El próximo 14 de Septiembre de 2019 llega una de las novedades legales del año: se hace aplicable la Autenticación Reforzada del Cliente (Strong Customer Authentication o SCA en inglés) en pagos online.

Pero comencemos por el principio, ¿de dónde sale la Autenticación Reforzada del Cliente o SCA? 

El 16 de noviembre de 2015 el Consejo Europeo dio el visto bueno a la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior. Más conocida como PSD2. Se trata de la nueva normativa para proveedores de servicios de pago europeos, y busca hacerlos más seguros y comunes. 

La Directiva PSD2 entró en vigor el 13 de enero de 2018. En España, el Real Decreto-ley 19/2018 de servicios de pago y otras medidas urgentes en materia financiera llevó a cabo la transposición de la Directiva casi al pie de la letra. 

Entre las normas que complementan a PSD2 se encuentra el Reglamento Delegado 2018/389, relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros. El mismo establece la Autenticación Reforzada del Cliente o SCA, es decir, el nuevo marco regulatorio europeo para reducir el fraude y realizar pagos online de forma más segura. 

Esa obligación de Autenticación Reforzada del Cliente o SCA entra en vigor el 14 de Septiembre de 2019, y supondrá que desde esa fecha cualquier pago online que requiera SCA y no cumpla sus criterios, será rechazado por el banco. 

Por tanto, cualquier prestador de servicios de pago, pero también cualquier servicio online que los use (un e-commerce, servicios de suscripción, para alquilar vehículo, compartir un viaje o hacer crowdfunding, entre otros) deberá haber revisado sus procesos de pago para asegurar que todo está en orden.

De lo contrario, a partir de esa fecha pueden verse rechazados muchos pagos online por parte de los bancos.

¿Qué implica la Autenticación Reforzada del Cliente o SCA? 

Implicará su aplicación a partir del 14 de septiembre de 2019 a cualquier pago online iniciado por el usuario dentro de Europa. Es decir, se aplicará a transacciones online donde el comerciante y el banco del titular de la tarjeta están situados en Europa. 

La Autenticación Reforzada del Cliente o SCA no será necesaria en pagos recurrentes iniciados por el comerciante, ni en operaciones iniciadas por un comercio online previamente autorizado por el cliente (los comercios de confianza) y tampoco en pagos con tarjeta realizados en persona (menos los contactless), entre otras excepciones que luego comentaremos con más detalle.

La particularidad de la Autenticación Reforzada del Cliente o SCA es que añade a los pagos online un paso intermedio. Ahora, además de la autorización del pago y del cargo del mismo, se incluye la autenticación del pago.

Esa autorización requiere al menos 2 de los 3 factores siguientes:

– Algo que solamente el usuario conoce (Conocimiento), por ejemplo una contraseña o PIN.

– Algo que solamente el usuario posee (Posesión), por ejemplo una tarjeta o un teléfono móvil.

– Algo que es propio del usuario (Inherente), por ejemplo su huella, iris o rasgos faciales biométricos.

Asimismo, estos elementos deben ser:

– Independientes, de modo que el compromiso de uno no implique el de los otros. Por ejemplo, aunque un hacker pueda robar mediante un keylogger una contraseña (algo que el usuario sabe), eso no debería darle acceso a otros elementos físicos como el teléfono móvil.

– Al menos uno de los elementos debe estar diseñado para preservar la confidencialidad de los datos de autenticación.

– Al menos uno de los elementos debe ser no replicable y no reutilizable.

– Al menos uno de los elementos no debe ser susceptible de ser robado a través de Internet.

Además, ese proceso de autenticación tendrá como resultado la generación de un código de autenticación único en relación a la transacción. Es decir, un código de un solo uso obtenido a partir de los elementos de autenticación y que deberá cumplir con los siguientes requisitos: 

– Si se divulgase el código, a partir de él no se debe poder obtener información sobre los elementos de autenticación.

– No debe ser posible crear un nuevo código a partir de uno anterior.

– Tiene que ser imposible falsificar el código.

Por otro lado, las empresas proveedoras de servicios de pago (por ejemplo Stripe) deberán poder ofrecer las siguientes garantías:

– Si algo falla en el proceso de generación del código de autenticación, no se debe poder saber qué elemento de autenticación era incorrecto.

– El número de intentos fallidos hasta que se produzca el bloqueo temporal o definitivo será de, como mucho, 5 en un tiempo determinado.

– Las sesiones de comunicación estarán protegidas contra la captación de los datos de autenticación y contra la manipulación por personas no autorizadas.

– Después de la autenticación, el usuario no podrá permanecer inactivo más de cinco minutos.

En definitiva, la Autenticación Reforzada del Cliente o SCA debe implicar pagos online mucho más seguros, reduciendo el nivel de fraude y aumentando la confianza en las compras online. Ahora bien, también supone mayor fricción en el proceso de compra y por tanto la posibilidad de menos procesos de compra finalizados, especialmente en las primeras semanas de prueba. 

¿Qué debe hacer una tienda o servicio online para adaptarse a la norma?

Lo PRIMERO es que el servicio online o comercio electrónico se ponga en contacto con su proveedor de servicios de pago para verificar que el mismo cumple con la normativa. Hecho eso, comprobar que la usabilidad y la experiencia de usuario en las transacciones online no se verán afectadas, aumentando las tasas de abandono de procesos de compra.

Por ejemplo, algunos de los servicios o plataformas de pago que tienen secciones específicas sobre la Autenticación Reforzada del Cliente o SCA serían:

• Stripe
• Shopify
• Paypal
• WooCommerce
• Amazon Pay
• WorldPay

Lo SEGUNDO que debe hacer el servicio online o comercio electrónico es determinar si en su caso es posible que algunas de las excepciones a la Autenticación Reforzada del Cliente o SCA resulten aplicables.

Es decir, bajo determinados supuestos los proveedores de servicios de pago podrán optar por no aplicar la Autenticación Reforzada del Cliente o SCA. Ahora bien, eso estará condicionado a que se garantice que los mecanismos de supervisión no muestren sospechas de fraude. Es decir, las que pasen el filtro del llamado Transaction Risk Analysis o TRA. 

El análisis de riesgo de transacción o TRA quiere garantizar la seguridad de la operación pero sin incomodar al usuario. De esa forma, los algoritmos del TRA (aplicados por el proveedor de servicios de pago) analizan el comportamiento de las partes durante el proceso de pago, si hay algún movimiento susceptible de ser fraudulento se pide un elemento de autenticación más (algunos de los indicados más arriba). Si no se detecta nada sospechoso, la operación se completaría sin ese paso.

El análisis del TRA implica que los algoritmos del proveedor de servicios de pago analicen al menos los siguientes elementos:

• Listas de elementos de autenticación comprometidos o sustraídos.
• El importe de cada operación de pago.
• Supuestos de fraude conocidos en la prestación de servicios de pago.
• Señales de infecciones por virus durante la autenticación.
• El uso anormal que haya hecho el usuario del dispositivo o programa de acceso, si lo proporcionó el proveedor de servicios de pagos. 

Por tanto, el TRA hará que no todas las operaciones requieran la verificación de un paso más. Ahora bien, ¿qué operaciones en concreto podrían quedar excluidas de la Autenticación Reforzada del Cliente o SCA?

– Transacciones de bajo riesgo (pasado el filtro de TRA y si el banco o el proveedor de servicios de pagos no alcanza determinados valores en cuanto a su ratio de fraude).

– Pagos de menos de 30 euros (hasta en cinco ocasiones consecutivas en las que el ordenante haya realizado pagos electrónicos y siempre que no se haya superado en conjunto el importe de 100 euros).

– Pagos recurrentes y fijos, por ejemplo en suscripciones.

– Transacciones iniciadas por el comerciante (ahora bien, la autenticación debería realizarse en el momento de guardar la tarjeta o en el primer pago).

– Comercios de confianza elegidos por los usuarios en una lista blanca (indicada a su banco).

– Ventas por teléfono.

– Pagos corporativos con tarjetas de empresa.

Sea como sea, las excepciones pueden ser rechazadas por el banco. Por tanto, es importante que el servicio online o comercio electrónico tenga un plan B en caso de que la excepción no resulte aplicable y finalmente deba solicitarse la autenticación. Algo importante en casos en los que eso implique que el usuario deba volver a la web o app para su autenticación.

Finalmente, el TERCER paso del comercio o servicio online será revisar sus términos y condiciones y ponerlos al día, mayormente sus Condiciones de Contratación y su Política de Privacidad.

¿En qué sentido? Por ejemplo:

– Al hablar de los medios de pago que pueden usarse y las medidas de seguridad adoptadas, según los artículos 97.1 g) y 98.3 de la Ley General para la Defensa de los Consumidores y Usuarios.

– Al hablar sobre los datos personales proporcionados durante el proceso de compra, ya que la Autenticación Reforzada del Cliente o SCA puede implicar dar más información, incluida quizá la biométrica (huella o cara, por ejemplo). Si bien lo normal es que el servicio online o comercio electrónico no recopile esa información, sí sería buena idea señalar lo que implica ahora el proceso de compra, de acuerdo al art. 13 RGPD. 

– Al hablar sobre los usos que se darán a los datos recopilados, uno obvio será relativo al procesamiento del pago y eso ahora también podría incluir el hecho de su autenticación.

– La aplicación del TRA o el análisis de riesgo de transacción supondrá una decisión individual automatizada de acuerdo al artículo 22 RGPD por parte del proveedor de servicios de pago. Si bien la misma puede excepcionarse en la celebración de un contrato, no estaría de más informar de ese tratamiento automatizado en la Política de Privacidad del comercio online.

– Ajustar los apartados relativos a las medidas de seguridad y plazos de conservación aplicables, en función del proceso de pago y la autenticación aplicable.

En conclusión, en algo más de dos meses llega un nuevo cambio legal importante para los servicios online europeos. Sin duda favorecerá la venta online y debería reducir el fraude, pero puede implicar mayor fricción en el proceso de compra y necesariamente implica adoptar algunas precauciones y medidas legales que permitan ajustarse al mismo.

Lo seguiremos de cerca.

Foto de portada por Mein Deal en Unsplash.

La entrada Cómo la autenticación reforzada del cliente (SCA) afectará las condiciones de contratación y privacidad se publicó primero en Términos y Condiciones.