Mayor seguridad para los pagos en internet

El Reglamento Delegado 2018/389, relativo a las normas técnicas de regulación para la autenticación reforzada de clientes, establece la Autenticación Reforzada del Cliente o SCA. Supone un nuevo marco europeo para reducir el fraude (robo o extravío de credenciales de los usuarios y posible suplantación ilegítima) y realizar pagos online de forma más segura.
De manera que, a partir del 14 de septiembre, cualquier pago online que requiera SCA deberá cumplir con sus criterios de autenticación de pago electrónico, si no quiere ser rechazado por el banco.
Esta norma afecta a cualquier transacción o pago online realizado dentro de Europa. Por tanto, se aplica a cualquier prestador de servicios de pago, lo que incluye también a cualquier servicio online que los utilice. Además, la protección de consumidor se extiende también a las compras realizadas en los comercios con tarjetas contact less o smartcards.
Por el contrario, se prevén algunas excepciones. La Autenticación Reforzada del Cliente o SCA no se aplicará en pagos recurrentes, ni en operaciones iniciadas por un comercio online previamente autorizado por el consumidor (los comercios de confianza) y tampoco en pagos con tarjeta realizados en persona, salvo lo dicho anteriormente para las tarjetas contact less.
¿Qué cambios introduce esta nueva regulación?
La norma, con el objetivo de reforzar la seguridad en las compras online, exige antes de efectuar la compra el cumplimiento de 2 de estas 3 condiciones. Se da libertad al banco para adaptarlo según su criterio:
1) Algo que solo conoce el consumidor, como el número PIN o una contraseña.
2) Algo que solo tiene el consumidor, como una tarjeta de crédito o débito, o el móvil.
3) Algo inherente al consumidor, como la huella dactilar o el reconocimiento facial.
Como colofón, el proceso de autenticación culminará con la obtención de un código de autenticación único en relación a la transacción. Tal y como señala el Reglamento Delegado 2018/389, la autentificación tendrá que reunir los siguientes requisitos en relación con el código:
1) en caso de divulgación, a partir de él no se debe poder obtener información sobre los elementos de autenticación.
2) Imposibilidad de crear uno nuevo código a partir de uno anterior.
3) Imposibilidad de falsearlo.
Aunque algunos e-commerce han adoptado estas medidas de seguridad lo cierto es que solo 14% de los ecommerce de Europa cumplirían este nuevo estándar, según un informe realizado por Mastercard.