais recente evolução na autenticação bancária inclui a biometria (impressão digital ou reconhecimento facial) e aplicações de mobile banking com funcionalidades de segurança integradas. Estes métodos visavam equilibrar a segurança com a conveniência, aproveitando as características biológicas únicas do usuário e a ubiquidade dos smartphones. No entanto, também exigem que os clientes passem pelo processo de descarregar e configurar uma aplicação para cada banco que o usuário utiliza.

Apesar destes avanços, os clientes ainda enfrentam inconveniências e frustrações significativas com os métodos atuais de autenticação bancária e correm o risco de serem alvo de fraudadores:

• Complexidade e Inconveniência: A sobreposição de múltiplos passos de autenticação, embora um impulso para a segurança, muitas vezes traduz-se num processo complicado para os usuários. Esta complexidade não é apenas uma pequena inconveniência; pode dissuadir os clientes de usar os serviços de banca digital, minando o próprio propósito da transformação digital.
• Dependência de Dispositivos e Plataformas: A mudança para a autenticação móvel e biométrica vincula os usuários de perto aos seus dispositivos. Esta dependência cria um elo frágil em caso de roubo. Além disso, falhas técnicas podem tornar os serviços bancários inacessíveis, deixando os clientes desamparados.
• Vulnerabilidades a Phishing: Apesar dos avanços, a suscetibilidade dos fatores de autenticação a phishing continua a ser uma vulnerabilidade que não é abordada pela SCA. Fatores tradicionais como PIN, senha, OTPs por SMS, OTPs por e-mail podem ser comprometidos através de esquemas sofisticados de phishing, colocando os dados e as finanças dos clientes em risco.

Até hoje, os bancos, especialmente os tradicionais, continuam a alertar os clientes sobre o risco significativo de phishing.

Na secção seguinte, explicaremos como isto funciona usando um exemplo real.

Os ataques de phishing são há muito uma ameaça significativa à segurança do setor bancário, explorando a psicologia humana (engenharia social) e vulnerabilidades tecnológicas para obter acesso não autorizado a informações financeiras sensíveis. À medida que os bancos evoluíram a sua autenticação, os fraudadores adaptaram-se, criando esquemas sofisticados para contornar as medidas de segurança. Compreender como o phishing funciona, especialmente no contexto destes métodos de autenticação comuns, é crucial para reconhecer a urgência de soluções de autenticação não suscetíveis a phishing, como as passkeys.

Na sua essência, o phishing consiste em enganar indivíduos para que revelem informações sensíveis, como credenciais de login ou informações financeiras, sob o disfarce de uma comunicação legítima do seu banco. Isto é tipicamente alcançado através dos seguintes passos:

1. A Iniciação: Os fraudadores enviam mensagens (muitas vezes por e-mail ou SMS) que imitam as comunicações oficiais do banco, completas com logótipos e linguagem que parecem confiáveis. Estas mensagens geralmente criam um sentido de urgência, alegando que é necessária uma ação imediata para resolver um problema ou evitar o encerramento da conta.
2. O Engano: A mensagem contém um link para um site fraudulento que se assemelha muito ao portal de banca online oficial do banco. Sem saber do engano, a vítima é levada a acreditar que está a aceder ao site legítimo do seu banco.
3. A Captura: Uma vez no site de phishing, a vítima é solicitada a inserir os seus detalhes de autenticação, como o seu PIN ou a confirmar uma transação com um OTP enviado por SMS. Acreditando que está a interagir com o seu banco, a vítima cumpre, entregando inadvertidamente as suas credenciais aos atacantes.
4. A Exploração: Armados com estes detalhes, os fraudadores podem então aceder à conta bancária da vítima, realizar transações não autorizadas ou cometer roubo de identidade.

Considere um cenário em que um cliente do Deutsche Bank recebe um SMS a alertá-lo de que a sua conta será desativada. A mensagem inclui um link para um site para verificar a identidade do cliente, tendo "deutschebank" como parte do URL, incluindo um certificado SSL correspondente. Este site, uma réplica precisa da página de login do Deutsche Bank (como pode ver nas capturas de ecrã abaixo), solicita ao cliente o seu PIN de banca online e, em seguida, pede um OTP por SMS em tempo real (não visível nas capturas de ecrã por razões de segurança). Sem o saber, ao inserir esta informação no site de phishing, o cliente permite que os atacantes obtenham acesso total à sua conta do Deutsche Bank e potencialmente transfiram grandes somas de dinheiro para outras contas.

Este é o SMS de phishing com o pedido para recuperar o acesso à conta bancária (capturas de ecrã disponíveis apenas em alemão):

Este é o site de phishing dos atacantes (https://deutschebank-hilfe.info):

Este é o site original para referência (https://meine.deutsche-bank.de) que os atacantes copiaram quase na perfeição (apenas deixaram de fora o aviso de phishing na parte inferior):

Clientes que estão habituados a fazer login através desta UI idêntica e a usar OTP por SMS como fator de autenticação podem facilmente ser vítimas de tais ataques. Existe um ecossistema substancial de suites de código aberto concebidas para se focarem em ataques de phishing que visam sistemas OAuth ou bancários (ex: https://github.com/gophish/gophish) para fins de investigação de segurança. No entanto, estes sistemas podem ser facilmente adaptados para fins maliciosos.

O phishing no setor bancário torna-se cada vez mais preciso com cada fuga de dados na dark web. Tipicamente, informações de pagamento como IBANs também fazem parte destas fugas. Embora esta informação não possa ser usada para roubar dinheiro diretamente, pode ser utilizada em abordagens de spear-phishing onde o atacante sabe que o alvo é de facto um cliente do banco.

A falha crítica no cenário acima reside na suscetibilidade a phishing dos fatores de autenticação: tanto o PIN como o OTP por SMS podem ser facilmente solicitados ao cliente sob falsos pretextos. Esta vulnerabilidade sublinha a necessidade de métodos de autenticação que não possam ser comprometidos através de engenharia social ou ataques de phishing.

Fatores de autenticação não suscetíveis a phishing, como os ativados por passkeys, oferecem uma defesa robusta contra tais esquemas. Como as passkeys não dependem de segredos partilhados que podem ser divulgados, obtidos por engano de um usuário ou intercetados, elas mudam fundamentalmente o panorama da segurança. Com as passkeys, o processo de autenticação envolve uma prova criptográfica de identidade que não pode ser replicada por fraudadores, eliminando o vetor de ataque mais comum no phishing.

Para combater eficazmente as ameaças de phishing, o setor bancário deve adotar uma abordagem multifacetada que inclua:

1. Educar os Clientes: Os bancos devem informar continuamente os seus clientes sobre os riscos de phishing e como reconhecer comunicações fraudulentas.
2. Implementar Autenticação Não Suscetível a Phishing: Transitar para métodos de autenticação que não dependam de informações que possam ser solicitadas ou intercetadas, fechando assim a porta a muitas tentativas de phishing.
3. Melhorar os Sistemas de Deteção de Fraude: Utilizar análises avançadas e machine learning para detetar e prevenir transações não autorizadas, mesmo que os phishers obtenham alguma forma de dados de autenticação.

Embora o phishing continue a ser uma ameaça significativa para o setor bancário, a adoção de métodos de autenticação não suscetíveis a phishing, como as passkeys, representa um passo crítico para proteger a banca online contra fraudadores. Ao remover o elo mais fraco - a suscetibilidade a phishing dos fatores de autenticação - os bancos podem aumentar significativamente a segurança dos ativos e informações pessoais dos seus clientes.

Até hoje, o Banco Central Europeu e as autoridades de supervisão bancária locais (ex: BaFin) não tomaram uma posição sobre se as passkeys, como um todo, seriam classificadas como 2FA ou como os bancos as deveriam usar.

Na próxima secção, pretendemos explicar por que acreditamos que as passkeys são compatíveis com a PSD2.

Em discussões com stakeholders dos setores de pagamentos, fintech e bancário, uma questão recorrente surge: As passkeys são compatíveis com a PSD2 e podem servir como a única forma de autenticação em cenários bancários? A relação entre as passkeys e a Diretiva de Serviços de Pagamento Revisada (PSD2) na União Europeia é complexa e exige uma exploração detalhada. Para elucidar, as passkeys são geralmente categorizadas em dois tipos: Passkeys Sincronizadas (Multi-Dispositivo) e Passkeys Não Sincronizadas (Dispositivo Único), cada uma com características distintas em relação à conformidade com a PSD2:

A adesão à conformidade é muito importante para entidades reguladas como bancos e companhias de seguros. No entanto, as políticas de conformidade podem levar muito tempo a mudar. No caso das passkeys, a grande vantagem de segurança é que não são suscetíveis a phishing, pois os clientes não podem divulgar inadvertidamente esta informação a atacantes.

Embora as passkeys aumentem significativamente a segurança por não serem suscetíveis a phishing, elas transferem parte do risco para a conta na nuvem do cliente, como o iCloud Keychain da Apple. Isto torna a conta na nuvem um alvo mais atrativo para os atacantes. No entanto, serviços como o iCloud da Apple têm medidas de segurança robustas, particularmente para funcionalidades que suportam passkeys.

Primeiro, as passkeys do iCloud dependem da autenticação de dois fatores (2FA) estar ativada na conta, adicionando uma camada extra de segurança. Isto significa que, mesmo que um atacante saiba a senha do iCloud do cliente, ainda precisaria de acesso a um dispositivo confiável ou número de telefone para receber o código de 2FA.

A Apple, e de forma semelhante a Google para as suas contas, investem recursos substanciais na segurança destes serviços na nuvem. Os protocolos de segurança para contas que suportam passkeys na nuvem são rigorosos, tornando quase impossível a invasão por usuários não autorizados. Este elevado padrão de segurança é mantido através de atualizações constantes e patches de segurança (e eles também introduziram passkeys para as suas contas, veja este post de blog).

Além disso, o roubo de dispositivos ou contas na nuvem, embora seja um risco potencial, não é o vetor de ataque mais comum para aplicações bancárias. Em caso de necessidades de segurança acrescidas, como para transações suspeitas, os bancos poderiam continuar a usar OTPs por SMS como um fator adicional. Ao substituir o PIN/senha por passkeys, o primeiro fator de autenticação torna-se imune a phishing, reduzindo significativamente o risco de ataques de phishing bem-sucedidos. Um terceiro fator poderia ser introduzido para transações que são sinalizadas como suspeitas, garantindo uma postura de segurança robusta.

Ao contrário das visões tradicionais (avessas ao risco) sobre a conformidade com a PSD2, a Finom e a Revolut decidiram que proteger os dados dos clientes é mais importante e, por isso, estão a usar passkeys, apesar da falta de uma decisão europeia pública sobre como a supervisão bancária deve tratar as passkeys em relação à conformidade com a PSD2. Neobancos e fintechs como a Finom e a Revolut estão a desafiar o status quo e, ao fazê-lo, estão a influenciar o panorama regulatório relativamente às medidas de autenticação prescritas pela PSD2.

Ao priorizar a segurança e a integridade dos dados dos clientes, estes pioneiros da fintech estão a adotar passkeys mesmo na ausência de orientação regulatória explícita das autoridades europeias. Esta postura proativa coloca a responsabilidade nos reguladores para reavaliarem as suas estruturas de conformidade à luz dos avanços tecnológicos que oferecem soluções de segurança superiores.

A decisão ousada da Finom e da Revolut de implementar passkeys destaca um aspeto crítico da conformidade regulatória: não se deve tratar de aderir rigidamente a padrões, mas sim de alcançar os objetivos subjacentes a esses padrões, que, neste caso, é a máxima segurança dos dados e transações dos clientes. Ao optar por priorizar a proteção de dados em detrimento de uma adesão estrita aos modelos de conformidade tradicionais, estes neobancos estão a estabelecer novos padrões para a indústria.

Do ponto de vista regulatório, há uma necessidade premente de clareza e adaptação para acomodar avanços como as passkeys no quadro de conformidade da PSD2. Instamos a UE a tomar uma posição definitiva sobre as passkeys, reconhecendo-as como uma forma superior de autenticação multifator (MFA) que se alinha com os objetivos centrais da PSD2 de fortalecer a segurança e reduzir a fraude no ecossistema de pagamentos digitais.

As passkeys, por design, oferecem um fator de autenticação robusto e resistente a phishing que supera as capacidades de segurança da maioria dos métodos de MFA tradicionais. Isto não só melhora a segurança, mas também simplifica a experiência do usuário, abordando dois aspetos críticos da conformidade com a PSD2.

A posição da UE deve evoluir para refletir os avanços tecnológicos que redefinem o que constitui uma autenticação eficaz e segura. Ao abraçar inovações como as passkeys e incorporá-las no tecido regulatório, a UE pode demonstrar o seu compromisso tanto com a proteção dos consumidores como com a promoção de um ambiente financeiro digital virado para o futuro.

À medida que a indústria financeira continua a inovar, cabe aos reguladores fornecer orientações claras e progressivas que não só acompanhem a mudança tecnológica, mas também antecipem desenvolvimentos futuros. Os neobancos estão atualmente a liderar o caminho, mas, em última análise, é da responsabilidade dos órgãos reguladores garantir que o setor financeiro como um todo possa avançar de forma segura e confiante para o futuro da banca digital.

A adoção de passkeys na área bancária e de fintech destaca-se como um excelente exemplo de inovação que melhora significativamente tanto a segurança como a experiência do usuário. Ao longo do nosso artigo, estabelecemos o potencial das passkeys como uma solução de autenticação inovadora que se alinha com as rigorosas exigências de segurança da PSD2, ao mesmo tempo que mitiga ameaças prevalecentes como o phishing. Neobancos/fintechs como a Finom e a Revolut estabeleceram um precedente ao integrar passkeys nas suas estruturas de segurança, demonstrando a sua eficácia e abordagem centrada no cliente.

Um plano de ação de três passos para os bancos tradicionais poderia ser o seguinte:

1. Envolvimento com os Reguladores Locais: Os bancos tradicionais devem envolver-se proativamente com os seus órgãos reguladores locais e autoridades de supervisão bancária para discutir a implementação de passkeys. Este diálogo deve visar clarificar as posições regulatórias e abrir caminho para a integração de passkeys na estrutura de conformidade existente. Ao tomar a iniciativa, os bancos podem contribuir para moldar um ambiente regulatório que apoie métodos de autenticação inovadores.
2. Aprender com as Melhores Práticas dos Neobancos: É imperativo que os bancos tradicionais observem e aprendam com os neobancos que implementaram passkeys com sucesso. Estudar estas melhores práticas fornecerá informações valiosas sobre os aspetos operacionais, técnicos e de serviço ao cliente da implementação de passkeys. Esta transferência de conhecimento pode ajudar os bancos tradicionais a elaborar as suas estratégias para adotar passkeys.
3. Transição Estratégica para Passkeys: Com clareza regulatória e uma compreensão das melhores práticas, os bancos tradicionais podem desenvolver um plano abrangente para a transição dos clientes para a autenticação baseada em passkeys. Este plano deve incluir campanhas de educação do cliente para explicar os benefícios e o uso de passkeys, implementações faseadas para garantir uma transição suave e avaliação contínua para abordar quaisquer desafios prontamente.

O futuro da autenticação bancária reside em tecnologias que priorizam tanto a segurança como a usabilidade. As Passkeys representam um passo nessa direção, fornecendo um método de autenticação não suscetível a phishing e fácil de usar que cumpre os padrões estabelecidos pela PSD2 e outros quadros regulatórios.

Para os bancos tradicionais, agora é a hora de abraçar a mudança e iniciar a transição para as passkeys. Esta transição, no entanto, não deve ser abrupta, mas sim um movimento bem ponderado, tendo em conta as necessidades únicas da sua base de clientes, o ambiente regulatório específico e a prontidão tecnológica da instituição.

O objetivo final é garantir que cada cliente beneficie de uma segurança reforçada sem sacrificar a conveniência. Ao adotar passkeys, os bancos não só estarão a proteger os seus clientes com tecnologia de ponta, mas também a sinalizar um compromisso com a inovação e a centralidade no cliente numa era de finanças digitais.