Levante-EMV

Levante-EMV

Contenido exclusivo para suscriptores digitales

Análisis

La banca se fía del móvil

La nueva normativa sobre pagos electrónicos obliga a autenticar por duplicado a los usuarios para mejorar la seguridad

Una usuaria realiza una compra por internet con su móvil.

La entrada en vigor ayer sábado de la nueva directiva europea sobre sistemas de pago -conocida como PSD2 en el argot financiero- permitirá mejorar notablemente la seguridad de las transacciones y de la operativa online, en un intento por atajar los numerosos casos de fraude que se registran a diario con la clonación de tarjetas o el robo de datos a través de técnicas como el phising. Para ello, la normativa exigirá a partir de ahora una doble autenticación de los usuarios a la hora de realizar buena parte de las operaciones que se desarrollan a través de medios electrónicos, para lo que cobrarán aún mayor importancia los teléfonos móviles como medio para demostrar la identidad real de quien ordena una transferencia o realiza una compra en internet.

Los primeros en comprobarlo serán quienes utilicen la banca electrónica para consultar sus cuentas o realizar una transferencia. A partir de ahora ya no será suficiente con introducir el usuario y la contraseña o la huella dactilar. Ahora será necesario un segundo factor de autenticación, una clave que, dependiendo del banco, se enviará por SMS o bien a través de una notificación de la app, de forma que, aunque se acceda por el ordenador de sobremesa, será indispensable tener a mano el teléfono, como explica Javier Mezcua, de Helpmycash.

Sabadell, Santander, BBVA o las cajas rurales han optado por el mensaje de texto, mientras que ING ha preferido las notificaciones, lo que obliga a sus clientes a descargarse la aplicación, según explica Mezcua.

En este sentido, la nueva normativa obliga a que la citada doble autenticación o SCA (Strong Customer Authentication) se realice siempre mediante la combinación de dos de los tres tipos de factores que se han establecido, y que pueden ser de conocimiento -algo que el usuario sabe, como el PIN-; de posesión -como la propia tarjeta, en el caso de los pagos físicos, o una clave que se envíe por SMS-; o de «inherencia», donde se incluyen los parámetros biométricos, como la huella dactilar o el reconocimiento facial. En caso de la banca online, por ejemplo, se combinará un factor de conocimiento (contraseña) o inherencia (huella dactilar), con uno de posesión (la clave que se envíe por SMS).

También en tiendas físicas

Junto con la banca electrónica, la nueva legislación también empezará a aplicarse hoy sábado en los comercios físicos, donde sólo afectará a los pagos contactless de menos de 20 euros, ya que en el resto ya se cumple la combinación de factores (la tarjeta física y el PIN). A partir de ahora habrá que introducir también los cuatro dígitos asociados a nuestra tarjeta en una de cada cinco operaciones por debajo de este importe o cuando se lleven acumulados 150 euros, según explican desde la red Euro6000.

Donde tardará más en llegar la normativa es en el comercio electrónico. Ante la complejidad de su aplicación, ya que también incluye cambios en los protocolos de seguridad internos de los sitios web, el Banco de España ha establecido un «periodo de migración» durante el que no sancionará el incumplimiento de la norma. Una especie de prórroga o periodo de gracia cuya duración aún no está determinada pero que en el sector financiero calculan que durará de nueve a 18 meses.

En cualquier caso, el principal cambio de cara al usuario será que ya no podrán realizarse compras simplemente con el número de la tarjeta, la fecha de caducidad y el CVV, el código que viene en el reverso. Ahora hará falta incluir un segundo parámetro, que puede ser desde una clave enviada por SMS, hasta una autenticación mediante huella dactilar a través del móvil, unas medidas que ya adoptan algunas páginas pero que deberán generalizarse.

Ni suscripciones ni autopistas

Para evitar que la doble autenticación se acabe convirtiendo en un engorro para los usuarios, también se han previsto una serie de excepciones y de normas de aplicación. Por ejemplo, en el caso de la banca online, se permite que las entidades sólo soliciten la introducción de una clave cada 90 días. Igualmente, en los pagos en los comercios electrónicos sólo se exigirá la verificación en una de cada cinco compras menores de 30 euros o cuando se alcance un importe acumulado de 100 euros. De igual modo, tampoco se requerirá con las suscripciones -en el pago de plataformas como Netflix o HBO, sólo será necesario la primera vez, no en cada ocasión que se cargue la mensualidad-, ni en las casetas de pago automatizado de las autopistas o los párkings. Incluso el usuario podrá comunicar a su entidad una lista de comercios de confianza en los que no se tendrán en cuenta estas medidas de seguridad, de acuerdo con las fuentes consultadas.

Abonos directos

La directiva europea también regula las nuevas compañías de servicios financieros que han surgido en los últimos años, las conocidas como «fintech», y crea dos nuevos actores en el sector. Por un lado, los agregadores o AISP, que permiten gestionar en una sola aplicación todas las cuentas del usuario y a los que, ahora, las entidades estarán obligadas a facilitar toda la información del usuario, siempre que éste lo haya autorizado. Y, por otro lado, los denominados servicios de iniciación de pagos, que permitirán que los comercios puedan solicitar directamente a un banco que le pague la factura autorizada por un usuario sin necesidad de pasar un operador de tarjetas.

Compartir el artículo

stats