La SCA o autenticación reforzada de cliente: la nueva ley europea que sacudirá las tiendas ‘online’

La autenticación reforzada (SCA por sus siglas en inglés) es un reto que nos plantea la oportunidad de mejorar la seguridad de los pagos online.

¿Cuál es el objetivo de la SCA?

Busca proteger los servicios de pago electrónico de determinados peligros relacionados con diversas fuentes de fraude como los vinculados con el robo o extravío de credenciales de los usuarios y la consiguiente posibilidad de que se produzca una suplantación ilegítima, con el riesgo que ello supone de transferencias inapropiadas de fondos y comparticiones de datos que no deberían realizarse.

[hde_related]

¿Cuándo se aplica la SCA?

Se empleará al iniciar pagos electrónicos (lo que incluye algunos realizados en el comercio físico, como los realizados con tarjetas sin contacto, por ejemplo) y también cuando un usuario acceda a su cuenta de pago en línea o realice otra operación online que implique riesgo de fraude o abuso.

En cuanto a la fecha de entrada de aplicación, la mayoría de las medidas comenzarán a ser obligatorias el día 14 de septiembre de 2019.

¿En qué contexto se implantará la SCA?

Surge como una de las consecuencias de un cambio más amplio propiciado por la nueva directiva de servicios de pago (comúnmente denominada PSD2).Sin embargo, es importante destacar que, en este caso, hablamos de un reglamento y, por tanto, nos encontramos ante una norma de directa aplicación, sin necesitar una transposición a través de una ley nacional.

¿Cómo afectará la SCA al comercio y la prestación de servicios?

Junto a los consumidores y usuarios, el comercio y los servicios serán los principales afectados de muchos cambios en la experiencia de pago. En algunos momentos, es posible que sea un poco más compleja, pero se pretende incrementar sustancialmente su seguridad.

A corto plazo, necesitarán que los clientes se acostumbren a las novedades en los procedimientos de pago. Probablemente, necesitarán incurrir en costes para acompañarlos en el proceso y asistirlos ante posibles dudas e inconvenientes.

También cambiarán sus relaciones con entidades financieras. No solamente se verán afectados los procesos de cobro y pago, sino que adicionalmente se reforzará la seguridad de las operaciones en el conjunto del sector de servicios de pago en un contexto en el que la banca abierta proporcionará formas distintas de relacionarse con las entidades financieras al tiempo que van apareciendo nuevos operadores en el sector.

A largo plazo, la autenticación reforzada debería ser una pieza clave en la seguridad del comercio electrónico. Ello debería ser un impulso para que se incorporen a nuevas formas de atención, contratación y pago digitales muchos más consumidores y empresas

¿Por qué ahora un estándar de autenticación reforzada?

El objetivo es triple. Por un lado, se quiere responder a la necesidad de mejorar la seguridad de los pagos electrónicos. Por otro, se busca dar un impulso a la implantación de sistemas innovadores en medios de pago. Finalmente, se pretende que sea una referencia internacional más allá de las fronteras de la UE, que permita a las empresas comunitarias liderar un proceso de adaptación que, de una u otra forma, habrán de abordar, antes o después, empresas de todo el mundo.

¿La SCA cambiará con el tiempo?

Previsiblemente, sí. Está previsto que se vayan elaborando pruebas y evaluaciones periódicas que permitan a las autoridades conocer si se aconsejan reformas, por ejemplo, porque vayan surgiendo novedades técnicas, nuevos riesgos, necesidades inéditas, etc.

¿Qué son los mecanismos de supervisión?

Son los orientados a la valoración de las operaciones con el fin de detectar las que puedan resultar fraudulentas o no autorizadas. Como mínimo, los proveedores de servicios de pago han de examinar los siguientes:

• Listas de elementos de autenticación comprometidos o sustraídos.
• El importe de cada operación de pago.
• Supuestos de fraude conocidos en la prestación de servicios de pago.
• Señales de infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación.
• En caso de que el dispositivo o el programa informático de acceso sea facilitado por el proveedor de servicios de pago, un registro de la utilización del dispositivo o el programa informático de acceso facilitado al usuario de los servicios de pago y de su uso anormal.

¿Cuáles son los mecanismos de la SCA?

Estará compuesta de las siguientes medidas, cada una de las cuales tratamos en mayor profundidad más adelante:

• Un código de autenticación.
• La vinculación dinámica.
• Los elementos de autenticación basados en el conocimiento, la posesión y la inherencia.

¿Qué son los elementos de autenticación?

Son elementos que deberán ser verificados para proceder a la generación de un código de autenticación. Al menos, deberán utilizarse dos de los tres siguientes:

• Algo que posee el usuario, como puede ser el caso de su smartphone.
• Algo que conoce el usuario como una clave.
• Un elemento inherente al propio usuario como su huella digital, por ejemplo.

Una clave, un PIN o la posesión de un determinado smartphone son tres ejemplos típicos, pero la norma no prevé que tengan que ser esos mismos tres elementos, sino que podrían ser otros siempre que cumplan con un conjunto de características que cumplan con las características de seguridad marcadas por el reglamento.

Por otro lado, estos elementos de autenticación deben ser independientes. Así, si por la razón que fuese, uno de ellos falla y alguien puede intentar autenticarse ilegítimamente gracias a ello, no debe ser probable que pueda hacerlo, además con ninguno de los otros.

Para entenderlo mejor, imaginemos que alguien sabe nuestra clave. Si sabiéndola, esa persona, por algún tipo de mecanismo, pudiese tener una mayor facilidad de apropiarse de nuestro smartphone, ambos elementos de autenticación dejan de ser independientes.

¿Cómo debe ser el código de autenticación?

Se trata de un código de un solo uso obtenido a partir de los elementos de autenticación. Debe cumplir los siguientes requisitos:

• Si se divulgase el código, a partir de él no se debe poder obtener información sobre los elementos de autenticación.
• No debe ser posible crear un nuevo código a partir de uno anterior.
• Tiene que ser imposible falsificar el código.

Además, las empresas proveedoras de servicios de pago tienen que ofrecer las siguientes garantías:

• Si algo falla en el proceso de generación del código de autenticación, no se debe poder saber qué elemento de autenticación era incorrecto.
• El número de intentos fallidos hasta que se produzca el bloqueo temporal o definitivo será de, como mucho, cinco en un tiempo determinado.
• Las sesiones de comunicación estarán protegidas contra la captación de los datos de autenticación y contra la manipulación por personas no autorizadas.
• Después de la autenticación, el usuario no podrá permanecer inactivo más de cinco minutos.

¿En qué consisten las medidas de vinculación dinámica?

Son medidas asociadas a que el código de autenticación esté vinculado a los datos de la operación específica como el importe o el beneficiario. Al mismo tiempo, se orientan hacia la seguridad y confidencialidad de los datos sensibles.

¿Qué exenciones habrá a la SCA?

En algunos casos, los proveedores de servicios de pago podrán optar por no aplicarla. Siempre que se garantice que los mecanismos de supervisión no arrojen sospechas de fraude, se podrá no aplicar la SCA en los siguientes casos:

• En los Terminales Punto de Venta (TPV) que emplean el sistema sin contacto hasta en cinco operaciones consecutivas, siempre que el importe en conjunto no supere los 150 euros e, individualmente, ninguna supere los 50 euros. Una vez superados esos límites, deberá procederse a una nueva autenticación reforzada.
• En los terminales de pago no atendidos en transportes y aparcamientos.
• Cuando el beneficiario del pago esté incluido por el ordenante en una lista de beneficiarios de confianza y se cumplan los requisitos de autenticación general.
• En los casos en que un mismo ordenante realiza operaciones frecuentes con el mismo importe y beneficiario y se cumplen los requisitos de autenticación general.
• En transferencias entre dos cuentas de la misma persona (física o jurídica) en la misma entidad.
• Hasta en cinco ocasiones consecutivas en las que el ordenante haya realizado pagos electrónicos, siempre que no se haya superado en conjunto el importe de 100 euros ni, individualmente, ninguna operación haya rebasado los 30 euros. Si se excede alguno de los límites anteriores, debería procederse a una nueva autenticación reforzada del cliente.
• Cuando se trate de pagos electrónicos de personas jurídicas que empleen protocolos especiales de pago que no estén disponibles para los consumidores y que convenzan a las autoridades en cuanto a su seguridad.
• En función del análisis de riesgo de la operación.

¿En qué consiste el análisis de riesgo en la SCA?

Uno de los casos en los que el proveedor de servicios de pago puede no aplicar la autenticación reforzada es, precisamente, aquel en el que, en función del análisis de la operación, se considera que el riesgo es bajo.

Para ello, el análisis se basará en tres aspectos:

• Un índice de fraude, que será específico para cada tipo de operación.
• El importe de la operación.
• Que no se haya detectado ningún elemento de riesgo.

A este último respecto. el reglamento enumera los elementos de riesgo que habrán de considerarse:

• Gastos o pautas de comportamiento anormales en el ordenante.
• Información inusual sobre el dispositivo o programa informático de acceso del ordenante.
• Infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación.
• Supuestos conocidos de fraude en la prestación de servicios de pago.
• Una ubicación anormal del ordenante.
• Una ubicación de alto riesgo del beneficiario.

¿Qué tipos de medidas adicionales se establecen para facilitar la SCA?

Además de establecer un procedimiento de autenticación reforzada, el reglamento busca rodear al sistema de un conjunto de medidas para garantizar para que la SCA pueda funcionar:

• Mecanismos que garanticen la confidencialidad e integridad de las credenciales de los usuarios.
• Estándares de comunicación abiertos, comunes y seguros que faciliten la identificación, así como la trazabilidad de las operaciones.
• Interfaces de comunicación que faciliten la comunicación segura entre diversas entidades.

La SCA será un reto para la digitalización de los negocios en el que la Unión Europea no quiere quedarse rezagada.

Imágenes | Bench Accounting, Jonas Leupe, BRUNO CERVERA, John Schnobrich,  Yura Fresh en Unsplash