Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra
EP Firmas BLOGS Coordinado por Silvia Meiattini

Y llegó el 14 de septiembre sin SCA

El 14 de septiembre de 2019 vencía el plazo para el establecimiento de un mecanismo reforzado de seguridad en los pagos electrónicos o digitales iniciados de forma remota o no presencial, así como para el acceso remoto u online a nuestras cuentas bancarias: el Strong Customer Authentication (SCA) o doble factor de autenticación

El sábado fue 14 de septiembre de 2019, una fecha random para la mayoría de las personas salvo para todas aquellas que en la Unión Europea trabajan en ámbitos relacionados con los medios de pago y a los que por tanto afecta la Directiva (UE) 2015/2366 de servicios de pago (PSD2) y el Reglamento Delegado (UE) 2018/389.

Ni siquiera ha sido crucial, como así determinaba la propia PSD2, para el comercio online, y ello "gracias" a la moratoria que el Banco de España, la autoridad nacional competente (ANC) anunció el pasado 11 de septiembre mediante comunicado a la obligación de autenticar de forma reforzada a los consumidores que realicen pagos online o accedan de forma remota a sus cuentas bancarias (home banking). Ya un mes antes, el 14 de agosto, la Financial Conduct Authority (FCA) de Reino Unido -la ANC británica-, comunicó formalmente la extensión del plazo que hace apenas unos días ha adoptado también la ANC española.

¿Qué es la Autenticación Reforzada del Cliente?

Y llegó el 14 de septiembre sin SCA

El 14 de septiembre de 2019 vencía el plazo para el establecimiento de un mecanismo reforzado de seguridad en los pagos electrónicos o digitales iniciados de forma remota o no presencial, así como para el acceso remoto u online a nuestras cuentas bancarias: el Strong Customer Authentication (SCA) o doble factor de autenticación (2FA), salvo exenciones determinadas por la Autoridad Bancaria Europea (EBA). Ello implica que los comercios online debían tener implantados antes de dicha fecha soluciones 3DSecure 2.0. para satisfacer dicho requisito.

La obligación de autenticar al cliente –esto es, de demostrar que un usuario es realmente quien asegura ser- corresponde al emisor del medio de pago (por ejemplo, en las tarjetas, al banco o entidad financiera que la emite), quien no obstante puede delegar en un tercero el modo de activar dicha autenticación (por ejemplo, con el lector de huella dactilar de los dispositivos telefónicos, que pertenecen, según el caso, a Apple, Samsung, Huawei, etc.) Si el receptor de dicho pago –el comercio, por ejemplo- no cumple con el SCA –no exige un segundo elemento seguro en sus páginas web o apps- puede encontrarse con que el emisor no autorice la operación por no poder autenticar al cliente debidamente o que, si la autoriza, en caso de fraude la responsabilidad es del comercio.

Antes de PSD2 (y de momento, durante un tiempo más allá del 14 de septiembre, aún por determinar), era suficiente un único factor de autenticación o elemento de seguridad, si bien muchos emisores ya operaban con dos. Al exigirse ahora un segundo elemento seguro para todos los pagos online, la dificultad radica en determinar cuál es el elemento idóneo: que cumpla con los requisitos que establece la Autoridad Bancaria Europea (EBA) y que sea lo suficientemente cómodo de entregar por los consumidores para que no se convierta en un elemento disuasorio de los pagos remotos digitales y que se caigan las ventas online.

Una vez esté todo esto en marcha y se informe a los consumidores –algo que no ha ocurrido aún debidamente- se podrán crear las denominadas "listas blancas" (en contraposición a las listas negras): los emisores incorporarán a estas listas blancas a los comercios o servicios que el cliente desee que no se aplique ese segundo factor de autenticación, generalmente por la confianza que le brinda dicho proveedor. De modo que en los próximos meses intuyo que seremos solicitados por muchos comercios que les incluyamos en nuestra lista blanca personal, como ya experimentamos en torno al 25 de mayo de 2018 con la entrada del Reglamento General de Protección de Datos.

Lista de posibles elementos que demuestran…

…Inherencia

“Algo que soy”

…Posesión

“Algo que tengo”

…Conocimiento

“Algo que sé”
Escáner huella dactilar Posesión de un dispositivo evidenciado por una OTP generada por, o recibida en un dispositivo (hardware o software generador de token, SMS OTP). Contraseña
Reconocimiento de voz

Posesión de un dispositivo evidenciado por una firma generada por un dispositivo

(token de hardware o software)
PIN
Reconocimiento de venas

Tarjeta o dispositivo evidenciado a través de un código QR (o foto TAN) escaneado

desde un dispositivo externo
Preguntas de desafío basadas en conocimiento.
Geometría facial / mano App o navegador con posesión evidenciada por el enlace del dispositivo (chip de seguridad integrado en un dispositivo o enlace de clave privada a una aplicación a un dispositivo, o el registro del navegador web que enlaza un navegador a un dispositivo). Frase de contraseña.
Escáner retina e iris Tarjeta evidenciada por un lector de tarjetas. Memorización del trazo de deslizamiento.
Dinámica de pulsaciones  Tarjeta con posesión evidenciada por un código de seguridad de tarjeta dinámico.  
 Frecuencia cardíaca u otro patrón de movimiento corporal que identifique que el PSU es el PSU (p.e. Wearables).    
Ángulo al que se sujeta el dispositivo.    

Lista de posibles elementos que no demuestran…

…Inherencia

“Algo que soy”

…Posesión

“Algo que tengo”

…Conocimiento

“Algo que sé”
Información transmitida utilizando un protocolo de comunicación, como EMV® 3-D Secure. App instalada en el dispositivo Dirección de correo-e o nombre de usuario.
Memorización del trazo de deslizamiento Tarjeta con posesión evidenciada por los detalles de la tarjeta (impresos en la tarjeta). Detalles de la tarjeta de pago (impresos).
  Tarjeta con posesión evidenciada por un elemento impreso (lista OTP). OTP generado por, o recibido en, un dispositivo (SMS OTP, generador de token hardware o software).
   

Tarjeta de coordenadas impresa o lista OTP.

Fuente: Afi, a partir de la Opinión de la EBA sobre elementos SCA (21 junio 2019).

Elementos que no cumplen SCA en los enfoques o soluciones hoy observadas en el mercado.

 

¿Por qué está resultando tan complicado acordar un mecanismo SCA?

Son varias las razones, además de la procrastinación consustancial a las personas tanto físicas como jurídicas. Además de no encontrarse aún disponibles las soluciones 3DSecure2.0. para el comercio online, se suma el hecho de que la Opinión emitida por la EBA el 21 de junio de 2019 no consideraba entonces aptos como elementos seguros algunos de los que habitualmente se han utilizado en España –la tarjeta de coordenadas y el mensaje de texto (SMS) o token que recibimos en el móvil-, dado que la EBA considera que demuestran "algo que tengo" y no "algo que sé", en la medida en que este mensaje o token es recibido en un teléfono móvil, que ya es "algo que tengo" y por lo tanto no cumple con la regla de al menos dos de tres elementos seguros, siempre y cuando no se añadan medidas de seguridad adicionales para acceder a dicho elemento seguro (por ejemplo, una contraseña).

La consideración de la huella digital como elemento seguro del tipo "algo que soy" será seguramente el segundo factor más universal en un futuro cercano. Pero aún es pronto para garantizar dicha universalidad: no todos los móviles cuentan con lector de huella digital integrado, solo los de alta gama y siempre que sean últimos modelos. Y no todo el mundo dispone de uno (aún).

¿Por qué es tan relevante este tema?

El comercio online en España ha alcanzado cifras espectaculares que crecen significativamente año a año: al cierre de 2018 la facturación se acercó a los 40.000 millones de euros –según cifras publicadas por la CNMC relativas al ejercicio 2018, que contabiliza las compras realizadas por Internet mediante tarjeta de pago- en cerca de 700 millones de actos de compra o pago, un 34% más de las registradas en 2017. Hablamos por tanto de muchas operaciones de pago y de muchas ventas que pueden verse amenazadas de no resolverse pronto este aspecto puntual que trae consigo la PSD2, una normativa aprobada por las autoridades europeas en diciembre de 2015, hace casi cuatro años.


Se adhiere a los criterios de The Trust Project Más información >