Y llegó el 14 de septiembre sin SCA
El 14 de septiembre de 2019 vencía el plazo para el establecimiento de un mecanismo reforzado de seguridad en los pagos electrónicos o digitales iniciados de forma remota o no presencial, así como para el acceso remoto u online a nuestras cuentas bancarias: el Strong Customer Authentication (SCA) o doble factor de autenticación
El sábado fue 14 de septiembre de 2019, una fecha random para la mayoría de las personas salvo para todas aquellas que en la Unión Europea trabajan en ámbitos relacionados con los medios de pago y a los que por tanto afecta la Directiva (UE) 2015/2366 de servicios de pago (PSD2) y el Reglamento Delegado (UE) 2018/389.
¿Qué es la Autenticación Reforzada del Cliente?
El 14 de septiembre de 2019 vencía el plazo para el establecimiento de un mecanismo reforzado de seguridad en los pagos electrónicos o digitales iniciados de forma remota o no presencial, así como para el acceso remoto u online a nuestras cuentas bancarias: el Strong Customer Authentication (SCA) o doble factor de autenticación (2FA), salvo exenciones determinadas por la Autoridad Bancaria Europea (EBA). Ello implica que los comercios online debían tener implantados antes de dicha fecha soluciones 3DSecure 2.0. para satisfacer dicho requisito.
La obligación de autenticar al cliente –esto es, de demostrar que un usuario es realmente quien asegura ser- corresponde al emisor del medio de pago (por ejemplo, en las tarjetas, al banco o entidad financiera que la emite), quien no obstante puede delegar en un tercero el modo de activar dicha autenticación (por ejemplo, con el lector de huella dactilar de los dispositivos telefónicos, que pertenecen, según el caso, a Apple, Samsung, Huawei, etc.) Si el receptor de dicho pago –el comercio, por ejemplo- no cumple con el SCA –no exige un segundo elemento seguro en sus páginas web o apps- puede encontrarse con que el emisor no autorice la operación por no poder autenticar al cliente debidamente o que, si la autoriza, en caso de fraude la responsabilidad es del comercio.
Antes de PSD2 (y de momento, durante un tiempo más allá del 14 de septiembre, aún por determinar), era suficiente un único factor de autenticación o elemento de seguridad, si bien muchos emisores ya operaban con dos. Al exigirse ahora un segundo elemento seguro para todos los pagos online, la dificultad radica en determinar cuál es el elemento idóneo: que cumpla con los requisitos que establece la Autoridad Bancaria Europea (EBA) y que sea lo suficientemente cómodo de entregar por los consumidores para que no se convierta en un elemento disuasorio de los pagos remotos digitales y que se caigan las ventas online.
Una vez esté todo esto en marcha y se informe a los consumidores –algo que no ha ocurrido aún debidamente- se podrán crear las denominadas "listas blancas" (en contraposición a las listas negras): los emisores incorporarán a estas listas blancas a los comercios o servicios que el cliente desee que no se aplique ese segundo factor de autenticación, generalmente por la confianza que le brinda dicho proveedor. De modo que en los próximos meses intuyo que seremos solicitados por muchos comercios que les incluyamos en nuestra lista blanca personal, como ya experimentamos en torno al 25 de mayo de 2018 con la entrada del Reglamento General de Protección de Datos.
Lista de posibles elementos que demuestran…
…Inherencia
…Posesión
…Conocimiento
Posesión de un dispositivo evidenciado por una firma generada por un dispositivo
Tarjeta o dispositivo evidenciado a través de un código QR (o foto TAN) escaneado
Lista de posibles elementos que no demuestran…
…Inherencia
…Posesión
…Conocimiento
Tarjeta de coordenadas impresa o lista OTP.
Fuente: Afi, a partir de la Opinión de la EBA sobre elementos SCA (21 junio 2019).
Elementos que no cumplen SCA en los enfoques o soluciones hoy observadas en el mercado.
¿Por qué está resultando tan complicado acordar un mecanismo SCA?
Son varias las razones, además de la procrastinación consustancial a las personas tanto físicas como jurídicas. Además de no encontrarse aún disponibles las soluciones 3DSecure2.0. para el comercio online, se suma el hecho de que la Opinión emitida por la EBA el 21 de junio de 2019 no consideraba entonces aptos como elementos seguros algunos de los que habitualmente se han utilizado en España –la tarjeta de coordenadas y el mensaje de texto (SMS) o token que recibimos en el móvil-, dado que la EBA considera que demuestran "algo que tengo" y no "algo que sé", en la medida en que este mensaje o token es recibido en un teléfono móvil, que ya es "algo que tengo" y por lo tanto no cumple con la regla de al menos dos de tres elementos seguros, siempre y cuando no se añadan medidas de seguridad adicionales para acceder a dicho elemento seguro (por ejemplo, una contraseña).
La consideración de la huella digital como elemento seguro del tipo "algo que soy" será seguramente el segundo factor más universal en un futuro cercano. Pero aún es pronto para garantizar dicha universalidad: no todos los móviles cuentan con lector de huella digital integrado, solo los de alta gama y siempre que sean últimos modelos. Y no todo el mundo dispone de uno (aún).
¿Por qué es tan relevante este tema?
El comercio online en España ha alcanzado cifras espectaculares que crecen significativamente año a año: al cierre de 2018 la facturación se acercó a los 40.000 millones de euros –según cifras publicadas por la CNMC relativas al ejercicio 2018, que contabiliza las compras realizadas por Internet mediante tarjeta de pago- en cerca de 700 millones de actos de compra o pago, un 34% más de las registradas en 2017. Hablamos por tanto de muchas operaciones de pago y de muchas ventas que pueden verse amenazadas de no resolverse pronto este aspecto puntual que trae consigo la PSD2, una normativa aprobada por las autoridades europeas en diciembre de 2015, hace casi cuatro años.
