PSD2 y autenticación reforzada: nuevas reglas sobre la verificación de la identidad de los clientes
PSD2 y autenticación reforzada: nuevas reglas sobre la verificación de la identidad de los clientes
Como parte de la normativa europea PSD2 (Segunda Directiva de Servicios de Pago), los bancos y otras entidades proveedoras de pagos deberán implantar la autenticación reforzada de clientes, un mecanismo diseñado para reforzar los requisitos técnicos de verificación de la identidad de usuarios. Edward Corcoran, senior manager de Regulación y Control Interno de BBVA , esclarece qué es la autenticación reforzada y cuál será su impacto.
El uso de pagos electrónicos y banca ‘online’ ha crecido rápidamente en Europa. En el informe ‘Consumer Trends’ de este año, la Autoridad Bancaria Europea constató que el número total de pagos por medios digitales en la Unión Europea (UE) aumentó un 7,3% en 2017, hasta alcanzar 134.000 millones de operaciones.
Este crecimiento explica por qué las autoridades europeas, preocupadas por los posibles riesgos de fraude para los clientes, aprobaron una extensa reforma sobre seguridad de pagos como parte de la Segunda Directiva de Servicios de Pago (PSD2, por sus siglas en inglés).
A partir del próximo mes de septiembre, los bancos europeos y otras empresas proveedoras de servicios de pago deberán implantar la autenticación reforzada de clientes (o autenticación fuerte de clientes) en un amplio abanico de sistemas de pagos y otras operaciones, como inicios de sesión en aplicaciones móviles y sitios web.
¿Qué es la autenticación reforzada de cliente?
Los procesos de autenticación sirven para verificar que un cliente es quien dice ser. La autenticación reforzada exige que el servicio de pago utilice al menos dos datos distintos, conocidos como factores de autenticación. Estos factores se dividen en tres grupos:
- Conocimiento: algo que el cliente conoce, como una contraseña o PIN.
- Posesión: algo que el cliente posee, como una tarjeta de débito o un teléfono móvil.
- Inherencia: algo inherente al cliente, como su huella dactilar.
Muchos de estos factores ya son habituales: se utilizan tarjetas de pago y el PIN para realizar pagos físicos, un código recibido por SMS para hacer una compra en línea, o la huella dactilar para desbloquear el móvil y acceder a la ‘app’ del banco.
Pero con las nuevas normas, algunos factores deberán actualizarse o reemplazarse. Además, junto con el creciente uso de ‘apps’ bancarias y teléfonos móviles, es probable que en el futuro aparezcan nuevas formas de autenticación.
Por ejemplo, al realizar una compra en un sitio web, el usuario podría recibir una notificación en el móvil para autenticarse directamente en su aplicación bancaria. En algunos casos, la autenticación podrá incluso hacerse "invisible" utilizando factores biométricos relacionados con el comportamiento del usuario, como la forma de usar el ratón, o navegar por la web, para verificar su identidad.
En algunos casos, los operadores pueden optar por no aplicar la autenticación reforzada, por ejemplo, cuando se realiza un pago de bajo valor con tarjeta ‘contactless’. Esto permite ofrecer una experiencia de usuario más fluida, siempre que se confíe en que el riesgo de fraude es bajo.
A partir de septiembre de 2019, los clientes empezarán a ver cambios en su experiencia de usuario cuando paguen en persona con una tarjeta o inicien sesión en su ‘app’ o sitio web bancario.
Pero los impactos más significativos se producirán en el comercio electrónico. Esto se debe a que los factores más extendidos en la actualidad, el número de tarjeta y el código de seguridad en el reverso (conocido como CVV), ya no se considerarán suficientemente seguros. La implantación de factores alternativos podría hacer más complejo el proceso de compra, elevando así la tasa de abandonos.
Los factores más extendidos en la actualidad, el número de tarjeta y el código de seguridad en el reverso (conocido como CVV), ya no se considerarán suficientemente seguros
Además, para poder seguir aceptando pagos con tarjeta en internet, los comercios tendrán que colaborar con su proveedor de servicio de pagos para adaptar sus sistemas a los procesos de autenticación 3DSecure, un protocolo diseñado para añadir una capa adicional de seguridad a las transacciones ‘online’ de tarjeta.
Ahora bien, reconociendo la barrera que esto supone y la necesidad de evitar la interrupción del comercio electrónico, las autoridades europeas han ampliado el plazo para la aplicación de las nuevas normas a las compras ‘online’. Así, la mayoría de los compradores no verán diferencias significativas en septiembre de 2019, pero es probable que la experiencia de compra sí cambie a finales de 2020.