16 diciembre 2021
Estos últimos años, los dispositivos de autenticación fuerte se han impuesto poco a poco en las páginas de comercio electrónico y en los mercados en función del importe de las operaciones. A partir de ahora, todas las transacciones de un importe superior a 30 euros deben ser objeto de una doble autenticación, conforme a la Directiva sobre los servicios de pago 2 (DSP2). Este reglamento pretende reducir los fraudes en los pagos que se hacen en línea y asegurar más las operaciones bancarias, con el fin de proteger a los consumidores. ¿Qué cubre la autenticación fuerte? ¿Qué hacer para estar en regla? Explicaciones.
La autenticación fuerte forma parte de un panel de medidas incluidas en la Directiva europea sobre los servicios de pago 2 (DSP2). Con su entrada en vigor en enero de 2018 – aunque en realidad se extendió en 2021 -, este reglamento cubre dos grandes objetivos:
Si el calendario de ejecución se reparte en el tiempo, es porque las directivas europeas como la DSP2 necesitan una transposición en todas las legislaciones nacionales. Por su parte, los reglamentos se deben aplicar de manera inmediata en el derecho local y tienen como misión armonizar las diferentes normas puestas en marcha en el marco de la DPS2.
Las normas técnicas de reglamentación (NTR), RTS en inglés, iniciales de Regulatory Technical Standard, han sido preparadas por la Autoridad Bancaria Europea (ABE) y adoptadas por la Comisión Europea para definir de forma concreta – y armonizar – el proceso de autenticación fuerte del cliente que debe ser implementado por los Estados miembros.
Siendo consciente de la amplitud y complejidad de tal adaptación a las normas, el Banco de Francia decidieron en 2019 acordar un plazo de tres años adicionales para asegurarse de que todos los actores afectados por la autenticación fuerte pudieran beneficiarse de una solución segura de aquí a 2022.
Garantes de la seguridad de los pagos, las normas técnicas de reglamentación definen la autenticación fuerte del cliente como la combinación, como mínimo, de dos factores de autenticación, entre ellos:
Así, para validar una transacción bancaria, el cliente debe abrir la aplicación de su banco a través, por ejemplo, del reconocimiento facial (inherencia) para indicar un código recibido por SMS que prueba que posee el teléfono (posesión) El hecho de usar dos factores de autenticación es más seguro que usar solo uno.
Aunque al principio solo se aplicaba a los pagos de más de 2.000 euros, la autenticación fuerte ha llegado a ser, poco a poco, obligatoria para los importes más reducidos. En Francia, desde el 15 de abril de 2021, es obligatoria para los pagos de más de 100 euros. El 15 de mayo de 2021, se exigirá para los pagos de más de 30 euros.
No es el gestor de mercados el que decide el momento oportuno para usar la autenticación fuerte, sino el emisor de la tarjeta bancaria, es decir, el banco emisor. Así, los Estados miembros se aseguran de que un Proveedor de Servicios de Pago (PSP) aplica la autenticación fuerte del cliente en los siguientes casos:
Para aligerar este dispositivo, los NTR han definido de nuevo «excepciones». Solo los PSP del pagador y del beneficiario pueden recurrir a estas excepciones según la naturaleza del pago realizado en línea. La idea de estas excepciones es encontrar un justo equilibrio entre el interés de un refuerzo de la seguridad de los pagos en línea y las necesidades de operabilidad y accesibilidad de los pagos en el sector del comercio electrónico.
Estas excepciones al principio de autenticación fuerte del cliente han sido definidas sobre la base del nivel de riesgo del importe, del carácter recurrente y del medio utilizado para ejecutar la operación de pago.
Entre las excepciones, hay tres que afectan directamente a los pagos en línea. Así, la autenticación fuerte es obligatoria para:
Para este último punto, el valor de la transacción depende de la tasa de fraude notificada por el PSP. En función de los importes, estos son los diferentes umbrales de excepción de aplicación de la autenticación fuerte:
La tasa de fraude medio actual se sitúa en torno al 0.16 % para las operaciones francesas y en torno al 0.3 % para las operaciones transfronterizas.
Conviene saber: La opción de conceder – o no – una exención corresponde al final al banco emisor de la tarjeta.
Si hay algún ámbito en el que Lemonway no transige, es en la seguridad de los pagos. Por eso, hemos aceptado estas nuevas normas reglamentarias como una novedad positiva que apoya el aumento del nivel de seguridad y de la confianza de los clientes finales.Desde nuestro posicionamiento en la cadena de pago, no intervenimos directamente en la opción y la definición de los criterios de autenticación. No obstante, ¡nuestros expertos se ponen a su disposición para toda solicitud de información!