La autenticación reforzada es un protocolo de seguridad cuya función es verificar la identidad de los usuarios de cuentas y tarjetas para así minimizar los riesgos de fraude, tanto en las transacciones online como en las presenciales.
Los procesos de autenticación que ponen en práctica los diferentes bancos y servicios de pagos tienen como objetivo verificar la identidad de un cliente, es decir, comprobar que es quien dice ser, antes de permitirle realizar cualquier transacción con o desde sus cuentas.
La Autenticación Reforzada de Clientes (Strong Cuestomer Authentication, SCA, por sus siglas en inglés) es una nueva capa de seguridad que impuso la Unión Europea a través de la Directiva de Servicios de Pagos 2, más conocida como PSD2, por sus siglas en inglés. Esta norma, que regula todo el sistema de pagos en los países del Espacio Económico Europeo, entró en vigor progresivamente desde 2018 y quedó instaurada en su totalidad el 31 de diciembre de 2020. Su objetivo fue promover la transparencia, la innovación y dotar de mayor seguridad a los servicios de pago estableciendo requisitos adicionales de seguridad para las transacciones electrónicas así como para la utilización de la banca online.
Es así que desde la entrada en vigor de esta normativa, el 1 de enero de 2021, tanto las entidades bancarias como otros proveedores de servicios de pagos (como establecimientos o tiendas online) deben utilizar la autenticación reforzada en las operaciones de sus clientes para minimizar el riesgo de suplantación de identidad.
¿En qué consiste la autenticación reforzada?
Cuando vamos a realizar cualquier transacción, puede ser pagar una compra, ingresar a nuestra cuenta en internet para hacer una transferencia, etc., nuestra entidad solicitará que demostremos que somos el titular de la cuenta o tarjeta que vamos a utilizar, ya sea para operaciones tradicionales (en forma presencial, en el comercio físico) así como digitales, desde un ordenador, tableta o móvil.
La identificación debe concretarse a través de al menos dos datos o factores distintos que sean exclusivos del usuario, que se dividen en tres categorías:
- Conocimiento: se trata de algo que solo el cliente conoce, como una contraseña, un PIN, la respuesta a una pregunta establecida previamente, una frase, etc.
- Posesión: algo que posee, como una tarjeta de débito o crédito, un teléfono móvil donde recibir un SMS con una contraseña de un solo uso; una notificación o correo electrónico para confirmar la operación; una clave generada mediante la app del banco que debemos tener instalada, etc.
- Inherencia: es algo inherente al titular, como la huella digital, patrones de voz, el iris u otros parámetros físicos de identificación biométrica.
Cada banco o proveedor puede decidir qué factores implementará, pero sólo se aprobará la operación que queremos realizar cuando se hayan verificado al menos dos de estos datos.
Por ejemplo, para realizar una transferencia a la cuenta bancaria de otra persona, para iniciar el proceso de pago de una compra realizada online, o cualquier operación a través de un canal digital que implique un riesgo de fraude o suplantación de identidad.
Algunas excepciones
Aunque para la mayoría operaciones que realizamos con nuestras cuentas y tarjetas ya son necesarios algunos de estos mecanismos de autenticación multifactor, hay varias transacciones que la normativa europea autoriza a realizar sin la exigencia de la autenticación reforzada, por estar consideradas de bajo riesgo para el cliente:
- Pagos contactless en un punto de venta, inferiores a 50 euros y siempre que no se llegue a un importe máximo de 150 euros en tres compras consecutivas. Si se superan las cinco operaciones desde la última vez que se realizó la verificación, estos pagos necesitarán una nueva autenticación.
- Pagos online inferiores a 30 euros: siempre que en 24 horas no se acumulen transacciones que superen los 100 euros. Igual que en el caso anterior, será necesaria una nueva autenticación cuando se superen cinco operaciones sin método reforzado.
- Peajes y parkings: al ser terminales no atendidas y su importe suele ser pequeño, estos pagos también están eximidos de la autenticación reforzada.
- Lista blanca (o whitelist, en inglés): el cliente puede confeccionar una lista de empresas, sitios y comercios de confianza para evitar la multiautenticación.
- Suscripciones periódicas: todos aquellos pagos que se hacen en forma habitual por el mismo importe, como las plataformas de streaming, música o las mensualidades de algún servicio. Sólo deberá autenticarse el primer pago.
- Transacciones que se realizan por teléfono o correo electrónico.
En resumen, la autenticación reforzada añade una capa más de seguridad que minimiza los riesgos de suplantación de identidad y otros fraudes, otorgando a todas las partes involucradas mayor confianza en las transacciones electrónicas.
Sigue pendiente de los contenidos de Tu Futuro Próximo, donde podrás estar al día de todo lo que necesitas saber para mantener organizadas tus finanzas personales. También puedes profundizar tu educación financiera con Simple Finance, el aula virtual con cursos gratuitos que te ayudarán a comprender los conceptos y productos financieros para tomar mejores decisiones sobre cómo administrar tu dinero.
