A Segunda Diretiva de Serviços de Pagamento (ou PSD2) trouxe grandes mudanças para os pagamentos em plataformas e marketplaces na Europa. Ela também alterou como os provedores de pagamento de terceiros podem obter acesso autorizado a contas bancárias e processar pagamentos, além de ter implementado a autenticação forte de cliente (SCA) para tornar os pagamentos mais seguros.
A Comissão Europeia revisou a estrutura atual e apresentou propostas para estabelecer a Terceira Diretiva de Serviços de Pagamento e o Regulamento de Serviços de Pagamento. As novas regras de pagamento visam garantir uma maior harmonização das regras por toda a União Europeia, desenvolver condições de concorrência equitativas para os provedores de pagamento e apresentar melhorias na proteção de clientes e contra fraudes.
Embora as negociações entre o Parlamento Europeu e os Estados-membros da UE ainda estejam em andamento e não esperemos que as regras finais entrem em vigor antes de 2026, as plataformas e, principalmente, os marketplaces devem estar cientes de algumas mudanças importantes e podem começar a se preparar desde já. Este guia fornece uma visão geral dessas mudanças para ajudar você a se preparar bem para as novas regras de pagamento europeias.
A Autoridade Bancária Europeia (EBA) receberá a incumbência da Comissão Europeia para emitir normas técnicas de regulamentação (RTS) complementares e estabelecer regras detalhadas sobre elementos importantes da PSD3/PSR, como a autenticação forte de cliente, para ajudar as empresas a implementá-las.
Visão geral: o que está mudando na PSD3?
|
Regras diretamente aplicáveis em toda a UE
|
O novo Regulamento dos Serviços de pagamento inclui a maioria das regras atuais da PSD2, inclusive sobre fraude e responsabilidade, transparência, open banking e SCA. No entanto, agora essas regras serão diretamente aplicáveis em todos os estados-membros. Isso reduz a margem de interpretação das regras permitida aos estados-membros da UE e significa que as regras de pagamento serão aplicadas de maneira mais uniforme em toda a UE, facilitando a implementação nas empresas. |
|---|---|
|
Instituições de pagamento poderão emitir moeda eletrônica
|
A PSD3 combina os enquadramentos jurídicos que se aplicam às instituições de moeda eletrônica e às instituições de pagamento. No futuro, as instituições de moeda eletrônica serão licenciadas como instituições de pagamento na PSD3. As instituições de pagamento poderão emitir moeda eletrônica e a Diretiva Moeda Eletrônica (EMD2) será revogada. |
|
Maior rigor na isenção de agentes comerciais
|
As novas regras tornam ainda mais rigorosos os requisitos para plataformas e marketplaces usarem a isenção de agentes comerciais, limitando as circunstâncias em que podem usufruir da isenção para pagamentos. |
|
Medidas para fortalecer os pagamentos do open banking
|
As novas diretrizes serão introduzidas para melhorar o desempenho das APIs de open banking e para remover os obstáculos atuais que os provedores terceirizados enfrentam para acessar as contas bancárias dos clientes. Espera-se que isso melhore o funcionamento e a adoção do open banking. |
|
Maior responsabilidade por fraude
|
Os provedores de serviços de pagamento (PSPs) serão responsabilizados por fraude em um número maior de casos e serão obrigados a tomar medidas adicionais para combater a fraude (por exemplo, educar os clientes sobre os riscos de fraude ou compartilhar informações relevantes com outras instituições financeiras). |
|
Novas regras para SCA e monitoramento de transações
|
As regras para a aplicação de SCA serão definidas (por exemplo, no caso de transações iniciadas pelo comerciante e pedidos por correio ou telefone). É provável que as novas Normas Técnicas Regulamentares da Autoridade Bancária Europeia também alterem os requisitos de monitoramento de transações e as isenções de SCA. |
Como a PSD3 afetará as plataformas e os marketplaces?
Pagamentos para plataformas e marketplaces de acordo com as regras atuais da PSD2
A estrutura da PSD regula os pagamentos para plataformas e marketplaces. Por exemplo, quando uma plataforma assume a posse ou o controle de fundos devidos por um comprador e os liquida ao vendedor, considera-se que a plataforma está prestando serviços de pagamento regulamentados (como a gestão de uma conta de pagamento, a realização de transações de pagamento ou a conclusão de repasses em dinheiro). Há uma exceção importante a essa regra, isto é, a isenção para agentes comerciais, que, no passado, as plataformas costumavam tentar usar para evitar a obtenção de uma licença.
A PSD2 restringiu a isenção para agentes comerciais, tornando-a aplicável exclusivamente nos casos em que uma plataforma ou marketplace atua apenas em nome do pagador ou do beneficiário, mas não de ambos. Se atuar em ambos os casos, uma plataforma só poderá evitar o requisito de licenciamento se não tiver posse ou controlar fundos (ou seja, se depender de um provedor de serviços de pagamento licenciado). O objetivo era mitigar o risco de crédito das empresas que operam as plataformas e os marketplaces, limitando o processamento dos fundos adquiridos a uma entidade regulamentada obrigada a cumprir os requisitos locais de proteção.
A isenção para agentes comerciais permite que as partes forneçam serviços de pagamento sem licença, em situações em que atuem como agentes comerciais em nome de um pagador ou beneficiário.
Regras mais rigorosas para plataformas e marketplaces estabelecidas na PSD3
A PSD3 propõe um rigor ainda maior em relação aos requisitos para plataformas e marketplaces que usam a isenção para agentes comerciais. Como resultado, a isenção para agentes comerciais provavelmente só estará disponível para plataformas e marketplaces em circunstâncias bastante limitadas. Se você é uma plataforma ou empresa que atualmente se beneficia da isenção para agentes comerciais, é importante avaliar com cautela o impacto da PSD3.
As novas regras estabelecem condições adicionais a serem atendidas para que a isenção comercial seja aplicada: o agente deve ser autorizado pelo pagador ou beneficiário a negociar/concluir transações em seu nome e oferecer ao pagador ou beneficiário uma margem real para negociar com o agente. O preâmbulo da PSD3 reitera que as plataformas de e-commerce que atuam como agentes em nome tanto de compradores quanto de vendedores individuais não são agentes comerciais e, portanto, não podem exercer atividades de serviços de pagamento sem licença.
A PSD3 também determina que a Autoridade Bancária Europeia emita diretrizes específicas para proporcionar maior clareza e convergência entre os Estados-membros da UE, além de uma lista de casos de uso abrangidos pela isenção.
Como a Stripe auxilia plataformas e marketplaces a cumprir os novos requisitos
A Stripe sempre buscou criar produtos que minimizem o fardo regulatório para os usuários. Removemos o fardo da PSD2 para as plataformas criando o Connect, que as permite usar uma solução técnica para se desvincular dos requisitos regulatórios. O Connect oferece o mesmo benefício às plataformas e aos marketplaces no âmbito da PSD3, fornecendo a eles uma solução de pagamento que não exige a obtenção de uma licença de pagamento.
Ao contar com a Stripe para o serviço regulamentado, as plataformas podem dedicar-se ao que fazem de melhor: criar excelentes marketplaces para seus usuários. Muitas centenas de plataformas com vendedores em toda a Europa já escolheram usar o Connect, em vez de precisarem obter uma licença de pagamento própria ou apresentar um comprovante de que se enquadram nas isenções.
Plataformas de pagamentos com o Connect
Caso tenha dúvidas sobre o Stripe Connect, adoraríamos saber sua opinião.
Quais são as novas regras para a SCA?
A função da SCA na redução de fraudes
A autenticação forte de cliente (SCA) foi implementada na Europa pela PSD2 para reduzir fraudes e tornar os pagamentos online e por aproximação mais seguros. A SCA requer autenticação de dois fatores. Para obter mais informações sobre a SCA, leia nosso guia sobre autenticação forte de cliente.
A avaliação da PSD2 realizada pela Comissão Europeia concluiu que a SCA foi bem-sucedida na redução das fraudes. A PSD3/PSR visa desenvolver e aprimorar a SCA ao esclarecer as principais definições, especificar melhor as isenções para transações de baixo risco e manter o equilíbrio entre a segurança e o desenvolvimento de formas de pagamento fáceis de usar, inovadoras e acessíveis.
Em nossa opinião, as novas regras podem aprimorar ainda mais a experiência dos clientes no momento do checkout online. Elas proporcionam maior clareza para instituições financeiras, bandeiras de cartão e provedores de pagamento aplicarem isenções de SCA para transações recorrentes ou de menor risco. No longo prazo, as novas regras também poderão abrir a possibilidade de isenções adicionais, dependendo do risco de uma transação e em sintonia com os avanços tecnológicos. As empresas devem continuar a otimizar seus mecanismos de SCA conforme as novas regras para alcançar os melhores resultados de autenticação.
|
MIT
|
Para transações iniciadas pelo comerciante (MITs), a SCA só precisa ser aplicada na definição do pedido, mas não em MITs subsequentes. O direito de reembolso incondicional de oito semanas, semelhante aos débitos automáticos SEPA, será introduzido em MITs. |
|---|---|
|
MOTO
|
Em transações de pedidos por correio ou telefone (MOTO), apenas o início de uma transação de pagamento precisa ser não digital para que essa transação seja isenta de SCA. |
|
Vinculação dinâmica
|
Os elementos da SCA que vinculam dinamicamente a transação a um valor e a um beneficiário específicos devem ser usados para transações com pagamento eletrônico nas quais o pagamento é feito por meio de um dispositivo do pagador usando tecnologia por proximidade (por exemplo, comunicação de campo próximo, ou NFC) e a aplicação da SCA requer que o dispositivo do pagador tenha acesso à Internet. |
|
Serviços de informações da conta
|
Para os PSPs que prestam serviços de informações da conta no open banking, a SCA só é exigida no primeiro acesso aos dados. No entanto, a SCA é exigida quando os clientes acessam dados agregados da conta no domínio do provedor de serviços de informações da conta, pelo menos a cada 180 dias. |
|
Tokenização
|
A tokenização requer a aplicação da SCA quando o titular do cartão tem envolvimento ativo no processo de tokenização (por exemplo, ao registrar ou substituir um cartão em uma carteira ou solução de preenchimento de cartão). |
|
Monitoramento de transações
|
A Autoridade Bancária Europeia emitirá Normas Técnicas Regulamentares para a utilização do monitoramento de transações pelos provedores de serviços de pagamento, inclusive por meio de características ambientais e comportamentais (por exemplo, localização do cliente ou hábitos de consumo). Isso preserva a utilização de isenções de SCA em transações que representam um risco baixo (ou seja, isenções na Análise de Risco de Transação). |
|---|---|
|
Isenções de SCA
|
Também foi exigido que a EBA desenvolva novas Normas Técnicas Regulamentares relacionadas às isenções e aos requisitos SCA, tendo em conta uma abordagem baseada no risco e a utilização de tecnologia. |
|
Autenticação de dois fatores
|
As novas regras sugerem que os fatores utilizados para a autenticação de dois fatores de acordo com a SCA não precisam pertencer a categorias diferentes, desde que tenham total independência. Isso poderia permitir que os clientes se autenticassem usando duas senhas, ou uma impressão digital e reconhecimento facial. |
|
Acessibilidade
|
Os PSPs têm de oferecer diferentes formas de realizar a SCA que não dependam da posse de um dispositivo inteligente, por exemplo, por meio de SMS. |
|
Responsabilidade dos TSPs
|
A responsabilidade é atribuída aos provedores de serviços técnicos (TSPs) e aos operadores de sistemas de pagamento em caso falta de suporte à aplicação da SCA. Isso visa garantir maior cooperação entre todas as partes envolvidas na execução da SCA. |
|---|---|
|
Terceirização
|
Os provedores de serviços de pagamento que dependem de TSPs para o fornecimento e verificação de elementos da SCA precisam celebrar acordos de terceirização com esses TSPs. A EBA estabelecerá os requisitos para esses acordos de terceirização. |
Outras medidas para prevenir fraudes e proteger os consumidores
Além da atualização dos requisitos SCA, as novas regras implementam medidas extras para reforçar a proteção do consumidor e incentivar os provedores de serviços de pagamento (PSP) a adotarem medidas adicionais para evitar fraudes. Elas incluem requisitos para que os PSP eduquem os clientes sobre as tendências de fraudes, promovam programas regulares de treinamento interno, colaborem com os provedores de serviços de comunicações eletrônicas e compartilhem informações com outras instituições financeiras. Além disso, as medidas determinam que os PSPs devem reembolsar os usuários dos serviços de pagamento por transações fraudulentas em caso de fraudes por falsificação de identidade.
Como a Stripe ajuda você a cumprir os requisitos SCA
A introdução da SCA na PSD2 afetou profundamente o comércio online na Europa. Para assegurar uma transição tranquila para as novas regras, a Stripe colaborou com empresas e parceiros afetados para implementar os novos requisitos e gerenciar o impacto nas taxas de conversão. Isso incluiu o suporte a métodos de autenticação como o 3D Secure 2 e o desenvolvimento de novos métodos de autenticação de dois fatores para garantir uma experiência tranquila para as empresas e os respectivos clientes.
Nossos produtos, incluindo o Stripe Checkout e o Billing, são desenvolvidos em nossa API de pagamentos que usa a lógica de SCA da Stripe para acionar o 3D Secure quando necessário. Nossa solução de SCA inclui o gerenciamento eficaz de isenções como um componente-chave para desenvolver uma experiência de pagamento de alta qualidade, minimizando atritos e proporcionando a melhor segurança da categoria. Otimizamos a aplicação da SCA para diferentes regras regulatórias, bancárias e de bandeiras de cartões, aplicando isenções relevantes, como para pagamentos de baixo risco ou pagamentos corporativos seguros, de modo a apenas acionar o 3D Secure e/ou aplicar a autenticação de dois fatores quando necessário.
Fluxo de autenticação SCA
O mecanismo de autenticação da Stripe também usa modelos de Machine Learning que detectam riscos em tempo real e possibilitam que as empresas ofereçam uma experiência de alto nível aos clientes, sem deixar de garantir a conformidade com a SCA.
Continuaremos a monitorar as alterações futuras na SCA. Nossa solução de SCA atualizada pode ajudar você a implementar a SCA, elevar a eficácia da autenticação e as taxas de conversão, sem deixar de garantir a conformidade com as regras de SCA e minimizar o risco de fraudes. Saiba mais sobre como aumentar sua receita com taxas de autorização mais altas usando a Stripe.
Quais são os próximos passos?
A PSD3 e o PSR constituem uma atualização importante nas regras de pagamento europeias. Visando as regras revisadas, as plataformas e os marketplaces precisarão analisar o uso de isenções, como a isenção comercial, se aplicável, ou continuar a contar com provedores de pagamento regulamentados para oferecer soluções de pagamento.
Diante da PSD3/PSR e de futuras orientações da EBA, as empresas também precisarão analisar continuamente os requisitos para a SCA. Os provedores de pagamento que incorporaram as atualizações da SCA no mecanismo de autenticação podem ajudar a otimizar a quantidade de pagamentos que exigem SCA e aumentar a taxa de sucesso da autenticação de dois fatores, ao mesmo tempo que minimizam as fraudes.
Ao longo de 2024 e 2025, a Comissão Europeia, o Parlamento Europeu e os Estados-membros da UE concluirão a elaboração das novas regras. Depois disso, os Estados-membros da UE precisarão incorporar a PSD3 às respectivas legislações nacionais. Embora não haja um cronograma claro para as negociações nem para o período de implementação até o momento, é improvável que as regras entrem em vigor antes de 2026.
A Stripe está participando de diálogos com os responsáveis pela formulação de políticas pertinentes para compartilhar nossos insights sobre como as futuras regras de pagamento na Europa podem ser otimizadas para as empresas e os respectivos clientes. Atualizaremos esta página conforme mais informações estiverem disponíveis.
Se quiser saber mais sobre como a Stripe pode ajudar você a se preparar para as regras revisadas ou desejar compartilhar suas ideias conosco, entre em contato com sua equipe da Stripe ou envie um e-mail para nossa equipe da PSD3 em psd3@stripe.com.
Para ver respostas às perguntas mais frequentes dos usuários sobre o status regulatório do Stripe Connect na Europa, leia esta página de perguntas frequentes.