COMERCIO ELECTRÓNICO

Objetivo: blindar la seguridad de los pagos por internet

A partir del próximo 14 de septiembre entra en vigor la normativa SCA (Autenticación Reforzada del Cliente), que busca aumentar la seguridad en las transacciones y en el acceso a datos sensibles, como los bancarios.

A partir del próximo 14 de septiembre entra en vigor la normativa SCA (Autenticación Reforzada del Cliente), que busca aumentar la seguridad en las transacciones y en el acceso a datos sensibles, como los bancarios

comercio-electronico

comercio-electronico / economia

Fran Leal

Fran Leal

Por qué confiar en El PeriódicoPor qué confiar en El Periódico Por qué confiar en El Periódico

Cuando pagamos en un comercio físico u online, existen una serie de medidas de seguridad para demostrar que somos realmente nosotros quienes estamos realizando la compra. PIN, contraseña, tarjeta… Son muchas las maneras de autenticarnos cuando compramos, pero desde Europa se ha querido dar un paso más allá, en aras de la seguridad en las transacciones y el acceso a datos sensibles, como pueden ser los de nuestra cuenta bancaria.

Cambios en septiembre

El próximo 14 de septiembre entrará en vigor la nueva normativa SCA (Autenticación Reforzada del Cliente), que modificará esos últimos pasos que damos cuando hacemos una compra, y sobre todo online.

Alberto López, responsable de Ciberseguridad y Soluciones Digitales de Mastercard para España y Portugal, ha conducido un desayuno informativo con el objetivo de aportar un poco de luz a estos cambios y, podríamos decir, hacerlo comprensible para el común de los mortales. Pues, a su juicio, “ni los consumidores los conocen, ni saben el impacto que pueden tener”.

2 requisitos de los 3 posibles

Para reforzar la seguridad en nuestras compras y reforzar precisamente esa autenticación, a la hora de realizar el pago se nos va a exigir cumplir con 2 de los 3 requisitos siguientes (que cada banco establecerá según su criterio):

  • El primero es el del conocimiento, algo que sabemos. Esto ya se nos venía solicitando, como un número PIN o una contraseña. 
  • La segunda opción es la de la posesión, algo que tenemos y que es imposible de duplicar. También es otra de las opciones más utilizadas hasta el momento, como una tarjeta de crédito o débito, o el propio teléfono móvil.
  • La última de las opciones es la de la inherencia, algo que somos. En este aspecto, la biometría juega un papel fundamental, a través de elementos como la huella dactilar o el reconocimiento facial. De hecho, López ha explicado que desde Mastercard también están desarrollando la biometría del comportamiento, en base a cómo tecleamos o navegamos por los menús de nuestra aplicación bancaria, por ejemplo.

En los pagos físicos, esta regla del 2 de 3 ya la experimentamos en el día a día, pues aportamos algo que tenemos (tarjeta bancaria) y algo que sabemos (PIN). En cambio, en el comercio online no siempre se cumple con estos requisitos y, más allá de nuestro número de la tarjeta, son pocas las medidas de seguridad. Esto precisamente es lo que pretende atajar esta nueva normativa.

Excepciones a la norma

Lo cierto es que la seguridad tiene que ir de la mano de la experiencia del usuario y la comodidad, sin que haya un deterioro importante de esta. Por ello, la propia normativa contempla excepciones que ya veníamos disfrutando, como en el pago contactless. Eso sí, se pondrán una serie de límites, como que no podrán efectuarse más de 5 operaciones sin que haya autenticación. También habrá un tope en cuanto a los importes de las compras que podemos hacer sin autenticarnos. Otros aspectos como los peajes en las autopistas o el transporte contarán con esta excepcionalidad en el cumplimiento de la normativa.

Por otra parte, si los negocios cuentan con unos niveles de fraude muy bajos, a la hora de hacer la transacción podrán hacer un análisis de riesgo (de fraude) y si el resultado es positivo, no se exigirá cumplir con los requisitos que venimos comentando.

Impacto en los clientes y los comercios

López también hizo hincapié en los efectos que va a tener la SCA en los protagonistas de estos cambios. Desde el punto de vista del usuario, si bien tendremos un nuevo paso de autenticación en los pagos, la seguridad se va a ver reforzada, sobre todo en la compra online. La aplicación del banco va a ganar protagonismo (como otro filtro de seguridad) y la biometría se presenta como un método que redunda en la comodidad del proceso.

Por su parte, los comercios necesitarán más información para autenticar los pagos y tendrán que definir qué estrategias van a implantar para cumplir la normativa. 

PSD2: una directiva ambiciosa

Esta nueva normativa SCA se encuentra dentro de la directiva europea PSD2, que tiene unos objetivos ambiciosos:

  • Abrir el ámbito bancario a la competencia.
  • Otorgar más poder al cliente, como dueño final de todos sus datos.
  • Aumentar la seguridad en transacciones y el acceso a datos sensibles, donde se enmarca precisamente la SCA.

Plazo prorrogable

A pesar de la entrada en vigor en septiembre, la Autoridad Bancaria Europea (AEB) ofrece la posibilidad de que las autoridades nacionales puedan dar un periodo adicional, para que todo el ecosistema esté preparado para este nuevo panorama normativo.

De hecho, según un estudio de Mastercard, el 75 por ciento del comercio electrónico minorista en Europa no está al tanto de estos cambios y solo el 14 por ciento ya ha movido ficha. Además, el 51 por ciento cree que no implantará la SCA hasta septiembre o, incluso, aún no lo tiene en mente. Esto, además de las sanciones que puede acarrear, puede llegar a suponer una pérdida de ingresos importantes. Según un informe de Stripe, se prevé que, con la entrada en vigor de la SCA, se podrían alcanzar unas pérdidas de hasta 57.000 millones de euros en actividad económica.