Como ya comentamos en un post anterior, la directiva PSD2 trae consigo numerosos cambios en materia de servicios de pago a través de Internet, más allá de las consideraciones básicas que hicimos en el referido post hoy toca hablar sobre otro cambio significativo, la autenticación reforzada de clientes o strong customer authentication (SCA).

En ocasiones, cuando vamos a procesar una compra suelen abordarnos preguntas como por ejemplo: ¿Será esta web fiable? ¿Únicamente con introducir el número de tarjeta se ejecutará el pago? ¿No necesito introducir ninguna información adicional?

Pues precisamente, para resolver estas dudas y dotar de una mayor seguridad a las transacciones efectuadas a través de medios electrónicos (contactless, internet…) se ha introducido la figura de la autenticación reforzada.

Para encontrar una definición de autenticación reforzada de clientes podemos acudir al artículo 4. de la Directiva PSD2 que la define como:

Autenticación basada en la utilización de dos o más elementos categorizados como:

  • Conocimiento:algo que solo conoce el usuario (p.ej.: una contraseña);
  • Posesión:algo que solo posee el usuario (p.ej.: un correo electrónico o teléfono);
  • Inherencia:algo que es el usuario (p.ej.: cualquier dato biométrico, iris, huella…)

Dichos elementos son independientes —es decir, que la vulneración de uno no compromete la fiabilidad de los demás—, y concebida de manera que se proteja la confidencialidad de los datos de autenticación.

Asimismo, el ámbito de aplicación de la autenticación reforzada se engloba dentro de los casos en los que el usuario:

  • Acceda a su cuenta de pago en línea;
  • Inicie una operación de pago electrónico;
  • Realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos.

Es importante mencionar que en caso de que el usuario sufriera algún cargo no autorizado con motivo de la no utilización de una autenticación reforzada para cualquiera de los 3 casos mencionados anteriormente, el proveedor de servicios deberá resarcirlo por las pérdidas sufridas.

Por otro lado, para profundizar en las especificaciones que debían cumplir los proveedores de servicios de pago se elabora el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

Entre las especificaciones implantadas por dicho Reglamento podemos destacar las siguientes:

  • Revisión de medidas de seguridad:los proveedores de servicios de pago deberán documentar, probar, avaluar y auditar que cumplen con las medidas de seguridad.
  • Exención de SCA: operaciones periódicas, transacciones contactless por importe inferior a 50 euros, operaciones de escasa cuantía…

En definitiva, el PSD2 y la autenticación reforzada supone un gran cambio en el ámbito de los servicios de pago y se promueve con un único fin, aportar mayor seguridad obligando a los proveedores de servicios de pago a dotarse de medios que permitan afrontar con mayor seguridad las nuevas metodologías de pago.

¿Qué opinas?

¿Se conseguirá mediante la SCA  promovida por la PSD2 disminuir el número de operaciones fraudulentas?