Los avances en las tecnologías digitales y el crecimiento de Internet han provocado una explosión de la delincuencia en línea. Mientras delitos tradicionales como el robo con allanamiento de morada y el robo de coches siguen disminuyendo, el fraude en línea se ha convertido rápidamente en el delito más común en el Reino Unido, con casi  una de cada diez personas es víctima.

Los delincuentes han cambiado sus estrategias y la delincuencia en línea les ha permitido atacar a miles de víctimas al mismo tiempo desde casi cualquier lugar del mundo. Utilizando  phishingmalware, y una serie de otras tácticas, los delincuentes pueden acceder a las cuentas bancarias de las personas engañándolas para que revelen sus contraseñas y datos personales.

Estos delitos en línea pueden tener un impacto devastador en la víctima y, en algunos casos, las personas ni siquiera son conscientes de que han sido objeto de ellos hasta que se dan cuenta de que su cuenta bancaria ha sido vaciada.

El sector de los servicios financieros ha invertido mucho en nuevas medidas para ayudar a proteger a los clientes en línea y esto ha ayudado a prevenir más de 1.600 millones de libras de fraude no autorizado. Sin embargo, a pesar de esta inversión, los ciberdelincuentes consiguieron robar 1.200 millones de libras a través de fraudes y estafas en 2018.

En enero de 2018, se introdujo una nueva Directiva de Servicios de Pago de la UE (PSD2), que introdujo nuevas leyes diseñadas para mejorar los derechos de los consumidores y reducir el fraude en línea. Se trataba de una actualización de la anterior Primera Directiva de Servicios de Pago (PSD1), que entró en vigor en 2009. La versión actualizada de la Directiva se vio impulsada por el auge del comercio electrónico y las innovaciones tecnológicas en el sector de los pagos.

¿Qué es la autenticación fuerte de clientes PSD2?

Un elemento clave de la PSD2 es la introducción de autenticaciones de seguridad adicionales para las transacciones en línea de más de 30 euros, conocidas como Autenticación Fuerte del Cliente (SCA). En el pasado, los clientes podían simplemente realizar el pago en línea introduciendo su número de tarjeta y un código de verificación CVC. Sin embargo, con la nueva normativa PSD2, los clientes tendrán que proporcionar una forma adicional de identificación.

¿Cuál es el requisito de autenticación fuerte del cliente?

Según la nueva normativa, todas las transacciones de pago electrónico deberán autentificarse mediante al menos dos de los tres métodos posibles:

  1. Conocimiento: Algo que sólo el usuario conoce – Ej: Una contraseña
  2. Posesión: Algo que sólo posee el usuario – Ej: Teléfono móvil, token o lector de tarjetas
  3. Inherencia: Algo que el usuario es – Ej: Biometría – Huella dactilar, reconocimiento facial, reconocimiento de voz

¿Dónde se aplica la autenticación fuerte del cliente?

El SCA se aplicará a las transacciones en el Espacio Económico Europeo (EEE) únicamente, cuando tanto el ordenante como el beneficiario se encuentren en la región. Si uno de ellos se encuentra fuera de Europa, el requisito es que el proveedor de servicios de pago en Europa haga todo lo posible para aplicar el SCA.

¿Qué es el pago del SCA?

La autenticación fuerte del cliente se aplicará a los pagos en línea iniciados por el cliente dentro de Europa. Esto significará que la mayoría de los pagos con tarjeta y todas las transferencias bancarias requerirán la SCA.

En la actualidad, la forma más común de autenticar un pago en línea con tarjeta se basa en 3D Secure. Este servicio lo ofrecen varios proveedores de tarjetas de crédito y ofrece una protección adicional a los usuarios de tarjetas al introducir otra capa de protección mediante contraseña. Entre los inconvenientes del método actual se incluye el uso de una URL diferente para la pantalla emergente que podría ser malinterpretada como un  sitio de phishing. También puede resultar difícil recordar varias contraseñas para diferentes tarjetas.

Para hacer frente a estos retos y cumplir los nuevos requisitos de la SCA, los bancos europeos han adoptado una versión actualizada de 3D Secure. El nuevo 3DSecure2 es apto para móviles y admite el uso de datos biométricos, lo que contribuye a mejorar la experiencia general del usuario.

¿Cuáles son las excepciones a la autenticación fuerte del cliente?

La PSD2 se diseñó para convertir la SCA en un requisito para todas las transacciones en línea. Sin embargo, algunas exenciones ayudarán a mantener un viaje de pago sin fricciones para el cliente y a lograr el equilibrio adecuado entre la comodidad para el consumidor y la prevención del fraude.

Las exenciones incluyen:

  • Transacciones de bajo valor – Las transacciones inferiores a 30 euros están exentas de SCA. Sin embargo, si el cliente intenta más de cinco pagos consecutivos de poco valor, o si el valor total de los pagos supera los 100 euros, se exigirá la SCA.
  • Transacciones recurrentes – Cuando un cliente realiza un pago regular del mismo importe a la misma empresa, SCA sólo será necesario para la primera transacción. Si el importe cambia, se requerirá 3D secure para cada nuevo importe.
  • Comercios en lista blanca : los consumidores tienen la opción de asignar comercios a una lista blanca de beneficiarios de confianza. Una vez realizada la primera autenticación, todas las transacciones posteriores estarán exentas de autenticación.
  • Transacciones de bajo riesgo – Las transacciones de bajo riesgo que hayan sido sometidas a una evaluación en tiempo real podrán procesarse sin SCA. Esta decisión se basará en los niveles medios de fraude del emisor de la tarjeta y ellos tendrán la última palabra sobre si se requiere SCA.
  • Pedidos por correo y por teléfono (MOTO) – Las transacciones de pedidos por correo y por teléfono no se consideran pagos electrónicos, por lo que están exentas del SCA.
  • Pagos corporativos – Cuando una transacción es iniciada por una empresa y no por un consumidor, no requerirá autenticación por separado.

¿Cuándo entrará en vigor la autenticación fuerte de clientes PSD2?

La implementación de la Autenticación Fuerte de Clientes PSD2 entrará en vigor a partir del 14 de septiembre de 2019.

En la última semana, el regulador financiero del Reino Unido, la Autoridad de Conducta Financiera (FCA), ha acordado retrasar 18 meses la aplicación de la nueva normativa sobre pagos en línea. Las empresas tendrán hasta marzo de 2021 para aplicar efectivamente la nueva función.

El aplazamiento se concedió después de que aumentara la presión de los grupos del sector, que advertían de que los emisores de tarjetas, las empresas de pago y los minoristas en línea no tendrían tiempo suficiente para aplicar los cambios y que, como consecuencia, los clientes podrían verse afectados.

La FCA afirmó que no tomará medidas contra las empresas que incumplan la nueva legislación durante este periodo de tiempo, siempre que puedan demostrar que han tomado medidas para ajustarse al sistema. Tras el periodo de gracia de 18 meses, todos los pagos en línea estarán sujetos a las nuevas medidas de seguridad.

Conclusión

No cabe duda de que la aplicación de la PSD2 supondrá enormes cambios para los proveedores de servicios de pago. Muchos tendrán que cambiar sus sistemas para manejar 3D Secure2 y otros métodos SCA, al tiempo que equilibran cuidadosamente las necesidades de comodidad y seguridad de sus clientes. Sin embargo, al ayudar a reducir las tasas de fraude en el sector, la nueva normativa dará lugar a una mayor confianza con los consumidores y, en última instancia, mejorará el viaje de pago general del cliente.

MetaCompliance está especializada en crear la mejor formación de concienciación sobre Ciberseguridad disponible en el mercado. Nuestros productos abordan directamente los retos específicos que plantean las amenazas cibernéticas y el gobierno corporativo facilitando a los usuarios su compromiso con la Ciberseguridad y el cumplimiento de la normativa.  Póngase en contacto con nosotros para obtener más información sobre cómo podemos ayudarle a transformar la formación en ciberseguridad dentro de su organización.