El próximo 14 de septiembre entrará en vigor la SCA (Strong Customer Authentication o Autenticación Reforzada), una nueva normativa para la realización de pagos online, que tiene como objetivo principal proteger este tipo de servicios de peligros como el fraude, el robo de credenciales o la realización de transferencias inapropiadas de fondos.
Este nuevo sistema de autenticación se introduce en la legislación de todos los países de la Unión Europea a través de un Reglamento Delegado de la Comisión Europea, elaborado para profundizar en las especificaciones que debían cumplir los proveedores de servicios de pago establecidas en la Directiva de Servicios de Pago (PDS2), y es de obligado cumplimiento en todos los países miembros de la Unión, sin necesidad de realizar una transposición del texto a la legislación nacional.
El reglamento, además, convierte a los Estado miembros en los encargados de garantizar que los proveedores de servicios de pago cumplen con las medidas de seguridad establecidas.
Cuando se aplica la autenticación reforzada
La autenticación reforzada se aplicará cuando el ordenante:
- Acceda a su cuenta de pago en línea.
- Inicie una operación de pago electrónico.
- Realice mediante medios remotos cualquier acción que pueda suponer un riesgo de fraude u otros tipos de abusos.
Es decir, al iniciar cualquier tipo de pago electrónico, aunque se incluyen algunas exenciones que veremos más adelante; y en algunas transacciones que se realizan en comercios no online con tarjetas sin contacto.
Además, la normativa establece que en el caso de que el usuario sufriera algún cargo no autorizado con motivo de la no utilización de una autenticación reforzada, el proveedor de servicios deberá resarcirlo por las pérdidas sufridas.
En qué consiste la SCA
La SCA obligará a establecer al menos dos niveles de autenticación completamente independientes, con el fin de que si uno de ellos falla, no sea posible acceder al otro u otros. De este modo se asegura de una manera mucho más efectiva la seguridad de las transacciones.
En todos los pagos tendrá que haber al menos dos de los siguientes niveles de autenticación:
- Posesión: Algo que posee el usuario, por ejemplo un smartphone o un correo electrónico.
- Conocimiento: Algo que solo conoce el usuario, como una contraseña.
- Inherencia: Algo que es del usuario como su huella digital, por ejemplo, o cualquier otro dato biométrico.
Además, los códigos de autenticación deberán ser de un solo uso y cumplir con los siguientes requisitos:
- En el caso de que se divulgase el código, a partir de él no debe ser posible obtener información sobre los elementos de autenticación.
- No se podrá crear un nuevo código a partir de uno anterior.
- Ha de ser imposible falsificar el código.
Las empresas proveedoras de servicios de pago tendrán que ofrecer las siguientes garantías:
- Si algo falla en el proceso de generación del código de autenticación, no se puede saber qué elemento de autenticación era incorrecto.
- Las sesiones de comunicación estarán protegidas contra la captación de los datos de autenticación y contra la manipulación por personas no autorizadas.
- El máximo número de errores antes de realizar un bloqueo temporal es de cinco durante un período de tiempo limitado.
- Tras la autenticación, el usuario no podrá permanecer inactivo más de 5 minutos.
Por último, se establecen una serie de mecanismo de supervisión, indicadores que sirven para valorar las transacciones y detectar operaciones fraudulentas o no autorizadas. Los proveedores de servicios tendrán que tener en cuenta, como mínimo, los siguientes:
- Listas de elementos de autenticación comprometidos o sustraídos.
- El importe de cada operación de pago.
- Supuestos de fraude conocidos en la prestación de servicios de pago.
- Señales de infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación.
- En caso de que el dispositivo o el programa informático de acceso sea facilitado por el proveedor de servicios de pago, un registro de su utilización y de su uso anormal.
Exenciones a la SCA
Siempre que se garantice que los mecanismos de supervisión no arrojen sospechas de fraude, se podrá no aplicar la SCA en los siguientes casos:
- En los Terminales Punto de Venta (TPV) que emplean el sistema sin contacto hasta en cinco operaciones consecutivas, siempre que el importe en conjunto no supere los 150 euros e, individualmente, ninguna supere los 50 euros.
- En los terminales de pago no atendidos en transportes y aparcamientos.
- Cuando el beneficiario del pago esté incluido por el ordenante en una lista de beneficiarios de confianza y se cumplan los requisitos de autenticación general.
- En los casos en que un mismo ordenante realice operaciones frecuentes con el mismo importe y beneficiario y se cumplan los requisitos de autenticación general.
- En transferencias entre dos cuentas de la misma persona (física o jurídica) en la misma entidad.
- Hasta en cinco ocasiones consecutivas en las que el ordenante haya realizado pagos electrónicos, siempre que no se haya superado en conjunto el importe de 100 euros ni, individualmente, ninguna operación haya rebasado los 30 euros.
- Cuando se trate de pagos electrónicos de personas jurídicas que empleen protocolos especiales de pago que no estén disponibles para los consumidores y que convenzan a las autoridades en cuanto a su seguridad
En función del análisis de riesgo de la operación, para lo que se considerarán los siguientes elementos:
- Gastos o pautas de comportamiento anormales en el ordenante.
Información inusual sobre el dispositivo o programa informático de acceso del ordenante. - Infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación.
- Supuestos conocidos de fraude en la prestación de servicios de pago.
- Una ubicación anormal del ordenante.
- Una ubicación de alto riesgo del beneficiario.
Quienes tienen que implementar estas medidas de seguridad
La Directiva define como proveedores de servicios de pago a las siguientes entidades:
- Entidades de crédito cuya actividad consista en recibir del público depósitos u otros fondos reembolsables, así como en la concesión de créditos por cuenta propia.
- Entidades de dinero electrónico.
- Instituciones de giro postal facultadas a tal efecto.
- Entidades de pago.
- Banco Central Europeo, bancos centrales nacionales, Estados miembros, autoridades regionales y locales cuando no actúen en condición de autoridad monetaria.
En definitiva, todo un reto para los proveedores de pago, a lo que sólo quedan unos pocos meses para adaptarse a la SCA, que cambiará el modo en el que realizamos nuestros pagos online, y que, esperamos, contribuirá a que estos sean más seguros, lo que en definitiva beneficiará al comercio electrónico.