Strong Customer Authentication (SCA): normativa de la UE para transacciones online más seguras

Desde septiembre de 2019, se aplican nuevos requisitos para autenticar los pagos online en la Unión Europea y en otros estados del Espacio Económico Europeo (EEE). Estos forman parte de la segunda directiva de servicios de pago, también conocida oficialmente como PSD2 (Payment Services Directive 2). Se espera que la aplicación de estos nuevos requisitos finalice en 2021.

Un elemento importante de la segunda directiva de la UE para las transacciones es la Strong Customer Authentication o PSD2 SCA. Analizamos los requisitos de esta autenticación, ya que detrás de ella hay toda una serie de requisitos legales, todos ellos con el objetivo de hacer más seguros los pagos en Internet.

¿Qué es el SCA y qué significa su aplicación para tus futuros pagos? ¿A qué pagos afecta esta normativa, qué excepciones hay y cómo se puede optimizar el proceso de pago? Te lo explicamos a continuación.

¿Qué es el SCA y qué significa para tus futuros pagos? En pocas palabras, la Strong Customer Authentication, también conocida como autenticación reforzada de clientes, forma parte de una nueva normativa de la UE que pretende hacer más seguros los pagos online minimizando las posibilidades de fraude. Su principal innovación es un paso adicional de autenticación que precede al pago final.

Según la normativa de la PSD2 SCA, los pagos online solo se autenticarán si se cumplen dos de los tres pasos siguientes:

1. Conocimiento: el usuario debe introducir una contraseña o PIN que solo él conoce.
2. Propiedad: el usuario utiliza un dispositivo de escritorio, Smartphone, smartwatch o una tarjeta inteligente, una tarjeta con chip o un token de hardware de su propiedad para la transacción.
3. Inherencia: el usuario se identifica mediante huella dactilar, escáner facial, reconocimiento de voz, formato de iris o similar.

La Strong Customer Authentication es, por tanto, lo que se denomina una autenticación de dos factores, que se asegura por partida doble de la identidad del usuario.

Este principio es indispensable desde hace mucho tiempo en muchos ámbitos online, pero este paso adicional de seguridad no era obligatorio para las transacciones online hasta ahora. Normalmente los clientes debían simplemente introducir sus datos de pago durante la compra para completarla. Aunque algunas empresas llevan tiempo introduciendo una autenticación adicional, la PSD2 SCA obliga a implementar este paso adicional a todos los proveedores.

La segunda Directiva de Pagos de la UE ya se introdujo el 14 de septiembre de 2019. Sin embargo, todavía hay un plazo hasta que finalice el año para que todos los requisitos se apliquen por completo. La historia de la Strong Customer Authentication se remonta aún más atrás.

La directiva de la UE se basa en tres áreas clave de la legislación de 2007. En aquel momento, al igual que ahora, la Unión Europea se preocupaba por lo siguiente:

1. Reforzar los derechos de los consumidores en las operaciones de pago.
2. Crear igualdad de condiciones regulando el acceso de terceros a la información de las cuentas.
3. Mejorar la seguridad de todas las partes.

Estos aspectos se implementaron en la primera edición de la Directiva de Servicios de Pago (PSD, por sus siglas en inglés). Sin embargo, desde su introducción, los avances tecnológicos en las transacciones de pago se han ido desarrollando a una gran velocidad: el número de servicios de pago online y de TTP (Third Party Providers) también creció, lo que ofrecía formas totalmente nuevas para que los compradores pagasen fácil y rápidamente. Por otro lado, esto también permitió a los vendedores acceder a la información de las cuentas de los clientes.

Esto dejaba abierto un acceso a las cuentas de los consumidores, lo que suponía un gran riesgo de seguridad. La reacción no tardó en llegar en forma de leyes que regulan la forma en que los TTP y los proveedores de servicios de pago acceden a las cuentas de los clientes.

La Strong Customer Authentication es ahora el siguiente paso para reducir el fraude en las transacciones online. Al ser obligatoria en toda la UE, esta tecnología debe utilizarse en todas las transacciones financieras que se realicen. La ley afecta a todos aquellos proveedores de servicios de pago o proveedores de tarjetas que estén radicados en el Espacio Económico Europeo (EEE). Por lo tanto, incluso para las empresas online con sede fuera de Europa, las transacciones pueden estar sujetas a la Strong Customer Authentication, si el pago se realiza a través de un banco del Espacio Económico Europeo.

Esta ley europea también afecta a los proveedores situados fuera del EEE. Por este motivo los nuevos requisitos de autenticación en los pagos online son tan complejos. Los proveedores de servicios de pago ya han solicitado en varias ocasiones un retraso en la aplicación de la PSD2 SCA, pero aún no se ha fijado un plazo concreto.

El 3D Secure es el protocolo de autenticación más utilizado en los pagos online. Es compatible con la mayor parte de las tarjetas de débito y crédito europeas y es, por tanto, el más utilizado. Justo antes de terminar el proceso de pago, se solicita al titular de la tarjeta que proporcione información adicional. Esto puede ser la introducción de un TAN de teléfono móvil o una huella dactilar a través de una aplicación bancaria.

La Strong Customer Authentication utiliza la nueva versión 3D Secure 2, que convierte el protocolo de autenticación en el principal método para autenticar los pagos con tarjeta online. Los cambios de la nueva versión sirven principalmente para mejorar la experiencia del usuario. Los pagos online pueden realizarse de forma fácil y rápida a pesar de los pasos adicionales de autenticación.

Si ya pagas con Apple Pay o con Google Pay, ya utilizas una opción de pago online con el nuevo paso de autenticación integrado. Ambos proveedores ya han implementado pasos biométricos y protegidos con contraseña. A la vez, el proceso de pago es muy fácil para los clientes, un ejemplo de la tecnología de la que consta la PSD2 SCA.

La PSD2 SCA se aplica siempre que un cliente transfiere dinero o accede a su cuenta en el Espacio Económico Europeo. Por ello, la Strong Customer Authentication es obligatoria siempre que:

• Un cliente acceda a su cuenta online
• Un cliente ordene una operación de pago online
• Un cliente corra el riesgo de sufrir un fraude en el pago mediante una transacción online

Como ocurre con cualquier ley, existen excepciones a la norma del PSD2 SCA, por ejemplo, el pago de suscripciones. En estos casos, la Strong Customer Authentication solo es necesaria cuando se da el consentimiento a la suscripción, pero no durante el resto de pagos. Otras posibles excepciones son los pagos de bajo riesgo, en los que la Strong Customer Authentication no es obligatoria e incluso podría ser perjudicial.

A su vez existen límites para las transferencias de importes pequeños: por ejemplo, las transacciones con un valor de menos de 30 euros se consideran de importe menor y en principio pueden estar exentas de la PSD2 SCA. Sin embargo, para no permitir los fraudes numerosos de menor cuantía, ya existen normas para este tipo de importes:

1. Los bancos deben realizar una Strong Customer Authentication aunque la tarjeta esté exenta de ello si ya ha sido utilizada más de cinco veces sin autenticarse.
2. Si la suma de transacciones supera los 100 euros, la PSD2 SCA se aplicará en la siguiente transacción, independientemente de su importe.

Estas excepciones son muy prácticas para empresas online pequeñas. Se ha de tener en cuenta, sin embargo, que al final es el banco del cliente el que decide si estas excepciones se llevan a cabo. Para no perder ningún cliente, es aconsejable ofrecer diferentes posibilidades que estén en consonancia con el PSD2 SCA.