Llega la autenticación reforzada a las compras ‘online’
La nueva normativa no se está aplicando de forma uniforme en toda la UE, lo que genera un efecto negativo para los bancos y clientes españoles
Hace tiempo que dejamos de ver la digitalización como algo nuevo. Se ha convertido en un proceso normalizado al que cada uno de nosotros se va adaptando, a su ritmo. Los dispositivos que inicialmente servían para algo concreto han ido incorporando sucesivas tecnologías para ser multifuncionales o inteligentes. Esto hace que los usemos cada vez más tiempo para hacer cada vez más cosas, sobre todo en nuestra vida cotidiana. El uso más o menos intensivo de nuestro smartphone nos puede servir como referencia para medir nuestro nivel de digitalización, o para identificar qué ámbito de nuestra vida es más permeable a ella.
El sector de los pagos ha sido y sigue siendo muy sensible a este fenómeno. Los bancos ofrecen sus servicios a distancia a través del canal de banca online o de sus aplicaciones, y los clientes consultamos nuestras posiciones bancarias, ordenamos transferencias o pagamos las compras sin salir de casa. A esto hay que añadir la situación de confinamiento decretado durante la pandemia de coronavirus, que ha contribuido a que la evolución del comercio electrónico mantenga su tendencia ascendente.
Hace ya unos años que la Comisión Europea detectó la rapidez con la que las nuevas tecnologías aplicadas a los pagos se estaban introduciendo en la sociedad. Por eso, y con el fin de que la digitalización de este sector no perjudicara su buen funcionamiento ni la confianza de los clientes, la Comisión consideró necesario regular esta realidad poniendo el foco en el riesgo de fraude de identificación del usuario, principal preocupación del legislador y de los propios usuarios.
Así, la segunda directiva europea de servicios de pago y la correspondiente norma española de trasposición regularon la “autenticación reforzada de clientes”, traducción al castellano de Strong Customer Authentication, o SCA. Se trata de unos estándares de seguridad que deben observar todos los agentes de la cadena de pagos. Cada banco define cuáles son las medidas concretas que componen su proceso de SCA para cada casuística de compra afectada. Debe escoger al menos dos elementos de autenticación distintos, de entre los tres factores disponibles: conocimiento (por ejemplo, una contraseña que sólo debe conocer el cliente), posesión (por ejemplo, el teléfono móvil que el cliente haya facilitado al banco para recibir el mensaje de seguridad) e inherencia o biometría (por ejemplo, la huella dactilar que identifica al cliente).
Desde el 1 de enero de 2021 es obligatorio aplicar la autenticación reforzada de clientes en todas las compras online. Esto ha requerido un esfuerzo de adaptación técnica por parte de bancos, comercios, adquirentes, procesadores y resto de intervinientes de la cadena, para alcanzar los nuevos estándares de seguridad. La aplicación de SCA implica que los comercios deben utilizar el estándar de seguridad comercio electrónico seguro en sus ventas online, generalmente de la mano de sus adquirentes o proveedores de TPVs. Algunos comercios están adaptándose a este estándar, lo que está provocando la denegación de algunas compras. Entra dentro de lo normal que se produzcan este tipo de incidencias en los primeros días de su aplicación, forma parte del proceso de adaptación y es esperable que se solvente en breve. A su vez, los bancos no deben autorizar ninguna compra online que provenga de un comercio sin el estándar de seguridad comercio electrónico seguro, de lo contrario incurrirían en riesgo de sanción por incumplimiento de la norma. Adicionalmente, el banco deberá aplicar la autenticación reforzada de su cliente antes de autorizar el pago.
La norma prevé excepciones a la obligación de aplicar SCA en determinadas compras online. Estas se aplicarán en caso de que el banco o el adquirente, según corresponda, las tenga habilitadas. Las compras clasificadas como de bajo importe, las realizadas en comercios identificados por el cliente como de su confianza (white list), las que se amparen en el nivel de fraude del adquirente (TRA), son algunos ejemplos.
En definitiva, la autenticación reforzada en las compras online pretende reforzar la seguridad y la confianza de la sociedad en el comercio electrónico. Para ello resulta imprescindible que los bancos, los adquirentes y los comercios hayan adaptado los estándares técnicos de seguridad, y los apliquen en cada compra online para un mejor control del nivel de fraude en canales digitales.
Sin embargo, esto sólo no es suficiente para alcanzar la finalidad perseguida por la norma. Se requiere también una aplicación uniforme en la UE y la colaboración del último eslabón de la cadena de pagos: los usuarios finales.
La nueva normativa de pagos no se está aplicando en todos los países de la UE por igual. Algunos países continúan bajo un período de flexibilidad supervisora por parte de su autoridad nacional para que sus bancos y comercios dispongan más tiempo de adaptación a los estándares de seguridad, que excede el concedido por la EBA. Esto está generando un efecto negativo para los clientes y para los bancos españoles: la denegación de las compras en los comercios de estos países que aún no utilizan comercio electrónico seguro, por no ser obligatorio. Esta situación se prolongará durante 2021, y se irá solucionando conforme finalicen los distintos períodos de flexibilidad supervisora de cada país. Sin embargo, se demuestra que la falta de homogeneidad europea en la aplicación de la normativa de pagos provoca desigualdades y perjuicios para los consumidores, efectos contrarios a los pretendidos por la norma.
Es responsabilidad de todos compatibilizar la seguridad y el derecho fundamental a la protección de datos con la innovación, la ética y la competitividad empresarial. Para ello, junto con el deber de los bancos de implementar las medidas necesarias, surge la correlativa obligación de los usuarios de ser receptivos a la información que el banco envía a sus clientes para conocer estos cambios y estar preparados. Debemos ser nosotros, como usuarios digitales, los que lideremos y controlemos nuestros datos y credenciales en la operativa digital para un uso responsable de todas las ventajas que la tecnología pone a nuestro alcance.
Carmen Fradejas Ufano es directora de Asesoría Jurídica de Innovación y Medios de Pago de Banco Santander