Los avances en las tecnologías digitales y el crecimiento de Internet han provocado una explosión de la delincuencia en línea. Mientras los delitos tradicionales, como los robos en domicilios y en coches, siguen disminuyendo, el fraude en línea se ha convertido rápidamente en el delito más común en el Reino Unido, del que son víctimas casi una de cada diez personas.
Los delincuentes han cambiado sus estrategias y la delincuencia en línea les ha permitido atacar a miles de víctimas al mismo tiempo desde casi cualquier lugar del mundo. Mediante el phishing, el malware y otras muchas tácticas, los delincuentes pueden acceder a las cuentas bancarias de las personas engañándolas para que revelen sus contraseñas y datos personales.
Estos delitos en línea pueden tener un impacto devastador en la víctima y, en algunos casos, las personas ni siquiera son conscientes de que han sido objeto de un delito hasta que se dan cuenta de que su cuenta bancaria ha sido vaciada.
El sector de los servicios financieros ha invertido mucho en nuevas medidas para ayudar a proteger a los clientes en línea y esto ha ayudado a evitar más de 1.600 millones de libras de fraude no autorizado. Sin embargo, a pesar de esta inversión, los ciberdelincuentes consiguieron robar 1.200 millones de libras a través de fraudes y estafas en 2018.
En enero de 2018, se introdujo una nueva Directiva de Servicios de Pago de la UE (PSD2), que aportaba nuevas leyes diseñadas para mejorar los derechos de los consumidores y reducir el fraude en línea. Se trata de una actualización de la primera Directiva de Servicios de Pago (PSD1), que se aplicó en 2009. La versión actualizada de la Directiva fue impulsada por el aumento del comercio electrónico y las innovaciones tecnológicas en el sector de los pagos.
¿Qué es la autenticación fuerte de clientes PSD2?
Un elemento clave de la DSP2 es la introducción de autentificaciones de seguridad adicionales para las transacciones en línea de más de 30 euros, conocidas como autenticación fuerte del cliente (SCA). En el pasado, los clientes podían pagar en línea simplemente introduciendo su número de tarjeta y un código de verificación CVC. Sin embargo, con la nueva normativa de la PSD2, los clientes tendrán que proporcionar una forma adicional de identificación.
¿Qué es el requisito de autenticación fuerte del cliente?
En virtud de la nueva normativa, todas las operaciones de pago electrónico tendrán que ser autentificadas por al menos dos de los tres métodos posibles:
- Conocimiento: Algo que sólo el usuario conoce - Ej: una contraseña
- Posesión: Algo que sólo posee el usuario - Ej: teléfono móvil, token o lector de tarjetas
- Inherencia: Algo que el usuario es - Ej: Biometría - Huella dactilar, reconocimiento facial, reconocimiento de voz
¿Dónde se aplica la autenticación fuerte de clientes?
La SCA se aplicará a las transacciones en el Espacio Económico Europeo (EEE) únicamente cuando tanto el pagador como el beneficiario se encuentren en la región. Si uno de ellos se encuentra fuera de Europa, el requisito es que el proveedor de servicios de pago en Europa haga todo lo posible para aplicar la SCA.
¿Qué es el pago del SCA?
La autentificación fuerte del cliente se aplicará a los pagos en línea iniciados por el cliente en Europa. Esto significará que la mayoría de los pagos con tarjeta y todas las transferencias bancarias requerirán la SCA.
En la actualidad, la forma más común de autentificar un pago con tarjeta en línea se basa en 3D Secure. Este servicio lo ofrecen varios proveedores de tarjetas de crédito y ofrece una protección adicional a los usuarios de tarjetas al introducir otra capa de protección con contraseña. Entre los inconvenientes del método actual se encuentra el uso de una URL diferente para la pantalla emergente, que podría ser malinterpretada como un sitio de phishing. También puede ser difícil recordar varias contraseñas para diferentes tarjetas.
Para hacer frente a estos retos y cumplir los nuevos requisitos de la SCA, los bancos europeos han adoptado una versión actualizada de 3D Secure. El nuevo 3DSecure2 es fácil de usar para los móviles y admite el uso de la biometría, lo que ayuda a mejorar la experiencia general del usuario.
¿Cuáles son las excepciones a la autenticación fuerte de clientes?
La PSD2 se diseñó para hacer que la SCA sea un requisito para todas las transacciones en línea. Sin embargo, algunas exenciones ayudarán a mantener un viaje de pago del cliente sin fricciones y a lograr el equilibrio adecuado entre la comodidad para el consumidor y la prevención del fraude.
Las exenciones incluyen:
- Transacciones de bajo valor - Las transacciones de menos de 30 euros están exentas de SCA. Sin embargo, si el cliente intenta realizar más de cinco pagos consecutivos de bajo valor, o si el valor total de los pagos supera los 100 euros, se exigirá la SCA.
- Transacciones recurrentes : cuando un cliente realiza un pago regular del mismo importe a la misma empresa, sólo se requerirá SCA para la primera transacción. Si el importe cambia, se requerirá 3D secure para cada nuevo importe.
- Comercios en lista blanca : los consumidores tienen la opción de asignar a los comercios a una lista blanca de beneficiarios de confianza. Una vez completada la primera autenticación, todas las demás transacciones estarán exentas de autenticación.
- Transacciones de bajo riesgo - Las transacciones de bajo riesgo que hayan sido evaluadas en tiempo real podrán ser procesadas sin SCA. Esta decisión se basará en los niveles medios de fraude del emisor de la tarjeta y ellos tendrán la última palabra sobre si se requiere la SCA.
- Pedidospor correo y por teléfono (MOTO) - Las transacciones de pedidos por correo y por teléfono no se consideran pagos electrónicos, por lo que están exentas de la SCA.
- Pagos corporativos - Cuando una transacción es iniciada por una empresa y no por un consumidor, no requerirá una autenticación separada.
¿Cuándo entrará en vigor la autenticación fuerte de clientes de la PSD2?
La implementación de la Autenticación Fuerte de Clientes PSD2 entrará en vigor a partir del 14 de septiembre de 2019.
En la última semana, el regulador financiero del Reino Unido, la Autoridad de Conducta Financiera (FCA), ha acordado retrasar 18 meses la aplicación de la nueva normativa sobre pagos en línea. Las empresas tendrán hasta marzo de 2021 para aplicar efectivamente la nueva característica.
El retraso se concedió después de que aumentaran las presiones de los grupos del sector que advertían de que los emisores de tarjetas, las empresas de pago y los minoristas en línea no tendrían tiempo suficiente para aplicar los cambios y que los clientes podrían verse afectados como consecuencia de ello.
La FCA afirmó que no tomará medidas contra las empresas que incumplan la nueva legislación durante este periodo, siempre que puedan demostrar que han tomado medidas para cumplir con el sistema. Tras el periodo de gracia de 18 meses, todos los pagos en línea estarán sujetos a las nuevas medidas de seguridad.
Conclusión:
No cabe duda de que la aplicación de la PSD2 supondrá enormes cambios para los proveedores de servicios de pago. Muchos tendrán que cambiar sus sistemas para manejar 3D Secure2 y otros métodos de SCA, al tiempo que equilibran cuidadosamente las necesidades de comodidad y seguridad de sus clientes. Sin embargo, al ayudar a reducir las tasas de fraude en el sector, la nueva normativa dará lugar a una mayor confianza con los consumidores y, en última instancia, mejorará el viaje de pago del cliente en general.
MetaCompliance se especializa en crear la mejor formación de concienciación sobre Ciberseguridad disponible en el mercado. Nuestros productos abordan directamente los desafíos específicos que surgen de las amenazas cibernéticas y el gobierno corporativo, facilitando a los usuarios el compromiso con la ciberseguridad y el cumplimiento de las normas. Póngase en contacto para obtener más información sobre cómo podemos ayudar a transformar la formación en ciberseguridad dentro de su organización.