obOpen Banking Lab
GlossárioSTETBlogContato
Segurança

SCA

Strong Customer Authentication

Autenticação forte exigida pela PSD2: para validar um pagamento ou um acesso sensível, você precisa provar duas coisas entre 'o que você sabe, o que você tem, o que você é'.

Veja também:eIDAS TSPQWACQSealCmTLSPSUASPSPPISP

Definição

A SCA (Strong Customer Authentication), ou autenticação forte do cliente, é a exigência de segurança central da PSD2.

Para validar um pagamento online, acessar dados sensíveis ou autorizar um TPP, o PSU precisa provar sua identidade com pelo menos dois fatores independentes, de categorias distintas.

Os 3 fatores

A SCA exige 2 fatores entre 3, cada um de uma categoria diferente:

  • Conhecimento (o que você sabe): senha, PIN, resposta secreta.
  • Posse (o que você tem): celular (OTP, push), chave física, cartão.
  • Inerência (o que você é): biometria — digital, rosto, voz.

Exemplos: PIN + push no app (conhecimento + posse) é válido; digital + celular (inerência + posse) também; senha + pergunta secreta não é (a mesma categoria duas vezes).

Quando a SCA é obrigatória

  • A cada pagamento online iniciado pelo PSU.
  • A cada acesso de um AISP às contas (a cada 180 dias desde a alteração dos RTS em 2022, contra 90 anteriormente).
  • Na primeira conexão a um serviço bancário ou a uma nova sessão.
  • Para qualquer ação sensível: inclusão de um beneficiário, transferência para um novo IBAN, aumento de limite.

As isenções previstas

Para não prejudicar a UX, a EBA prevê isenções que os bancos podem conceder:

  • Valor baixo: ≤ € 30 (contador acumulado de € 100 ou 5 transações).
  • TRA (Transaction Risk Analysis): possível se o lojista ou o banco tiver uma baixa taxa de fraude.
  • Lojista de confiança: adicionado pelo PSU à sua lista branca.
  • Pagamento recorrente idêntico: mesmo valor, mesmo beneficiário (SCA na primeira ocorrência).
  • Transferência entre contas do mesmo titular no mesmo ASPSP.
  • Pagamento B2B por protocolo seguro dedicado (cartões corporativos).

Dynamic Linking

Para os pagamentos, a SCA deve incluir o dynamic linking: o código fica vinculado ao valor e ao beneficiário exatos. Se o atacante alterar o IBAN ou o valor após a autenticação, a transação é rejeitada — o que dificulta muito os ataques man-in-the-middle.

No ecossistema PSD2

A SCA é implementada pelo ASPSP (o banco), nunca pelo TPP. O TPP pode dispará-la por diferentes fluxos (redirect, decoupled, embedded), mas é sempre o banco que autentica o seu cliente.

Exemplos concretos

  • Pagamento online com cartão: o 3D Secure 2 é a implementação dominante. Você valida por biometria ou push no app do seu banco, em vez de OTP por SMS, porque a biometria converte melhor.
  • Conexão a um AISP: conectar a Bankin' ao seu banco pressupõe uma SCA completa (login + biometria), a renovar a cada 180 dias.
  • Lojista de confiança: após um primeiro pagamento com SCA na Amazon, adicioná-la à lista branca elimina a SCA dos pagamentos seguintes.
  • TRA e conversão: um grande lojista (Cdiscount, Decathlon) investe em um motor de risco, muitas vezes via seu PSP, para acionar a isenção TRA e maximizar a conversão.
  • Do lado do TPP: um PISP (Fintecture, Bridge, Trustly) precisa lidar com três modos de SCA — redirect (envio à página do banco), decoupled (push enquanto o PSU permanece no site) e embedded (digitação na interface do TPP, mais raro) — cada banco privilegiando um.

Veja também: Manual STET

Fontes

Voltar ao glossário