Chargement...

DSP2 y autenticación fuerte del cliente: ¿está su plataforma en regla?

16 diciembre 2021

Business Insight

Estos últimos años, los dispositivos de autenticación fuerte se han impuesto poco a poco en las páginas de comercio electrónico y en los mercados en función del importe de las operaciones. A partir de ahora, todas las transacciones de un importe superior a 30 euros deben ser objeto de una doble autenticación, conforme a la Directiva sobre los servicios de pago 2 (DSP2). Este reglamento pretende reducir los fraudes en los pagos que se hacen en línea y asegurar más las operaciones bancarias, con el fin de proteger a los consumidores. ¿Qué cubre la autenticación fuerte? ¿Qué hacer para estar en regla? Explicaciones.

 

Cómo la DSP2 define las nuevas normas de autenticación fuerte del cliente

La autenticación fuerte forma parte de un panel de medidas incluidas en la Directiva europea sobre los servicios de pago 2 (DSP2). Con su entrada en vigor en enero de 2018 – aunque en realidad se extendió en 2021 -, este reglamento cubre dos grandes objetivos: 

  • Asegurar una comunicación eficaz y segura entre los actores que se mueven en los sectores de servicios de información sobre las cuentas, de iniciación de pagos o de la confirmación de la disponibilidad de fondos;
  • Asegurar las transacciones con una autenticación de doble factor allí donde hasta el momento bastaba un SMS a su móvil para autenticar los pagos con tarjeta (3DS protocolo).

Si el calendario de ejecución se reparte en el tiempo, es porque las directivas europeas como la DSP2 necesitan una transposición en todas las legislaciones nacionales. Por su parte, los reglamentos se deben aplicar de manera inmediata en el derecho local y tienen como misión armonizar las diferentes normas puestas en marcha en el marco de la DPS2.

Las normas técnicas de reglamentación (NTR), RTS en inglés, iniciales de Regulatory Technical Standard, han sido preparadas por la Autoridad Bancaria Europea (ABE) y adoptadas por la Comisión Europea para definir de forma concreta – y armonizar – el proceso de autenticación fuerte del cliente que debe ser implementado por los Estados miembros. 

Siendo consciente de la amplitud y complejidad de tal adaptación a las normas, el Banco de Francia decidieron en 2019 acordar un plazo de tres años adicionales para asegurarse de que todos los actores afectados por la autenticación fuerte pudieran beneficiarse de una solución segura de aquí a 2022.

 

¿Qué es la autenticación fuerte?

Garantes de la seguridad de los pagos, las normas técnicas de reglamentación definen la autenticación fuerte del cliente como la combinación, como mínimo, de dos factores de autenticación, entre ellos:

  • Factor de autenticación de conocimiento: algo que sabe su cliente. Una contraseña, una pregunta secreta, un código secreto, un número de autenticación…
  • Factor de autenticación de posesión: algo que posee su cliente. Un teléfono móvil, un aparato conectado, una tarjeta inteligente…
  • Factor de autenticación de inherencia: algo que es característico de su cliente. Huella digital, reconocimiento facial, reconocimiento vocal…

Así, para validar una transacción bancaria, el cliente debe abrir la aplicación de su banco a través, por ejemplo, del reconocimiento facial (inherencia) para indicar un código recibido por SMS que prueba que posee el teléfono (posesión) El hecho de usar dos factores de autenticación es más seguro que usar solo uno. 

Aunque al principio solo se aplicaba a los pagos de más de 2.000 euros, la autenticación fuerte ha llegado a ser, poco a poco, obligatoria para los importes más reducidos. En Francia, desde el 15 de abril de 2021, es obligatoria para los pagos de más de 100 euros. El 15 de mayo de 2021, se exigirá para los pagos de más de 30 euros.

 

¿En qué casos debemos aplicar la autenticación fuerte del cliente?

No es el gestor de mercados el que decide el momento oportuno para usar la autenticación fuerte, sino el emisor de la tarjeta bancaria, es decir, el banco emisor. Así, los Estados miembros se aseguran de que un Proveedor de Servicios de Pago (PSP) aplica la autenticación fuerte del cliente en los siguientes casos:

  • Cuando el cliente accede a su cuenta en línea
  • Cuando inicia una operación de pago electrónico
  • Cuando realiza una acción, a través de un medio de comunicación a distancia, que puede implicar un riesgo de fraude en materia de pago o de cualquier otro uso fraudulento 

 

Autenticación fuerte: ¿qué excepciones?

Para aligerar este dispositivo, los NTR han definido de nuevo «excepciones». Solo los PSP del pagador y del beneficiario pueden recurrir a estas excepciones según la naturaleza del pago realizado en línea. La idea de estas excepciones es encontrar un justo equilibrio entre el interés de un refuerzo de la seguridad de los pagos en línea y las necesidades de operabilidad y accesibilidad de los pagos en el sector del comercio electrónico.

Estas excepciones al principio de autenticación fuerte del cliente han sido definidas sobre la base del nivel de riesgo del importe, del carácter recurrente y del medio utilizado para ejecutar la operación de pago. 

Entre las excepciones, hay tres que afectan directamente a los pagos en línea. Así, la autenticación fuerte es obligatoria para:

  • Las operaciones recurrentes del mismo importe, mismo beneficiario, normalmente para los abonos, por ejemplo
  • Las transacciones inferiores a 30 euros, siempre que el cúmulo de las operaciones anteriores no supere los 100 euros o 5 operaciones
  • Las transacciones entre 30 y 500 euros, con la condición de que la tasa de fraude del banco comprador o emisor que proceda al análisis de los riesgos esté por debajo de un umbral determinado.

 

Para este último punto, el valor de la transacción depende de la tasa de fraude notificada por el PSP. En función de los importes, estos son los diferentes umbrales de excepción de aplicación de la autenticación fuerte:

  • 100 euros.
    • 0,13 %: pago en línea con tarjeta
    • 0,015 %: transferencias a distancia
  • 250 euros
    • 0,06 %: pago en línea con tarjeta
    • 0,01 %: transferencias a distancia
  • 500 euros
    • 0,01 %: pago en línea con tarjeta
    • 0,005 %: transferencias a distancia

 

La tasa de fraude medio actual se sitúa en torno al 0.16 % para las operaciones francesas y en torno al 0.3 % para las operaciones transfronterizas.

 Conviene saber: La opción de conceder – o no – una exención corresponde al final al banco emisor de la tarjeta.

 

¿Y Lemonway en todo esto?

Si hay algún ámbito en el que Lemonway no transige, es en la seguridad de los pagos. Por eso, hemos aceptado estas nuevas normas reglamentarias como una novedad positiva que apoya el aumento del nivel de seguridad y de la confianza de los clientes finales.Desde nuestro posicionamiento en la cadena de pago, no intervenimos directamente en la opción y la definición de los criterios de autenticación. No obstante, ¡nuestros expertos se ponen a su disposición para toda solicitud de información