Artigo:

Bancos e Outros Prestadores de Serviços de Pagamento: Auditoria às Medidas de Segurança Informática (Autenticação Forte / PSD2)

06 outubro 2021

Vasco Jara Schiappa, Partner / Infomation Systems Audit & Assurance |

A importância e atualidade do cumprimento do requisito obrigatório de auditoria independente periódica sobre a conformidade de aplicação efetiva das medidas de segurança relativas a: autenticação forte do cliente, credenciais de segurança e comunicações.

 

RESPOSTA A 3 QUESTÕES FUNDAMENTAIS

Passados quase três anos da data, em 14 de setembro de 2019(1) , que se tornou aplicável o Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017 que complementa a Diretiva (UE) 2015/2366 (PSD2 – Payment Services’ Directive 2) do Parlamento Europeu e do Conselho, no que respeita às normas técnicas de regulamentação relativas à autenticação forte e às normas abertas de comunicação comuns e seguras, persistem ainda algumas dúvidas sobre a aplicação em Portugal deste Regulamento, que procuramos responder de seguida, no que concerne ao requisito obrigatório de auditorias periódicas estabelecido no seu artigo 3.º:

  • Q1: Os prestadores de serviços de pagamento que não utilizaram a isenção referida no artigo 18.º (2)  estão obrigados a uma auditoria independente sobre a conformidade e verificação da aplicação efetiva das medidas de segurança a que se refere o artigo 1.º e, em caso afirmativo, com que periodicidade?

R1: De acordo com o artigo 3.º, sim, e a periodicidade dessa auditoria independente a ser realizada por revisor oficial de contas com conhecimentos especializados em segurança informática e pagamentos eletrónicos, salvo melhor opinião, deverá ser pelo menos anual, ou inferior, nas situações em que o quadro jurídico em matéria de contabilidade e revisão oficial de contas aplicável ao prestador de serviços de pagamento previr um período inferior ao anual, eg: reporte de contas e relatório de auditoria semestral. O relatório de auditoria deve ser disponibilizado na íntegra às autoridades competentes, a pedido destas.

 

  • Q2: Prestadores de serviços de pagamento que utilizaram a isenção referida no artigo 18.º estão também obrigados a uma auditoria independente e, em caso afirmativo, com que âmbito e com que periodicidade?

R2: De acordo com o artigo 3.º, sim, os prestadores de serviços de pagamento que utilizarem a isenção referida no artigo 18.º devem ser objeto de uma auditoria à metodologia, ao modelo e às taxas de fraude comunicadas, no mínimo uma vez por ano, a ser realizada por revisor oficial de contas com conhecimentos especializados em segurança informática e pagamentos eletrónicos.

 

  • Q3: Caso exista, qual o regime contraordenacional aplicável ao incumprimento: (i) do requisito de auditoria independente periódica às medidas de segurança a que se refere o artigo 1.º (prestadores de serviços de pagamento que não utilizaram a isenção referida no artigo 18.º); e (ii) do requisito de auditoria independente periódica à metodologia, ao modelo e às taxas de fraude comunicadas (prestadores de serviços de pagamento que utilizaram a isenção referida no artigo 18.º)?

R3: Salvo melhor opinião, parece-nos que sim, que existe um regime contraordenacional aplicável. Contudo, o regime contraordenacional não se encontra previsto no Regulamento Delegado 389/2018. Com efeito, o n.º 1 do artigo 103.º da PSD2 dispõe que “1. Os Estados-Membros estabelecem o regime de sanções aplicável em caso de infração ao direito nacional que transpõe a presente diretiva e tomam todas as medidas necessárias para assegurar a aplicação dessas sanções. Essas sanções devem ser efetivas, proporcionadas e dissuasivas.”. Assim, no plano jurídico nacional, encontramos este regime contraordenacional vertido nos artigos 150.º a 154.º do Decreto-Lei n.º 91/2018, de 12 de novembro, Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME). Em concreto, é possível verificar na alínea x) do artigo 151.º desse Decreto que a “A violação dos procedimentos de autenticação previstos no artigo 104.º” se encontra identificada como infração “especialmente grave”, punível com coima de € 10 000 a € 5 000 000 ou de € 4 000 a € 5 000 000, consoante seja aplicada a ente coletivo ou a pessoa singular. No n.º 7 do referido artigo 104.º consegue-se obter o alinhamento do regime contraordenacional do RJSPME com as disposições e requisitos estabelecidos no Regulamento Delegado 389/2018 (incluindo os requisitos de auditoria independente periódica), pois no n.º 7 do citado artigo 104.º refere-se que “O disposto no presente artigo está sujeito aos termos do ato delegado da Comissão Europeia que adota as normas técnicas de regulamentação, ao abrigo do disposto o n.º 1 do artigo 98.º da Diretiva (UE) 2015/2366, do Parlamento Europeu e do Conselho, de 25 de novembro de 2015.”. Adicionalmente, o artigo 152.º do RJSPME estabelece que, conjuntamente com as coimas previstas nos artigos 150.º e 151.º podem ser aplicadas sanções acessórias que, entre outras, incluem a “Interdição, no todo ou em parte, por um período até três anos, do exercício da atividade de prestação de serviços de pagamento ou de serviços de emissão de moeda eletrónica.”

 

IMPORTÂNCIA E BENEFÍCIOS DA AUDITORIA INDEPENDENTE ÀS MEDIDAS DE SEGURANÇA

Conforme referido no considerando número (2) do Regulamento Delegado 389/2018, “Dada a constante mutação dos métodos de fraude, os requisitos da autenticação forte do cliente devem abrir caminho à inovação nas soluções técnicas de resposta à emergência de novas ameaças para a segurança dos pagamentos eletrónicos. A fim de garantir a aplicação eficaz e contínua dos requisitos a estabelecer, importa também exigir que as medidas de segurança para a aplicação da autenticação forte do cliente e das suas isenções, as medidas de proteção da confidencialidade e da integridade das credenciais de segurança personalizadas e as medidas que estabelecem normas abertas de comunicação comuns e seguras sejam documentadas, periodicamente testadas, avaliadas e auditadas por auditores especializados em segurança informática e pagamentos eletrónicos e operacionalmente independentes.”

 

COMO PODE A BDO AJUDAR?

Para além do conhecimento e experiência relevante em auditorias/inspeções aos requisitos de reautorização das instituições de pagamento e instituições de moeda eletrónica decorrentes da implementação da PSD2, a BDO & Associados, SROC ,Lda. (BDO) dispõe de recursos qualificados com qualificações de revisor oficial de contas e com certificações de segurança informática internacionalmente reconhecidas, tais como: CISA, CISSP, CRISC, ISO 27k, ISO 20k, COBIT, ITIL e larga experiência na área compliance de segurança da informação, cibersegurança e na realização de avaliações com relação a standards e controlos de segurança, auditorias de segurança a sistemas de informação / tecnologias da informação, como uma diversificada experiência no setor financeiro em geral e de acordo com frameworks IT reconhecidos internacionalmente, tais como: PCI DSS, ISO 27001, NIST 800-53, NIST Cybersecurity Framework, ENISA, PSD2, EBA ITC Guidelines, “EBA Orientações sobre medidas de segurança para gerir os riscos operacionais e de segurança ao abrigo da PSD2”, NIS Directive, ISACA, ISF, CIS, SANS, SOX, FINRA, etc.

Para mais informações, não hesite em contactar-nos:

Vasco Jara Schiappa
IS Audit Partner
ROC, CISA, ISO 27001 LA
Telem: +351 937 990 180
vasco.schiappa@bdo.pt


(1) Contudo, para operações de pagamento online com cartão a aplicação dos requisitos de autenticação forte do cliente foi adiada, tendo sido apenas aplicável a partir de 31 de dezembro de 2020.

(2) De acordo com o artigo 18.º, os prestadores de serviços de pagamento podem não aplicar a autenticação forte do cliente sempre que o ordenante inicie uma operação de pagamento eletrónico remoto identificada pelo prestador de serviços de pagamento como apresentando um baixo nível de risco.