Autenticación reforzada de cliente (SCA) en los pagos online

Autenticación reforzada

El pasado día 11 conocimos la decisión del Banco de España de ampliar el plazo que finalizaba el pasado día 14 para que se cumplieran con las obligaciones del Reglamento delegado 2018/389[1]. El Banco de España (BdE) hace así uso de la facultad, que de forma extraordinaria, concedió la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) a las autoridades nacionales para que puedan conceder un tiempo adicional limitado y trabajar con los Proveedores de Servicios de Pago (PSP) en la aplicación de la Autenticación Reforzada de Cliente (SCA, por sus siglas en inglés) en los pagos electrónicos. El BdE no ha fijado una fecha fin o un plazo de duración para ese tiempo adicional y se centrará en revisar los planes que presenten los PSP.

La Directiva 2015/2366[2] sobre servicios de pago del mercado interior, más comúnmente conocida como PSD2, pretende fomentar la competencia y la innovación, proteger a los consumidores y fortalecer los requisitos de seguridad de los pagos online. La Directiva se complementa con el Reglamento delegado en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes (SCA) y unos estándares de comunicación abiertos comunes y seguros (CSC, por sus siglas en inglés).

La SCA es un protocolo de autenticación de seguridad de doble verificación que la EBA estableció como parte de los Estándares Técnicos Regulatorios (RTS, por sus siglas en inglés) que desarrollan la PSD2 (que dieron lugar al Reglamento delegado). Este protocolo se ha convertido en el principal escollo para la implementación de la PSD2. Se considera que SCA es un elemento fundamental para el desarrollo del conocido como Open Banking.

La PSD2 actualiza la normativa establecida con la PSD1 e introduce una regulación de los servicios de pago que se venían prestando en el mercado pero que realmente quedaban fuera del ámbito de la PDS1, como son el servicio de iniciación de pago (PIS, por sus siglas en inglés) y el servicio de información de cuentas (AIS, por sus siglas en inglés), prestados por los conocidos como Third Party Providers (TPP).

Hasta la entrada en vigor de la PSD2 y el Reglamento delegado, la prestación de estos servicios implicaba hacer uso, mediante la técnica conocida como screen scraping, de las mismas credenciales de acceso a los servicios del propio titular de la cuenta de pago, lo que supone un riesgo elevado de seguridad.

Atendiendo al mandato de la PDS2, la EBA comenzó a trabajar en la definición de unos Estándares Técnicos Regulatorios (RTS, por sus siglas en inglés), en colaboración con el BCE, aplicables a los proveedores de servicios PIS y AIS. Las definición de estos estándares ha sido compleja y se ha centrado en la definición del SCA y el CSC. El resultado final ha sido el Reglamento delegado. La PSD2 y la autenticación reforzada de cliente significan por tanto nuevas reglas que vienen a modificar la manera en la que los proveedores de servicios de pago identifican a sus clientes.

Los procesos de autenticación reforzada de cliente sirven para determinar que un cliente es quien dice ser. SCA requerirá que los prestadores de servicios de pago verifiquen esa identidad empleando como mínimo dos datos independientes uno del otro, son los conocidos como factores de autenticación. Estos factores se han clasificado en tres grupos:

  • Conocimiento: algo que solo el cliente conoce.
  • Posesión: algo que solo el cliente tiene.
  • Inherencia: algo que el cliente es.

 

La autenticación reforzada del cliente en la PSD2

PSD2 pagos online

Fuente: Banco de España

 

Otro aspecto a considerar de la normativa es la obligación de que los Proveedores de Servicios de Pago desarrollen interfaces de programación abiertas (API, por sus siglas en inglés) para que los TPP que presten cualquier tipo de servicio, PIS o AIS, puedan comunicarse con ellos.

Todas estas cuestiones son las reguladas en el Real Decreto-ley Real Decreto-ley 19/2018[1] que transpone de forma parcial al ordenamiento español la PSD2.

Por último, no debemos olvidar otras normativas a tener en cuenta, como el Reglamento (EU) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, pues de lo que se trata es de datos personales por lo que podría ser necesarios acuerdos con los usuarios de los servicios de pago.

Habrá que estar atentos al plazo concreto que el BdE otorgue, pero en todo caso hay que trabajar para cumplir los requerimientos lo antes posible.


Autor: Sergio Muñoz