A autenticação forte é o caminho para assegurar a segurança das transações. A imposição vem da Comissão Europeia e dos Reguladores, mas o mercado considera-a positiva. Em causa está uma questão de confiança. “Se conseguirmos dar confiança aos utilizadores de que algo é seguro, mais depressa as pessoas passam a utilizar meios digitais”, assevera Jorge Alcobia, CEO da Multicert, em entrevista ao SmartpaymentNews, à margem da mais recente edição do Smartpayments Congress.
Segundo o responsável da empresa nacional especializada em soluções de segurança, “os bancos irão disponibilizar gradualmente este tipo de soluções aos seus clientes comerciantes” que, por seu lado, as tornarão familiares para os utilizadores finais. A autenticação forte deverá, de acordo com os especialistas passar pelo recurso à biometria.
“Autenticação forte, segurança e as necessidades de usabilidade dos utilizadores são compatíveis?”, foi o tema da primeira mesa-redonda, da edição deste ano do SmartPayments Congress, que decorreu no início de junho, em Lisboa.
SmartpaymentsNews – O que é a autenticação forte?
Jorge Alcobia (JA) – Atualmente, quase todos usamos cartões matrizes em Portugal, para poder fechar uma transação autenticada. Este método será considerado em breve autenticação fraca. Deixará de ser possível usar. A autenticação forte é alguma coisa que eu tenha, alguma coisa que eu saiba e receba.
Vai passar a ser dada uma maior atenção a estes temas da autenticação, sobretudo devido ao que se espera da biometria. Já é possível, em muitos dos smartphones mais avançados, usar a impressão digital e alguns permitem mesmo o reconhecimento facial. Depois existirão apps que geram códigos (pin) para a pessoa colocar quando quer fazer uma transação. O que se espera é que passe do que é hoje (menos forte) para aquilo que são as necessidades futuras que são mais fortes. As autenticação forte dará outra confiança aos utilizadores.
Os SMS deixarão de ser reconhecidos na União Europeia como meio de autenticação. Imagine que lhe roubavam o telemóvel. Outra pessoa poderia estar a receber o código por SMS. A ideia é abandonar os SMS por troca com apps que obriguem a colocação de uma impressão digital para poder funcionar.
Mas, pelo contrário, não torna o processo mais complexo?
JA – Não julgo que vá complicar. O importante é que as pessoas façam as coisas de forma segura. Porque, se for segura, acabará por ser user friendly. Os utilizadores querem soluções. Veja-se por exemplo que nós emitíamos certificados numa pen USB. Era o que a lei dizia que era o mais seguro possível e não havia exceções.
De há uns meses para cá passou a ser permitido emitir estes certificados na cloud, desmaterializados, deixando de existir um objeto físico associado. Teve de se recorrer à possibilidade de ter, no telefone, uma app que comunique com a cloud e que faça a autenticação. Em vez de ter de utilizar um dispositivo físico, o que é aborrecido. Além disso, esses dispositivos (pen USB), normalmente não se ligam aos telefones, só aos PC.
Em suma, diria que a indústria de segurança evoluiu no sentido de permitir fazer tudo isto na cloud. Para o utilizador o nível de segurança é o mesmo, mas é muito mais fácil de utilizar.
Qual é o caminho provável para a autenticação forte?
JA – Penso que vai utilizar cada vez mais a biometria. A impressão digital ou o rosto são uma maneira fácil de nos autenticarmos e de garantir a transação. Acho que é para aí que a coisa vai evoluir, claramente.
Os cartões matriz ou os SMS são mais complexos de utilizar e têm problemas associados. Por exemplo, o telemóvel pode não ter bateria, não haver rede. Com as apps mais recentes o pin é gerado no próximo telefone, não sendo necessário nem rede nem nada para o receber. Em simultâneo, os telemóveis estão também mais seguros.
Qual é o panorama em Portugal? As empresas estão preparadas para lidar com temas como a autenticação forte, a usabilidade por parte dos clientes e as ameaças?
JA – As empresas em Portugal que estão dedicadas a este tema são apenas as financeiras. Não estamos a ver empresas não-financeiras a aparecer em Portugal. Nem sequer contactaram o Banco de Portugal.
Por que é a assinatura digital com recursos a biometria é mais segura que a assinatura tradicional?
JA – Com biometria e ao assinar digitalmente fica registada a data e a hora da assinatura. Ao assinar à mão posso colocar uma data qualquer. O nível segurança é muito baixo. Os reguladores europeus e as diretivas europeias estão a caminhar no sentido de tornar os mecanismos de segurança muito mais fortes e seguros do que os utilizados anteriormente.
Quais são, os diplomas que regulam a identificação eletrónica e contribuem para o aumento da confiança nas transações eletrónicas na União Europeia?
JA – O regulamento eIDAS regula tudo o que tem a ver com o digital na Europa. Está em vigor há alguns anos e é considerado o mais avançado do mundo no que toca a temas como assegurar que assino hoje e não ponho uma data diferente.
Contempla também assinar documentos à distância. Se quero assinar um contrato – comprar algo no estrangeiro ou ir de férias – atualmente é necessário um encontro físico para se fazer. O que é inseguro. Ou então os documentos são enviados pelo correio. O que é também inseguro. Com as novas regras, assinar, por exemplo, um contrato de eletricidade para uma casa que tenha no estrangeiro, passa a ser possível através destes mecanismos, sem se deslocar. Assina, é seguro, é legal. Através da legislação, a Europa está a andar no sentido de mostrar às pessoas que há um caminho que se pode fazer.
Além disso há ainda a Diretiva PSD2 especificamente para as matérias relacionadas com pagamentos.
O que pode a Multicert fazer em matéria de segurança digital e biometria?
JA – Assinar documentos à mão é o mais inseguro possível, por incrível que pareça. Mas, os reguladores ainda confiam muito nesse método. No entanto, se eu fizer uma assinatura no seu caderno, não há forma alguma de – se alguém o encontrar – saber se fui de facto eu. Pode ser falsa.
Pelo contrário, se assinado digitalmente, com recurso a técnicas de biometria já não se consegue falsificar. Pelo menos sem recurso a um enredo de espionagem para replicar a assinatura. A assinatura digital combinada com biometria é segura em 99,9% das situações. O nível de fraude diminui drasticamente. O que queremos é dar confiança às pessoas, de que estão mais protegidas e mais seguras por usarem meios digitais como a biometria em vez de assinarem coisas à mão.
À Multicert cabe-nos a função de criar soluções seguras para que outras entidades – financeiras, Telecom, outras utilities – possam desenvolver soluções para os clientes, libertando-os da preocupação com as questões de segurança e autenticação. Disso tratamos nós.
Nós emitimos certificados PSD2, um elemento essencial para ligar as várias entidades. É o que dá segurança ao processo. É feita de acordo com o Banco de Portugal. Foi necessário envolver o Banco de Portugal para podermos emitir isto. Fomos a primeira entidade europeia a emitir estes certificados e temos clientes um pouco por todo o mundo.
Em Portugal, só emitimos os certificados PSD2 para bancos. Mas, fora de Portugal estamos a emitir essencialmente para não-bancos. O país onde estamos a ver mais atividade é em Inglaterra. Em Inglaterra há muitos não-bancos a querer aproveitar esta oportunidade que o mercado dá para se colocarem entre os bancos e o cliente final.
Com base no que os oradores referiram no painel em que participou na edição deste ano do Smartpayments Congress, quais são as conclusões que se podem retirar em matéria de autenticação forte e segurança?
JA – Ao contrário do que acontecia anteriormente, os bancos já não sentem que têm de fazer tudo sozinhos. Anteriormente, montavam sistemas de uma ponta à outra. Atualmente, fazem parcerias com entidades – como a nossa – para entregarmos a parte do sistema relacionado com a autenticação forte. Não vale a pena os bancos desenharem uma solução eles próprios, quando há alguém que faz isso, com certeza, melhor. A tendência será para que as entidades bancárias passem a cooperar mais com players fora do setor ou até dentro do setor.
No entanto, nem a Multicert nem os outros membros do painel sobre autenticação forte são entidades financeiras (bancos) tradicionais. O Banco Best é recente e a Unicre é uma instituição financeira distinta da banca tradicional.
JA – O que representa uma vantagem. São mais ágeis. Por exemplo, o Best foi o primeiro banco em Portugal a permitir abrir contas remotamente, por videochamada , com valor legal, segurança e tudo o resto. O Best funcionou (eles e nós tínhamos interesse nisso) e era uma oportunidade de mostrar que podia funcionar. Eles foram muito rápidos. A primeira conta foi aberta em janeiro de 2018, apenas três meses depois após o Banco de Portugal ter autorizado a abertura de contas deste modo, em outubro de 2017. Em três meses estávamos a abrir uma conta online a clientes. Já passou entretanto um ano e meio.
Ainda sobre agilidade, há uma empresa chinesa, um pequeno banco, sem qualquer balcão (Ant Finantial), que, em quatro anos chegou a 300 milhões de clientes. O objectivo é chegar a três mil milhões de clientes nos próximos 10 anos. A empresa tem vindo a caminhar da China para oeste. Já estão na Indonésia, na Tailândia, na Índia. É uma forma de trabalhar disruptiva. Os bancos tradicionais de grande dimensão e muitos balcões vão ter muita dificuldade em combater esta tendência. Mas, o facto é que nenhum de nós quer ir a um balcão fazer nada. No entanto, Os bancos grandes vão mais devagar, até por causa do legacy.
Os bancos de maior dimensão estão interessados em parcerias com outro tipo de entidades?
JA – A questão não é se estão interessados, porque estão. A questão é se são ágeis o suficiente. Bancos como o Best já foram criados numa lógica mais digital. Os bancos tradicionais em Portugal ainda têm 600 ou 700 balcões. É muito difícil fazer essa transformação. Até porque as pessoas que lá trabalham são ameaçadas diretamente por estas inovações. É estar a pedir a alguém para fazer qualquer coisa que no fim vai colocar em causa o seu próprio emprego.
O que estamos a tentar é que estas entidades façam parcerias connosco na parte da segurança, da autenticação forte, etc. Não precisam de inventar essa parte, até porque dificilmente vão conseguir chegar lá. Precisam de confiar em entidades como a nossa para garantir essa parte.
E é preciso ter cautela com as empresas GAFA (Google, Apple, Facebook ou Amazon), que estão a entrar no mercado das instituições financeiras. É um conceito que funciona nos EUA, mas que na Europa não é tão fácil vingar. Porque as pessoas na Europa preocupam-se mais com questões de regulação e de segurança do que nos EUA.
Como trabalha a Multicert para inovar e chegar aos mercados internacionais?
JA – A Multicert é composta por 70 pessoas em Portugal. Investimos 15% da nossa faturação em novos desenvolvimentos, inovação. Nós procuramos, como foi no caso das certificações PSD2, ser a primeira empresa europeia a emitir, ter soluções cá em Portugal.
Procuramos ser um centro de competências em Portugal, para o desenvolvimento de produtos e soluções, para as quais temos know-how e capacidade, para depois vender lá fora. Achamos que é um modelo viável, até porque, em Portugal, somos competitivos, somos mais baratos que os estrangeiros e temos uma capacidade técnica elevada que combina informática e criptografia.
A Multicert tem deste modo escritórios em Lisboa e Porto, onde é feito o desenvolvimento de produtos e soluções que depois vendemos para todo o mundo, muitas vezes através de parcerias.
É o caso por exemplo do passaporte da Tailândia. Ganhámos a componente de segurança do do passaporte daquele país. Também já trabalhámos com os passaportes no Luxemburgo ou nos EUA.
Em Portugal, o passaporte e o cartão de cidadão são também feitos com soluções Multicert. E estamos também a trabalhar, em projetos de parceria, com o Governo português, por exemplo, em São Tomé e Cabo Verde. Em parceria, já chegámos a países como o Tajiquistão.
Como identificam essas oportunidades em países tão distantes como a Tailândia ou o Tajiquistão?
JA – A maior empresa no mundo na área da identificação pessoal (passaportes) é a Gemalto, uma empresa de base americana. Tem todo o equipamento para fazer passaportes. Certo dia, fui à sede europeia, em França, bater-lhes à porta. Estive lá com eles um dia a apresentar o que fazíamos. Depois, eles vieram a Portugal durante três dias para ver o que fazemos. No final, assinámos um acordo para vendermos soluções em conjunto. Deste modo, quando a Gemalto vai vender soluções de passaporte em qualquer parte do mundo levam integrada a nossa solução.
A Multicert não tem recursos para percorrer o mundo a vender, mas disponibilizamos pessoas para ajudar no processo de venda e após a adjudicação. São processos de decisão que levam muito tempo, uma vez que implicam um nível de segurança muito elevado e que só os governos compram.
NR: O regulamento relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno, conhecido como eIDAS versa sobre as assinaturas digitais. O regulamento entrou em vigor em 2014 e o essencial do articulado passou a ser aplicado em julho de 2016. Consulte também o site do Gabinete Nacional de Segurança (GNS).
