A autenticação forte do cliente (SCA), introduzida pela DSP2, fez muito para reduzir a fraude não autorizada — pagamentos feitos por alguém que não é o titular da conta. Mas uma parte enorme e crescente das perdas vem dos pagamentos autorizados: o cliente autêntico, corretamente autenticado, envia dinheiro para uma conta que julga correta mas não é. A SCA não pode ajudar aí, porque o pagador é exatamente quem afirma ser.
Duas perguntas, dois controlos
- A SCA pergunta: é mesmo o titular da conta a iniciar o pagamento?
- A VoP pergunta: a conta de destino pertence realmente ao beneficiário pretendido?
- Uma vítima de burla passa a SCA perfeitamente enquanto envia dinheiro a um burlão.
Porque precisa de ambas
A autenticação e a verificação do beneficiário protegem fases diferentes. Uma protege a identidade de quem paga; a outra protege o destino dos fundos.
- 1 A SCA na iniciação confirma o pagador e reduz a apropriação de conta e a fraude não autorizada.
- 2 A VoP antes da autorização confirma o beneficiário e reduz os pagamentos mal direcionados e a fraude de transferência autorizada.
- 3 Juntas, fecham tanto a lacuna do «quem paga» como a do «a quem se paga».
A autenticação forte sozinha não chega
Um pagador perfeitamente autenticado pode ainda ser enganado para pagar a um burlão. A Verification of Payee é a camada que aborda isso, e é por isso que o Regulamento dos Pagamentos Instantâneos a impõe separadamente.
A Verification of Payee da RoxPay complementa a sua SCA existente, adicionando a confirmação do lado do beneficiário que a autenticação nunca foi concebida para fornecer.