Entre las normas que complementan a la Directiva PSD2 se encuentra el Reglamento Delegado 2018/389relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros. El mismo establece la Autenticación Reforzada del Cliente o SCA; es decir, el nuevo marco regulatorio europeo para reducir el fraude y realizar pagos online de forma más segura.

La Autenticación Reforzada del Cliente implica su aplicación a partir del 14.09.2019 a cualquier pago online donde el comerciante y el banco del titular de la tarjeta están situados en Europa.

No será necesaria en pagos recurrentes iniciados por el comerciante, ni en operaciones iniciadas por un comercio online previamente autorizado por el cliente (los comercios de confianza) y tampoco en pagos con tarjeta realizados en persona (menos los contactless), entre otras excepciones que luego comentaremos con más detalle.

La particularidad de la Autenticación Reforzada del Cliente o SCA es que añade a los pagos online un paso intermedio. Ahora, además de la autorización del pago y del cargo del mismo, se incluye la autenticación del pago.

La autenticación multifactor (MFA) se está convirtiendo en un término común, pero su significado no siempre está claro. La autenticación multifactor o de múltiples factores, como su nombre indica, se refiere al uso de dos o más factores (o credenciales) en la autenticación de un usuario.

El objetivo de la MFA es crear una defensa por capas y hacer que sea más difícil para una persona no autorizada acceder a un objetivo, como una ubicación física, un ordenador, una red o una base de datos.

Si uno de los factores se ve comprometido o se rompe, el atacante todavía tiene al menos una barrera más que romper antes de acceder con éxito al objetivo.

Estos factores deben provenir de al menos dos de estas tres categorías:

  • Lo que el usuario sabe o conoce: contraseñas, PINs, KBAs. Las contraseñas, que generalmente constituyen el primer factor de autenticación entran en esta categoría. La autenticación basada en el conocimiento que generalmente consiste en preguntas difíciles, como “¿cuál es el apellido de soltera de su madre?” también entran en esta categoría.
  • Lo que el usuario tiene o posee: pulsera, móvil, llavero. Los factores de autenticación en esta categoría verifican que el usuario posee algo específico. Puede ser recibir un mensaje de texto en su teléfono móvil, o insertar su tarjeta de débito en un cajero automático.
  • Lo que es propio o inherente al usuario: su huella, iris o rasgos faciales biométricos.

Cuando un usuario se autentica utilizando factores de al menos dos de estas categorías, se puede asociar un nivel de garantía (LoA, level of agreement) mucho mayor al usuario. Dependiendo de los requisitos de seguridad de su organización, es posible que desee exigir ese mayor nivel de garantía solo para transacciones de alto valor o de alto riesgo.

En el pasado, los sistemas de AMF solían basarse en la autenticación de dos factores. Sin embargo, debido a que los consumidores están utilizando cada vez más dispositivos móviles para la banca y las compras, las preocupaciones de seguridad física y lógica han convergido. Esto, a su vez, ha generado más interés en la autenticación de tres factores.

La MFA actual también tiene la capacidad de aumentar los requisitos de autenticación en función del riesgo contextual.

Asimismo, estos elementos deben ser:

  • Independientes, de modo que el compromiso de uno no implique el de los otros. Por ejemplo, aunque un hacker pueda robar mediante un keylogger una contraseña (algo que el usuario sabe), eso no debería darle acceso a otros elementos físicos como el teléfono móvil.
  • Uno de los elementos (al menos) debe estar diseñado para preservar la confidencialidad de los datos de autenticación.
  • Al menos uno de los elementos debe ser no replicable y no reutilizable.
  • Y al menos uno de los elementos no debe ser susceptible de ser robado a través de Internet.

Además, ese proceso de autenticación tendrá como resultado la generación de un código de autenticación único en relación a la transacción. Es decir, un código de un solo uso obtenido a partir de los elementos de autenticación y que deberá cumplir con los siguientes requisitos:

  • Si se divulgase el código, a partir de él no se debe poder obtener información sobre los elementos de autenticación.
  • No debe ser posible crear un nuevo código a partir de uno anterior.
  • Tiene que ser imposible falsificar el código.

Por otro lado, las empresas proveedoras de servicios de pago deberán poder ofrecer las siguientes garantías:

  • Si algo falla en el proceso de generación del código de autenticación, no se debe poder saber qué elemento de autenticación era incorrecto.
  • El número de intentos fallidos hasta que se produzca el bloqueo temporal o definitivo será de, como mucho, 5 en un tiempo determinado.
  • Las sesiones de comunicación estarán protegidas contra la captación de los datos de autenticación y contra la manipulación por personas no autorizadas.
  • Después de la autenticación, el usuario no podrá permanecer inactivo más de cinco minutos.

En definitiva, la Autenticación Reforzada del Cliente o SCA debe implicar pagos online mucho más seguros, reduciendo el nivel de fraude y aumentando la confianza en las compras online. Ahora bien, también supone mayor fricción en el proceso de compra y por tanto la posibilidad de menos procesos de compra finalizados, especialmente en las primeras semanas de prueba.

Por ejemplo, si un usuario intenta autenticarse desde un dispositivo que ha usado muchas veces antes, puede otorgarle acceso inmediato. Sin embargo, si intentan autenticarse desde un nuevo dispositivo, es posible que necesite la aprobación de un dispositivo conocido y confiable.

¿Qué debe hacer una tienda o servicio online para adaptarse a la norma?

  • Lo PRIMERO es ponerse en contacto con su proveedor de servicios de pago para verificar que el mismo cumple con la normativa. Hecho eso, comprobar que la usabilidad y la experiencia de usuario en las transacciones online no se verán afectadas, aumentando las tasas de abandono de procesos de compra.
  • Lo SEGUNDO que debe hacer el servicio online o comercio electrónico es determinar si en su caso es posible que algunas de las excepciones a la Autenticación Reforzada del Cliente o SCA resulten aplicables.Es decir, bajo determinados supuestos los proveedores de servicios de pago podrán optar por no aplicar la Autenticación Reforzada del Cliente o SCA. Ahora bien, eso estará condicionado a que se garantice que los mecanismos de supervisión no muestren sospechas de fraude. Es decir, las que pasen el filtro del llamado Transaction Risk Analysis o TRA.

    El análisis de riesgo de transacción o TRA quiere garantizar la seguridad de la operación pero sin incomodar al usuario. De esa forma, los algoritmos del TRA (aplicados por el proveedor de servicios de pago) analizan el comportamiento de las partes durante el proceso de pago, si hay algún movimiento susceptible de ser fraudulento se pide un elemento de autenticación más (algunos de los indicados más arriba). Si no se detecta nada sospechoso, la operación se completaría sin ese paso.

    El análisis del TRA implica que los algoritmos del proveedor de servicios de pago analicen al menos los siguientes elementos:

    • Listas de elementos de autenticación comprometidos o sustraídos.
    • El importe de cada operación de pago.
    • Supuestos de fraude conocidos en la prestación de servicios de pago.
    • Señales de infecciones por virus durante la autenticación.
    • El uso anormal que haya hecho el usuario del dispositivo o programa de acceso, si lo proporcionó el proveedor de servicios de pagos.

Por tanto, el TRA hará que no todas las operaciones requieran la verificación de un paso más. Ahora bien, ¿qué operaciones en concreto podrían quedar excluidas de la Autenticación Reforzada del Cliente o SCA?

    • Transacciones de bajo riesgo (pasado el filtro de TRA y si el banco o el proveedor de servicios de pagos no alcanza determinados valores en cuanto a su ratio de fraude).
    • Pagos de menos de 30 euros (hasta en cinco ocasiones consecutivas en las que el ordenante haya realizado pagos electrónicos y siempre que no se haya superado en conjunto el importe de 100 euros).
    • Pagos recurrentes y fijos, por ejemplo en suscripciones.
    • Transacciones iniciadas por el comerciante (ahora bien, la autenticación debería realizarse en el momento de guardar la tarjeta o en el primer pago).
    • Comercios de confianza elegidos por los usuarios en una lista blanca (indicada a su banco).
    • Ventas por teléfono.
    • Pagos corporativos con tarjetas de empresa.

Sea como sea, las excepciones pueden ser rechazadas por el banco. Por tanto, es importante que el servicio online o comercio electrónico tenga un plan B en caso de que la excepción no resulte aplicable y finalmente deba solicitarse la autenticación. Algo importante en casos en los que eso implique que el usuario deba volver a la web o app para su autenticación.

  • Finalmente, el TERCER paso del comercio o servicio online será revisar sus términos y condiciones y ponerlos al día, mayormente sus Condiciones de Contratación y su Política de Privacidad. ¿En qué sentido? Por ejemplo:
    • Al hablar de los medios de pago que pueden usarse y las medidas de seguridad adoptadas, según los artículos 97.1 g) y 98.3 de la Ley General para la Defensa de los Consumidores y Usuarios.
    • Sobre los datos personales proporcionados durante el proceso de compra, ya que la Autenticación Reforzada del Cliente o SCA puede implicar dar más información, incluida quizá la biométrica (huella o cara, por ejemplo). Si bien lo normal es que el servicio online o comercio electrónico no recopile esa información, sí sería buena idea señalar lo que implica ahora el proceso de compra, de acuerdo al art. 13 RGPD.
    • Sobre los usos que se darán a los datos recopilados, uno obvio será relativo al procesamiento del pago y eso ahora también podría incluir el hecho de su autenticación.
    • La aplicación del TRA o el análisis de riesgo de transacción supondrá una decisión individual automatizada de acuerdo al artículo 22 RGPD por parte del proveedor de servicios de pago. Si bien la misma puede excepcionarse en la celebración de un contrato, no estaría de más informar de ese tratamiento automatizado en la Política de Privacidad del comercio online.
    • Ajustar los apartados relativos a las medidas de seguridad y plazos de conservación aplicables, en función del proceso de pago y la autenticación aplicable.

Recurso:  Blue Paper: autenticación multifactor (MFA)