A norma europeia PSD2 (Diretiva de Serviços de Pagamento Revista), em vigor desde 2019, obriga empresas provedoras de serviços de pagamento a reforçar a autenticação de seus clientes. Essa norma se aplica aos diferentes serviços de pagamento e operações financeiras, incluindo logins em aplicativos móveis e sites. 

A autenticação reforçada requer que o cliente utilize pelo menos dois meios ou sistemas diferentes para comprovar sua identidade ao realizar um pagamento. Esses meios são conhecidos como fatores de autenticação e podem ser de três tipos: 

  1. Baseado em conhecimento  : algo que só o usuário saiba. Por exemplo, uma senha alfanumérica ou uma resposta a uma pergunta que ele mesmo tenha configurado com antecedência    
  2. Baseado em posse: algo que o usuário possua. Por exemplo, o celular que receberá um SMS com um código para ativação, demonstrando que possuímos fisicamente o dispositivo móvel. 
  3. Baseado em inerência: atributo físico que o usuário demonstra como próprio. Por exemplo, sua impressão digital ou rosto através da tecnologia biométrica. 

  

A autenticação começa no aplicativo 

A Autoridade Bancária Europeia (EBA) foi perguntada se a autenticação para desbloquear um dispositivo móvel contava como um desses fatores, tal como o caso de um usuário de serviços de pagamento que utilize um cartão via uma carteira eletrônica como o Apple Pay. 

A questão proposta foi se, ao desbloquear um dispositivo móvel, a presença de um elemento de posse (ativação de um PIN) ou inerência (impressão digital ou reconhecimento facial) na emissão de tokens seria considerada um requisito de autenticação reforçada. 

A resposta da EBA foi clara: não se considera o desbloqueio de um celular com dados biométricos, código PIN ou senha como elemento válido da autenticação reforçada.  

A Autoridade Bancária Europeia argumentou que esse procedimento não confirma o controle da instituição bancária sobre os mecanismos de bloqueio da tela do dispositivo móvel, não podendo, portanto, verificar a identidade do usuário. Por não poder assegurar que é o usuário quem utiliza esses mecanismos de forma legítima, sua inclusão como fatores de autenticação foi rejeitada.