El próximo 14 de septiembre será efectiva la normativa europea servicios de pago online, (llamada también PSD2), un sistema que facilita los servicios de pago online en todo el territorio comunitario con mayor seguridad y adaptado a las nuevas tecnologías….¿está su negocio online preparado para estos cambios?
En el BOE del día 24 de noviembre de 2018, se
publicó el Real Decreto-ley 19/2018, de servicios de pago y otras
medidas urgentes en materia financiera, que traspone la Directiva UE
2015/2366 (denominada PSD2) sobre servicios de pago en el mercado
interior y que pretende avanzar en la adaptación de la regulación a los
nuevos cambios tecnológicos que permitan a los usuarios disponer de una
forma más fiable de nuevos servicios de pago.
publicó el Real Decreto-ley 19/2018, de servicios de pago y otras
medidas urgentes en materia financiera, que traspone la Directiva UE
2015/2366 (denominada PSD2) sobre servicios de pago en el mercado
interior y que pretende avanzar en la adaptación de la regulación a los
nuevos cambios tecnológicos que permitan a los usuarios disponer de una
forma más fiable de nuevos servicios de pago.
Cuando pagamos en un comercio físico u online, existen una serie de
medidas de seguridad para demostrar que somos realmente nosotros quienes
estamos realizando la compra. PIN, contraseña, tarjeta… Son muchas
las maneras de autenticarnos cuando compramos, pero desde Europa se ha
querido dar un paso más allá, en aras de la seguridad en las
transacciones y el acceso a datos sensibles, como pueden ser los de
nuestra cuenta bancaria.
medidas de seguridad para demostrar que somos realmente nosotros quienes
estamos realizando la compra. PIN, contraseña, tarjeta… Son muchas
las maneras de autenticarnos cuando compramos, pero desde Europa se ha
querido dar un paso más allá, en aras de la seguridad en las
transacciones y el acceso a datos sensibles, como pueden ser los de
nuestra cuenta bancaria.
Cambios a partir del 14 de septiembre de 2019
Entre las normas que complementan a PSD2 se encuentra el Reglamento
Delegado 2018/389, relativo a las normas técnicas de regulación para la
autenticación reforzada de clientes. El mismo establece la Autenticación Reforzada del Cliente o SCA, es decir, el nuevo marco regulatorio europeo para reducir el fraude y realizar pagos online de forma más segura.
Delegado 2018/389, relativo a las normas técnicas de regulación para la
autenticación reforzada de clientes. El mismo establece la Autenticación Reforzada del Cliente o SCA, es decir, el nuevo marco regulatorio europeo para reducir el fraude y realizar pagos online de forma más segura.
Esta norma afectará a cualquier pago online iniciado por el usuario
dentro de Europa. Es decir, se aplicará a transacciones online donde el
comerciante y el banco del titular de la tarjeta están situados en
Europa.
dentro de Europa. Es decir, se aplicará a transacciones online donde el
comerciante y el banco del titular de la tarjeta están situados en
Europa.
Esa obligación de Autenticación Reforzada del Cliente o SCA entra en
vigor el 14 de Septiembre de 2019, que modificará esos últimos pasos que
damos cuando hacemos una compra, y sobre todo online, y supondrá que
desde esa fecha cualquier pago online que requiera SCA y no cumpla sus
criterios, será rechazado por el banco.
vigor el 14 de Septiembre de 2019, que modificará esos últimos pasos que
damos cuando hacemos una compra, y sobre todo online, y supondrá que
desde esa fecha cualquier pago online que requiera SCA y no cumpla sus
criterios, será rechazado por el banco.
Por tanto, cualquier prestador de servicios de pago, pero también
cualquier servicio online que los use (un e-commerce, servicios de
suscripción, para alquilar vehículo, compartir un viaje o hacer
crowdfunding, entre otros) deberá haber revisado sus procesos de pago
para asegurar que todo está en orden.
cualquier servicio online que los use (un e-commerce, servicios de
suscripción, para alquilar vehículo, compartir un viaje o hacer
crowdfunding, entre otros) deberá haber revisado sus procesos de pago
para asegurar que todo está en orden.
La Autenticación Reforzada del Cliente o SCA no será necesaria en
pagos recurrentes iniciados por el comerciante, ni en operaciones
iniciadas por un comercio online previamente autorizado por el cliente
(los comercios de confianza) y tampoco en pagos con tarjeta realizados
en persona (menos los contactless), entre otras excepciones.
pagos recurrentes iniciados por el comerciante, ni en operaciones
iniciadas por un comercio online previamente autorizado por el cliente
(los comercios de confianza) y tampoco en pagos con tarjeta realizados
en persona (menos los contactless), entre otras excepciones.
La particularidad de la Autenticación Reforzada del Cliente o SCA es
que añade a los pagos online un paso intermedio. Ahora, además de la
autorización del pago y del cargo del mismo, se incluye la autenticación
del pago.
que añade a los pagos online un paso intermedio. Ahora, además de la
autorización del pago y del cargo del mismo, se incluye la autenticación
del pago.
Para reforzar la seguridad en nuestras compras y reforzar
precisamente esa autenticación, a la hora de realizar el pago se nos va a
exigir cumplir con 2 de los 3 requisitos siguientes (que cada banco
establecerá según su criterio):
precisamente esa autenticación, a la hora de realizar el pago se nos va a
exigir cumplir con 2 de los 3 requisitos siguientes (que cada banco
establecerá según su criterio):
- El primero es el del conocimiento, algo que sabemos. Esto ya se nos venía solicitando, como un número PIN o una contraseña.
- La segunda opción es la de la posesión, algo que tenemos y que es
imposible de duplicar. También es otra de las opciones más utilizadas
hasta el momento, como una tarjeta de crédito o débito, o el propio
teléfono móvil. - La última de las opciones es la de la inherencia, algo
que somos. En este aspecto, la biometría juega un papel fundamental, a
través de elementos como la huella dactilar o el reconocimiento facial.
Asimismo, estos elementos deben ser:
- Independientes, de modo que el compromiso de uno no
implique el de los otros. Por ejemplo, aunque un hacker pueda robar
mediante un keylogger una contraseña (algo que el usuario sabe), eso no
debería darle acceso a otros elementos físicos como el teléfono móvil. - Al menos uno de los elementos debe estar diseñado para preservar la confidencialidad de los datos de autenticación.
- Al menos uno de los elementos debe ser no replicable y no reutilizable.
- Al menos uno de los elementos no debe ser susceptible de ser robado a través de Internet.
Además, ese proceso de autenticación tendrá como resultado la
generación de un código de autenticación único en relación a la
transacción. Es decir, un código de un solo uso obtenido a partir de los
elementos de autenticación y que deberá cumplir con los siguientes
requisitos:
generación de un código de autenticación único en relación a la
transacción. Es decir, un código de un solo uso obtenido a partir de los
elementos de autenticación y que deberá cumplir con los siguientes
requisitos:
- Si se divulgase el código, a partir de él no se debe poder obtener información sobre los elementos de autenticación.
- No debe ser posible crear un nuevo código a partir de uno anterior.
- Tiene que ser imposible falsificar el código.
¿Qué procesos debe seguir su negocio online?
Debe ponerse en contacto con su proveedor de servicios de pago para
verificar que el mismo cumple con la normativa. Hecho eso, comprobar que
la usabilidad y la experiencia de usuario en las transacciones online
no se verán afectadas, aumentando las tasas de abandono de procesos de
compra.
verificar que el mismo cumple con la normativa. Hecho eso, comprobar que
la usabilidad y la experiencia de usuario en las transacciones online
no se verán afectadas, aumentando las tasas de abandono de procesos de
compra.
También debe determinar si en su caso es posible que algunas de las
excepciones a la Autenticación Reforzada del Cliente o SCA resulten
aplicables,
excepciones a la Autenticación Reforzada del Cliente o SCA resulten
aplicables,
En su coas, también deberá revisar sus términos y condiciones y
ponerlos al día, mayormente sus Condiciones de Contratación y su
Política de Privacidad.
ponerlos al día, mayormente sus Condiciones de Contratación y su
Política de Privacidad.
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,
José María Quintanar Isasi