Y lleg¨® el 14 de septiembre sin SCA
El 14 de septiembre de 2019 venc¨ªa el plazo para el establecimiento de un mecanismo reforzado de seguridad en los pagos electr¨®nicos o digitales iniciados de forma remota o no presencial, as¨ª como para el acceso remoto u online a nuestras cuentas bancarias: el Strong Customer Authentication (SCA) o doble factor de autenticaci¨®n
El s¨¢bado fue 14 de septiembre de 2019, una fecha random para la mayor¨ªa de las personas salvo para todas aquellas que en la Uni¨®n Europea trabajan en ¨¢mbitos relacionados con los medios de pago y a los que por tanto afecta la Directiva (UE) 2015/2366 de servicios de pago (PSD2) y el Reglamento Delegado (UE) 2018/389.
?Qu¨¦ es la Autenticaci¨®n Reforzada del Cliente?
El 14 de septiembre de 2019 venc¨ªa el plazo para el establecimiento de un mecanismo reforzado de seguridad en los pagos electr¨®nicos o digitales iniciados de forma remota o no presencial, as¨ª como para el acceso remoto u online a nuestras cuentas bancarias: el Strong Customer Authentication (SCA) o doble factor de autenticaci¨®n (2FA), salvo exenciones determinadas por la Autoridad Bancaria Europea (EBA). Ello implica que los comercios online deb¨ªan tener implantados antes de dicha fecha soluciones 3DSecure 2.0. para satisfacer dicho requisito.
La obligaci¨®n de autenticar al cliente ¨Cesto es, de demostrar que un usuario es realmente quien asegura ser- corresponde al emisor del medio de pago (por ejemplo, en las tarjetas, al banco o entidad financiera que la emite), quien no obstante puede delegar en un tercero el modo de activar dicha autenticaci¨®n (por ejemplo, con el lector de huella dactilar de los dispositivos telef¨®nicos, que pertenecen, seg¨²n el caso, a Apple, Samsung, Huawei, etc.) Si el receptor de dicho pago ¨Cel comercio, por ejemplo- no cumple con el SCA ¨Cno exige un segundo elemento seguro en sus p¨¢ginas web o apps- puede encontrarse con que el emisor no autorice la operaci¨®n por no poder autenticar al cliente debidamente o que, si la autoriza, en caso de fraude la responsabilidad es del comercio.
Antes de PSD2 (y de momento, durante un tiempo m¨¢s all¨¢ del 14 de septiembre, a¨²n por determinar), era suficiente un ¨²nico factor de autenticaci¨®n o elemento de seguridad, si bien muchos emisores ya operaban con dos. Al exigirse ahora un segundo elemento seguro para todos los pagos online, la dificultad radica en determinar cu¨¢l es el elemento id¨®neo: que cumpla con los requisitos que establece la Autoridad Bancaria Europea (EBA) y que sea lo suficientemente c¨®modo de entregar por los consumidores para que no se convierta en un elemento disuasorio de los pagos remotos digitales y que se caigan las ventas online.
Una vez est¨¦ todo esto en marcha y se informe a los consumidores ¨Calgo que no ha ocurrido a¨²n debidamente- se podr¨¢n crear las denominadas "listas blancas" (en contraposici¨®n a las listas negras): los emisores incorporar¨¢n a estas listas blancas a los comercios o servicios que el cliente desee que no se aplique ese segundo factor de autenticaci¨®n, generalmente por la confianza que le brinda dicho proveedor. De modo que en los pr¨®ximos meses intuyo que seremos solicitados por muchos comercios que les incluyamos en nuestra lista blanca personal, como ya experimentamos en torno al 25 de mayo de 2018 con la entrada del Reglamento General de Protecci¨®n de Datos.
Lista de posibles elementos que demuestran¡
¡Inherencia
¡Posesi¨®n
¡Conocimiento
Posesi¨®n de un dispositivo evidenciado por una firma generada por un dispositivo
Tarjeta o dispositivo evidenciado a trav¨¦s de un c¨®digo QR (o foto TAN) escaneado
Lista de posibles elementos que no demuestran¡
¡Inherencia
¡Posesi¨®n
¡Conocimiento
Tarjeta de coordenadas impresa o lista OTP.
Fuente: Afi, a partir de la Opini¨®n de la EBA sobre elementos SCA (21 junio 2019).
Elementos que no cumplen SCA en los enfoques o soluciones hoy observadas en el mercado.
?Por qu¨¦ est¨¢ resultando tan complicado acordar un mecanismo SCA?
Son varias las razones, adem¨¢s de la procrastinaci¨®n consustancial a las personas tanto f¨ªsicas como jur¨ªdicas. Adem¨¢s de no encontrarse a¨²n disponibles las soluciones 3DSecure2.0. para el comercio online, se suma el hecho de que la Opini¨®n emitida por la EBA el 21 de junio de 2019 no consideraba entonces aptos como elementos seguros algunos de los que habitualmente se han utilizado en Espa?a ¨Cla tarjeta de coordenadas y el mensaje de texto (SMS) o token que recibimos en el m¨®vil-, dado que la EBA considera que demuestran "algo que tengo" y no "algo que s¨¦", en la medida en que este mensaje o token es recibido en un tel¨¦fono m¨®vil, que ya es "algo que tengo" y por lo tanto no cumple con la regla de al menos dos de tres elementos seguros, siempre y cuando no se a?adan medidas de seguridad adicionales para acceder a dicho elemento seguro (por ejemplo, una contrase?a).
La consideraci¨®n de la huella digital como elemento seguro del tipo "algo que soy" ser¨¢ seguramente el segundo factor m¨¢s universal en un futuro cercano. Pero a¨²n es pronto para garantizar dicha universalidad: no todos los m¨®viles cuentan con lector de huella digital integrado, solo los de alta gama y siempre que sean ¨²ltimos modelos. Y no todo el mundo dispone de uno (a¨²n).
?Por qu¨¦ es tan relevante este tema?
El comercio online en Espa?a ha alcanzado cifras espectaculares que crecen significativamente a?o a a?o: al cierre de 2018 la facturaci¨®n se acerc¨® a los 40.000 millones de euros ¨Cseg¨²n cifras publicadas por la CNMC relativas al ejercicio 2018, que contabiliza las compras realizadas por Internet mediante tarjeta de pago- en cerca de 700 millones de actos de compra o pago, un 34% m¨¢s de las registradas en 2017. Hablamos por tanto de muchas operaciones de pago y de muchas ventas que pueden verse amenazadas de no resolverse pronto este aspecto puntual que trae consigo la PSD2, una normativa aprobada por las autoridades europeas en diciembre de 2015, hace casi cuatro a?os.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.