En el BOE del día 24 de noviembre de 2018, se publicó el Real Decreto-ley 19/2018, de servicios de pago y otras medidas urgentes en materia financiera, que traspone la Directiva UE 2015/2366 (denominada PSD2) sobre servicios de pago en el mercado interior y que pretende avanzar en la adaptación de la regulación a los nuevos cambios tecnológicos que permitan a los usuarios disponer de una forma más fiable de nuevos servicios de pago.
Cuando pagamos en un comercio físico u online, existen una serie de medidas de seguridad para demostrar que somos realmente nosotros quienes estamos realizando la compra. PIN, contraseña, tarjeta… Son muchas las maneras de autenticarnos cuando compramos, pero desde Europa se ha querido dar un paso más allá, en aras de la seguridad en las transacciones y el acceso a datos sensibles, como pueden ser los de nuestra cuenta bancaria.
Cambios a partir del 14 de septiembre de 2019
Entre las normas que complementan a PSD2 se encuentra el Reglamento Delegado 2018/389, relativo a las normas técnicas de regulación para la autenticación reforzada de clientes. El mismo establece la Autenticación Reforzada del Cliente o SCA, es decir, el nuevo marco regulatorio europeo para reducir el fraude y realizar pagos online de forma más segura.
Esta norma afectará a cualquier pago online iniciado por el usuario dentro de Europa. Es decir, se aplicará a transacciones online donde el comerciante y el banco del titular de la tarjeta están situados en Europa.
Esa obligación de Autenticación Reforzada del Cliente o SCA entra en vigor el 14 de Septiembre de 2019, que modificará esos últimos pasos que damos cuando hacemos una compra, y sobre todo online, y supondrá que desde esa fecha cualquier pago online que requiera SCA y no cumpla sus criterios, será rechazado por el banco.
Por tanto, cualquier prestador de servicios de pago, pero también cualquier servicio online que los use (un e-commerce, servicios de suscripción, para alquilar vehículo, compartir un viaje o hacer crowdfunding, entre otros) deberá haber revisado sus procesos de pago para asegurar que todo está en orden.
La Autenticación Reforzada del Cliente o SCA no será necesaria en pagos recurrentes iniciados por el comerciante, ni en operaciones iniciadas por un comercio online previamente autorizado por el cliente (los comercios de confianza) y tampoco en pagos con tarjeta realizados en persona (menos los contactless), entre otras excepciones.
La particularidad de la Autenticación Reforzada del Cliente o SCA es que añade a los pagos online un paso intermedio. Ahora, además de la autorización del pago y del cargo del mismo, se incluye la autenticación del pago.
Para reforzar la seguridad en nuestras compras y reforzar precisamente esa autenticación, a la hora de realizar el pago se nos va a exigir cumplir con 2 de los 3 requisitos siguientes (que cada banco establecerá según su criterio):
El primero es el del conocimiento, algo que sabemos. Esto ya se nos venía solicitando, como un número PIN o una contraseña.
La segunda opción es la de la posesión, algo que tenemos y que es imposible de duplicar. También es otra de las opciones más utilizadas hasta el momento, como una tarjeta de crédito o débito, o el propio teléfono móvil.
La última de las opciones es la de la inherencia, algo que somos. En este aspecto, la biometría juega un papel fundamental, a través de elementos como la huella dactilar o el reconocimiento facial.
Asimismo, estos elementos deben ser:
Independientes, de modo que el compromiso de uno no implique el de los otros. Por ejemplo, aunque un hacker pueda robar mediante un keylogger una contraseña (algo que el usuario sabe), eso no debería darle acceso a otros elementos físicos como el teléfono móvil.
Al menos uno de los elementos debe estar diseñado para preservar la confidencialidad de los datos de autenticación.
Al menos uno de los elementos debe ser no replicable y no reutilizable.
Al menos uno de los elementos no debe ser susceptible de ser robado a través de Internet.
Además, ese proceso de autenticación tendrá como resultado la generación de un código de autenticación único en relación a la transacción. Es decir, un código de un solo uso obtenido a partir de los elementos de autenticación y que deberá cumplir con los siguientes requisitos:
Si se divulgase el código, a partir de él no se debe poder obtener información sobre los elementos de autenticación.
No debe ser posible crear un nuevo código a partir de uno anterior.
Tiene que ser imposible falsificar el código.
¿Qué procesos debe seguir su negocio online?
Debe ponerse en contacto con su proveedor de servicios de pago para verificar que el mismo cumple con la normativa. Hecho eso, comprobar que la usabilidad y la experiencia de usuario en las transacciones online no se verán afectadas, aumentando las tasas de abandono de procesos de compra.
También debe determinar si en su caso es posible que algunas de las excepciones a la Autenticación Reforzada del Cliente o SCA resulten aplicables,
En su coas, también deberá revisar sus términos y condiciones y ponerlos al día, mayormente sus Condiciones de Contratación y su Política de Privacidad.
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,
BUFETE JURIDICO Y TRIBUTARIO BAILÉN, S.L.P