Pagamentos e cibersegurança na 3ª edição da New Money

A 3º edição conferência New Money – New Wave of Money, realizada na sede da sociedade de advogados Morais Leitão, serviu de palco para a discussão das finanças digitais e as constantes inovações tecnológicas estão a moldar o futuro do dinheiro, que resultaram em temas para duas sessões de debate – uma sobre os pagamentos digitais e outra sobre os riscos de cibersegurança associados à indústria financeira.

Na abertura da conferência, Filipe Lowndes Marques, partner Morais Leitão, começou por dizer: “Vemos que todos os anos não nos faltam temas novos para falar. É um mundo em constante alteração. Há sempre coisas novas, especialmente da parte regulamentar, mas não só, sobre as quais é importante mantermos todos a par. Hoje vamos olhar para a frente, ver as novas tendências, e perceber para onde caminhamos”.

“Vamos olhar para a frente com duas dimensões. Por um lado, para a inovação com uma dimensão relacionada com a consolidação de tendências que já vêm há alguns anos, e, por outro lado, para a inovação relacionada a novos produtos e novos serviços. Depois, uma segunda dimensão tem a ver com a cibersegurança e os riscos associados, e aqui uma das dimensões muito importantes é a da prevenção“, acabou por completar António Costa, diretor do ECO, também na sessão de abertura da conferência.

A primeira dimensão abordada por António Costa foi também a primeira a ser discutida pelo painel de debate que deu início à conferência. Nesta discussão, moderada por Shrikesh Laxmidas, diretor adjunto do ECO, marcaram presença Luís Gama, CMO na Unicre; Luís Gaspar, diretor de Transformação Digital na Critical Software; Margarida Rodrigues, responsável de pagamentos clientes na Sonae; e Vera Esteves Cardoso, consultora na Morais Leitão.

Pagamentos digitais – inovação e desafios

“A verdade é que, neste momento, existe um contexto de diferentes soluções, de serviços a aparecerem no mercado, que criam aqui uma dinâmica completamente diferente. E temos, por outro lado, os consumidores que vão mudando os seus gostos. E isto cria um contexto de enorme desafio para os nossos clientes, nomeadamente os bancos mais incumbentes, que têm aqui o desafio de acompanhar toda esta onda de mudança que, por vezes, é promovida por fintechs e empresas que têm outra capacidade e agilidade no mercado”, referiu Luís Gaspar.

Portanto, aqui o desafio que nos tem sido colocado pelos nossos clientes é o de criar experiências de simulação o mais similares possível do ponto de vista do utilizador, que, necessariamente, implicam a integração de diferentes soluções, diferentes providers, e que, no nosso caso, para ser suportada, implica uma grande modernização tecnológica. No fundo, a Critical tem ajudado muito os seus clientes a fazer toda esta transformação digital para acompanhar o que vem depois”, adiantou.

Esse desafio de criar experiências foi também apontado por Margarida Rodrigues, que afirmou ser crucial para este processo: “A rapidez, a segurança, e a resiliência dos meios de pagamento que nós disponibilizamos são aqui o ponto-chave que nós tentamos desenvolver, bem como procurar quais são as melhores soluções para dar a melhor experiência na jornada de compra do cliente. Tentamos perceber o que temos à disposição e as grandes tendências de pagamentos para tentar ajudar e integrar o mais possível nas experiências e nas jornadas que criamos e nos vários tipos de check-outs que temos, quer nas lojas físicas, quer nas lojas online. Tudo isto sempre pensando nestes três pontos: resiliência, segurança, rapidez”.

“Num campo mais de experiência, as wallets têm sido, de facto, aquilo que nós vemos como a grande tendência, apoiado em pagamentos instantâneos. Eu diria que vai ser muito por aí o caminho, até por esta questão de rapidez e da disponibilidade de fundos para todos e nos pagamentos e nas devoluções. A imediatez é um tema muito grande e as digital wallets permitem essa integração de experiência e ligação com o cliente“, continuou.

Por sua vez, Luís Gama reforçou a ligação ao cliente como fundamental para estabelecer “uma relação de confiança, compreender bem, ter uma aproximação aos desafios e estabelecer essa ponte. É o que a Unicre tem feito, sempre com a preocupação fundamental de passar o mais despercebidos possível e facilitar toda uma experiência que, como a Margarida referia, tem como parte mais complicada o pagamento, muitas vezes não só pelo pagamento em si, mas porque consome ali um tempo que não é agradável. Portanto, a Unicre tem agilizado temas de contactless, que fazem com que não tenha de estar tanto tempo à espera, facilita soluções muito mais sustentáveis”.

Do ponto de vista regulatório, Vera Esteves Cardoso mencionou a importância de alguns regulamentos na melhoria de alguns processos, nomeadamente AMLA. “A ideia é harmonizar e uniformizar a legislação no âmbito da operação do branqueamento, mas também responder aos novos riscos, sendo um bocadinho mais sensível às necessidades de hoje em dia e não dificultando o desenvolvimento de certos produtos e de certas tecnologias. Pela primeira vez, há uma referência específica a certos tipos de produtos que, hoje em dia, por serem mais anónimos ou serem contratados à distância, seriam considerados como produtos de risco elevado e, portanto, seriam sujeitos a medidas de diligência reforçada. Mas o regulamento diz que os estados-membros deverão olhar para o produto específico e para a forma como a relação de negócio também foi estabelecida e não, à partida, classificá-la como se ela fosse de risco elevado“, explicou.

Nesse sentido, a consultora da Morais Leitão referiu, ainda, consulta pública aberta pela CMVM, direcionada às entidades que estão já a prestar serviços com ativos virtuais em Portugal e aquelas que também pretendem, ao abrigo do MICA, como fundamental para trazer mais informação aos interessados: “Essa consulta pública é basicamente um questionário sobre o tipo de atividade e o volume, ou seja, parece que é a CMVM a querer conhecer qual é o mercado presente e futuro, o que abre portas a que as entidades interessadas possam colocar algumas questões relativamente à implementação do regulamento“.

“Um dos aspetos que nós mais privilegiamos é contribuir para essa informação e para minimizar um gap que tende a aumentar-se quando se introduzem este tipo de tecnologias, como criptoativos que, na maior parte dos casos, não são compreendidos. Nós sentimos que a regulação vem, acontece e vai ser bem feita, até porque há aqui um enquadramento europeu que facilita. A nossa preocupação é minimizar este gap de conhecimento, que tende a criar maiores divergências na sociedade, desde o consumidor até às empresas, para facilitar um aproveitamento no momento certo e para não perdermos a oportunidade. Do ponto de vista da tecnologia, queremos disponibilizar os meios de pagamento que sejam adequados para que nenhuma oportunidade de venda deixe de existir por não existirem esses meios de pagamento“, disse, na mesma linha de pensamento, Luís Gaspar.

Margarida Rodrigues corroborou o ponto de vista de Luís Gaspar, já que considera que o facto de se envolverem mais agentes nesta regulação torna o caminho mais positivo: “Muitas vezes, o que nós sentíamos era a falta de enquadramento face àquilo que era a legislação e a realidade, e era muito difícil adaptar a realidade para se conseguir cumprir o objetivo da regulação. Portanto, a regulação tem um objetivo, que é muito válido e muito necessário, mas depois a forma como é descrito nem sempre se adapta à realidade. Por isso, trazer todos os agentes para escrever a regulação, para trazer os casos de uso, para comentar antes de ela ser publicada, acho que tem de ser um caminho que tem de ser feito, de tentar adaptar o máximo possível ao mercado“.

Esta adaptação à realidade implica alguns investimentos em soluções que podem ou não receber a adesão esperada. Luís Gama deu, até, o exemplo dos serviços open banking como uma das soluções que menos utilizada é. “Isto tem um investimento bastante elevado para os bancos e para os vários players deste ecossistema de pagamentos. Há que manter todos esses serviços a funcionar porque são regulações que são mandatórias serem implementadas para que outros players consigam aceder à informação bancária, mas que depois não são utilizados. Portanto, há aqui um desfasamento entre realidade e aquilo que se pretende fazer do ponto de vista regulatório, mas a verdade é que, sendo os pagamentos dependentes da criação de um ecossistema, a regulação também pode ter uma palavra a dizer aí“, disse.

Novos riscos de cibersegurança no setor

No segundo debate, moderado por Flávio Nunes, editor do ECO, os especialistas Afonso Eça, administrador executivo do Banco BPI; Maria Luísa Aldim – secretária geral da ANIPE; e Graça Canto Moniz, CEO da Futura, abordaram o tema da cibersegurança na indústria financeira, no qual se destacou o regulamento DORA (Digital Operational Resilience Act), que vai entrar em vigor a 17 de janeiro de 2025.

“O DORA tem várias dimensões. Eu diria que há uma parte de trazer atenção técnica para o tema e, depois, tem uma segunda camada, mais pesada, de todo o governance que é necessário ter. Com estes regulamentos, o que eu diria é que as instituições têm que dar mais estrutura a coisas que já fizeram, criar mais reporting, mais governance, e isso tira foco de outras coisas. Este é um tema muito importante e obrigou-nos a focar mais nalguns temas que, se calhar, em termos de uma lógica 80/20, já estavam cobertos, mas que se tiveram de aprofundar mais“, explicou Afonso Eça.

A mesma opinião foi partilhada por Maria Luísa Aldim, que considera que o DORA “vem implementar e harmonizar requisitos que já eram cumpridos, isto porque, para qualquer uma destas instituições, é chave ter uma infraestrutura que permita dar confiança e serviços de qualidade aos clientes. Este conjunto de regulamentos aporta valor pela uniformização e também por algum tipo de preparação para a prevenção de questões de insegurança, não só para as organizações financeiras, mas também para aqueles que são os fornecedores de serviços às organizações financeiras. E também algum tipo de supervisão a estas mesmas entidades, e isso é uma grande vantagem”.

“Mas não nos podemos esquecer que estas exigências também têm o outro lado da moeda, que é o facto de que se boa parte da infraestrutura da organização tem de estar dedicada a cumprir e a apresentar provas de todos estes requisitos, significa que, não só não estão a fazer outras coisas, mas têm custos organizações, o que resulta em custos mais elevados ao consumidor. E aqui é precisa a aposta em literacia financeira, quer do ponto político, quer do ponto de vista de supervisão, portanto, por mais DORAs que possamos criar, se nós não ensinamos as organizações e as pessoas como consumidores a estarem alerta para algumas questões, isto é um trabalho inglório porque estamos constantemente a criar camadas e camadas de proteção”, alertou.

Nesse sentido, Graça Canto Moniz afirmou mesmo que, “ao contrário de outros regulamentos, este é positivo enquanto instrumento regulatório porque, em vez de criar soluções jurídicas que o mercado não conhece e que o mercado não sabe como vão ser implementadas, veio absorver um conjunto de práticas e de processos que já estavam mais ou menos consolidados em alguns setores, nomeadamente no setor financeiro, e veio importá-los para o direito. Por isso, quanto ao propósito, eu acho que o DORA vai ser bastante mais bem-sucedido do que outros, como a IA ou até o RGPD”.

Ainda assim, Maria Luísa Aldim afirmou que, mesmo havendo algumas entidades que já tinham estes requisitos implementados, há outras, nomeadamente “organizações novas” e as “startups do mundo financeiro”, para quem estes critérios são muito importantes para se “estabelecer logo as regras”. “Isto significa que se estabelecem logo os critérios à entrada e isso é muito importante do ponto de vista de segurança, acima de tudo, para o consumidor”, afirmou.

Evolução do sistema de pagamentos em Portugal

No encerramento da conferência, Hélder Rosalino, administrador do Banco de Portugal, partilhou algumas informações, que serão partilhadas no próximo dia 2 de maio, no regulatório dos sistemas de pagamentos que o Banco de Portugal publica anualmente, no qual faz uma análise compreensiva da evolução do sistema de pagamentos em Portugal.

Relativamente à evolução dos pagamentos em 2023, Hélder Rosalino considera que este ano “foi um ano de grande expansão do sistema de pagamentos”. E ainda acrescentou: “2021 foi o ano, desde 2013, em que não houve um crescimento dos pagamentos de retalho em Portugal; em 2022 verificou-se uma retoma e um crescimento relativamente aos dados anteriores à pandemia; e, em 2023, há um crescimento muito significativo. E esse crescimento e evolução, a que nós chamamos revolução, é marcado por estes drivers principais: novos players e novos serviços; inovação tecnológica; regulação; novas exigências das comunidades; e pela pandemia, que acelerou a digitalização”.

“Estamos a viver, de facto, uma situação de revolução no sistema de pagamentos e que vai continuar nos próximos anos. Em 2023, houve 4,2 mil milhões de pagamentos de retalho, excluindo numerário, o que representa um crescimento de 13% face a 2022. As operações com cartão dominam os pagamentos de retalho em Portugal e representam 88,9% em quantidade. Já em valor não dominam, o que domina são as transferências a crédito porque é por ali que as empresas pagam os salários e por onde há pagamentos em grande quantidade de serviços que nós utilizamos no dia-a-dia. Em quantidade, dominam as operações com cartão, que tiveram um crescimento de 20% em 2023. Os débitos diretos tiveram um aumento de 7,3% e representam 5,4% em quantidade e 5,1% em valor“, explicou.

O administrador do Banco de Portugal acrescentou ainda que se verificou que as transferências imediatas têm uma representatividade ainda muito pequena – 0,3% em quantidade e 2,6% em valor – “mas, apesar de tudo, tiveram um maior crescimento porque cresceram 33% em quantidade e 38% em valor, mas a base de partida é muito baixa e, portanto, nós temos aqui um trabalho ainda a fazer. Por isso também está ainda em elaboração o regulamento das transferências imediatas, que vem impor obrigações aos processadores de serviços de pagamentos, às instituições de serviços de crédito, no sentido de dar um tratamento igual, do ponto de vista do preçário e de oferta aos clientes”.

“Os cheques tiveram uma redução acelerada, mas, curiosamente, apesar da redução significativa na utilização de cheques – menos 22,3%-, a verdade é que as entidades registadas na nossa base de dados de utilizadores de risco de cheque aumentou em 2023. Portanto, é a primeira vez que, havendo uma queda na utilização do cheque, os incidentes com cheque aumentaram. Relativamente aos pagamentos em numerário, estes representam 52% dos pagamentos de retalho, no entanto, o que se nota é uma redução com algum significado – menos 18% face a 2017“, continuou.

Com maior evidência de crescimento está, por outro lado, a utilização do contactless: “Pela primeira vez, em 2023, mais de 50% das operações com cartão foram feitas com contactless. 74,6% dos portugueses já indicam ter utilizado a tecnologia contactless, enquanto que em 2018 eram apenas 17%. 81,8% dos inquiridos referem utilizar canais bancários remotos, como apps bancárias e home bankings“.

“Nós vivemos um processo de grande inovação tecnológica. Esta inovação traz riscos, riscos que são cada vez mais percebidos e que têm de ser geridos, riscos de cibersegurança, mas também os riscos de cibersegurança que resultam desta forte ligação da cibersegurança aos temas da IA. As instituições financeiras devem, por isso, gerir de forma adequada este risco, quer ao nível das infraestruturas e aplicações críticas, quer ao nível da sua capacidade de antecipar e de desenvolver uma estratégia que coloque estas instituições em condições de poder sobreviver a uma era cada vez mais disruptiva e mais incerta“, concluiu.