Desde el 14 de septiembre, los pagos on-line serán más seguros en España. De acuerdo con la PSD2, las siglas en inglés por las que se conoce la segunda Directiva de servicios de pago comunitaria y aplicable desde 2018 para promover la transparencia, la innovación y una mayor seguridad en los servicios de pago, a partir de esa fecha entran en vigor requerimientos adicionales de seguridad en las transacciones de pago electrónicas y en los accesos a las cuentas a través de Internet.

El 14 de septiembre entrará en vigor la normativa técnica aplicable en materia de seguridad, el Reglamento Delegado (UE) 2018/389 de la Comisión, que establece las obligaciones de la autenticación reforzada. A partir de esta fecha las operaciones de pago electrónico deberán hacerse con autenticación reforzada, salvo que pueda aplicarse alguna exención.

Su aplicación implica «algunos cambios en la experiencia de pagos en los clientes, no solo en la banca electrónica y aplicaciones bancarias para dispositivos móviles, sino también en los pagos con tarjeta, tanto para el comercio electrónico como para el físico», señala un análisis de la Asociación Española de Banca (AEB).

La autenticación reforzada de clientes es un procedimiento de verificación de la identidad del cliente en el entorno electrónico. De acuerdo con la nueva normativa, esta identificación deberá incluir dos o más factores de autenticación de las siguientes categorías:

1.-Posesión (algo que solo posee el usuario)

2.-Inherencia (algo que es el usuario)ç

y 3.-Conocimiento (algo que solo conoce el usuario)

En la práctica los pagos electrónicos cuentan ya con niveles de seguridad elevados. Sin embargo, la aplicación de la nueva normativa requiere que en ocasiones se deberán introducir elementos adicionales de autenticación en pagos para los que hasta ahora no se requerían.

Además de los habituales códigos (algo que el usuario conoce) puedan enviar un código a un dispositivo (algo que el usuario posee), o pueden introducir factores biométricos (algo que el usuario es).

«Cada banco, de manera individual, comunicará a sus clientes cómo la autenticación reforzada afectará a la operativa bancaria. En este sentido, los bancos trabajan para que la incorporación de la autenticación reforzada se haga adoptando un equilibrio adecuado entre la seguridad y las necesidades de facilidad de uso y accesibilidad de los pagos electrónicos», explican en la AEB.

Estrategia de cada banco

Los clientes de Banco Santander y de Openbank necesitarán su clave de acceso más un código recibido por SMS para acceder a la banca online. El BBVA ha optado por la misma opción y ya ha notificado a sus clientes que  el “móvil será imprescindible para acceder” a los canales digitales. Colonya y las cajas rurales combinarán los datos de acceso habituales (usuario, NIF y contraseña o bien huella y reconocimiento facial) con un código recibido por SMS.

Algunas entidades están aprovechando la entrada en vigor de la normativa PSD2 para eliminar la tarjeta de coordenadas. Laboral Kutxa ha avisado que “la actual tarjeta de firmas para operar en banca online será sustituida por claves que recibirás por SMS”.

ING suprime la tarjeta de coordenadas, pero en vez de un SMS, enviará notificaciones a través de su app, por lo que  sus clientes estarán obligados a tenerla instalada en su móvil si quieren operar con normalidad a través de la web. ING avisa que será necesario cumplir estos tres requisitos: descargar la app o actualizarla a la versión 2.5 o superior, activar las notificaciones y dar de alta la validación móvil, que sustituirá a la tarjeta de coordenadas.

A la hora de acceder a una cuenta de ING a través del ordenador (se podrá seguir operando por la web, aunque la app sea obligatoria), el cliente recibirá una notificación en su móvil para verificar su identidad. La app también será necesaria para validar operaciones realizadas desde el ordenador. En esos casos, el cliente recibirá una notificación en su smartphone que deberá aceptar y luego introducir una contraseña.

Targobank también quiere sustituir los mensajes de texto: “El servicio de Confirmación Móvil reemplaza el envío del SMS por una validación realizada directamente desde su smartphone y totalmente integrada en la aplicación de Targobank”.

Según el Reglamento Delegado 2018/389, que regula la autenticación reforzada, solo será necesario introducir el segundo factor de seguridad la primera vez que se acceda a una cuenta online y cuando hayan transcurrido más de 90 días desde la última vez que se solicitara la autenticación reforzada. Las cajas rurales, Colonya, Openbank e ING han avisado de que solo se solicitará el segundo factor (SMS o notificación) la primera vez que se acceda a la banca electrónica a partir del 14 de septiembre y luego cada 90 días.

Aplicación con flexibilidad

El Banco de España insiste en que a partir del 14 de septiembre de 2019 es de aplicación el Reglamento Delegado (UE) 2018/389, uno de cuyos objetivos es mejorar la seguridad de los pagos y reducir el fraude en el proceso de autenticación. El Reglamento Delegado establece, entre otros, los requisitos para la aplicación de la autenticación reforzada del cliente (Strong Customer Authentication, SCA). Por consiguiente, tal y como ha señalado la Autoridad Bancaria Europea, en su Opinión de 21 de junio, a partir de la fecha de aplicación del Reglamento Delegado, todos los proveedores de servicios de pago (PSP) tienen que cumplir con los requisitos establecidos en el mismo.

Pero en su Opinión de 21 de junio, la Autoridad Bancaria Europea reconoce la complejidad de los mercados de pagos en la Unión Europea y la necesidad de acometer cambios que permitan a los emisores aplicar SCA, en particular, aquellos que afectan a actores involucrados que no tienen la condición de PSP, como los comercios electrónicos.

Para evitar posibles efectos negativos para algunos usuarios de servicios de pagos tras el 14 de septiembre, en su Opinión la Autoridad Bancaria Europea acepta que, de manera excepcional, las autoridades nacionales competentes puedan trabajar con los PSP y otras partes interesadas, incluyendo consumidores y comercios, para conceder un tiempo adicional limitado que permita a los emisores de instrumentos de pago y a los adquirentes de operaciones migrar hacia soluciones que cumplan con los requisitos de SCA. Esta flexibilidad supervisora se condiciona a que los PSP acuerden con sus respectivas autoridades nacionales competentes los correspondientes planes de migración y los ejecuten de forma urgente.

«El Banco de España, en el marco de esa flexibilidad, está trabajando con las autoridades europeas al objeto de asegurar el debido cumplimiento de la Directiva (UE) 2015/2366 de servicios de pago (PSD2) y del Reglamento Delegado (UE) 2018/389, y revisará los planes de migración que presenten los PSP, de acuerdo con lo señalado en la Opinión de la Autoridad Bancaria Europea», señala una nota del supervisor.

Consejos básicos de seguridad en Internet

Los requerimientos adicionales reforzarán la seguridad en las operaciones electrónicas, no obstante, la AEB cree que conviene recordar algunos consejos básicos para los usuarios de los servicios bancarios a la hora de operar de manera consciente y responsable:

1.-Comprobar que las claves se introducen en la banca electrónica o aplicación móvil del banco y no en portales o aplicaciones fraudulentas

2.-El banco nunca pedirá información sobre los códigos y elementos de seguridad para operar en canales remotos ni por teléfono, ni por correo electrónico

3.-No compartir con nadie las contraseñas de acceso a la banca electrónica, banca móvil ni las de las tarjetas

4.-Ser precavidos y nunca instalar programas que se reciban por correo electrónico sino únicamente webs oficiales

5.-No introducir datos privados en redes “wifi” públicas.

y 6.-Ante cualquier duda contactar con el banco.

Adaptación de los medios de pago

El grupo de medios de pago y servicios transaccionales Worldline garantiza la disponibilidad de sus plataformas de adquirencia y comercio electrónico para el procesamiento de transacciones de acuerdo con los «nuevos y exigentes requisitos» de PSD2.

La nueva normativa implica que todos los pagos con tarjeta deben ser validados con dos características de seguridad (doble factor de autenticación,  SCA, por ssu siglas en inglés). Las normas se aplican a todos los comercios online dentro de la Unión Europea y en Suiza.

Worldline presume de ser el primer PSP y adquirente en Europa en implementar 3DS 2.0 en su plataforma de adquirencia y en su plataforma de aceptación de comercio electrónico, y de ser «el primer proveedor del continente en llevar a cabo transacciones reales para sus clientes, evitando así las soluciones de última hora o la amenaza de multas considerables contempladas en las normas de PSD2».

«Para Wordline, SCA es una gran oportunidad para mejorar aún más los niveles de seguridad dentro del comercio electrónico, enriquecer el proceso de pago para los comercios online con nuevas funciones y, por lo tanto, aumentar las tasas de conversión», señalan en la empresa.

«El nuevo estándar de seguridad para los pagos online simplificará los pagos con tarjeta en el comercio electrónico, tanto para las tiendas online como para los clientes, gracias a una amplia gama de datos, autenticación biométrica y una experiencia online mejorada y estandarizada. A medida que la industria ve el enorme aumento en el comercio móvil, estas mejoras se consideran un elemento clave para apoyar la evolución y la demanda de actitudes y comportamientos de compra online de los consumidores en todos los segmentos del mercado», añaden en Worldline.

3-D Secure 2.0 analiza los datos contextuales de los comercios y pide a los clientes que verifiquen su identidad al realizar una transacción online, proporcionando dos características de seguridad. Al mismo tiempo, las transacciones de bajo riesgo se identifican en el denominado «flujo sin fricción», que permite la autorización sin interacción adicional con el titular de la tarjeta. Esto suaviza aún más el proceso de pago para el comprador, mientras que los comercios se benefician de una reducción del abandono gracias a la autenticación basada en el riesgo, reduciendo también significativamente las tasas de fraude. Esto es posible gracias a los mecanismos de detección inteligentes y se traduce en una disminución del abandono durante el proceso ofreciendo a los clientes una mejor y más fluida experiencia de compra, destacan en Worldline.

Según el Barómetro de Pagos Digitales de Mastercard, más del 31% de los españoles realiza pagos con su teléfono móvil de forma habitual, un 20% más que hace dos años. El móvil ya es el dispositivo preferido para realizar las compras por Internet para más de un 24% de los usuarios. Además, Mastercard calcula que en 2020 el 38% de los pagos será digital.

Eduardo Esparza, VP General Manager de cxLoyalty, señala que “esta actualización de la primera PSD busca proteger, aún más, al consumidor». «Se prohíben los recargos sobre pagos realizados con tarjetas de crédito, tanto en tiendas físicas como online, y también se reduce la responsabilidad del consumidor en situaciones de uso fraudulento, siendo la cantidad máxima que tendrán que asumir 50€, frente a los 150€ actuales”, explica.

Esta normativa también cambiará la forma de acceder al banco, pues se deberá implementar el doble sistema de verificación SCA . Si antes solo era necesario contar con el documento de identidad y la clave de acceso, con la nueva normativa será obligatorio introducir un código de confirmación que se recibirá vía SMS para acceder al banco.

A partir de ahora se deberá analizar la puesta en marcha y el funcionamiento de esta nueva normativa en los diferentes países europeos, que podría sufrir algunos ajustes de aquí a finales de 2020 debido a los planes de migración acordados entre las autoridades bancarias y principales actores involucrados en cada país europeo, y la Autoridad Bancaria Europea.

Jordi Nebot, CEO y cofundador de PaynoPain, empresa tecnológica española especializada en el desarrollo de herramientas de pagos online que ha revolucionado los medios de pago con sus soluciones basadas en el uso de tecnologías de Big Data y Business Intelligence, indica: “a partir de la confirmación de la moratoria sobre la normativa PSD2, las empresas afectadas tienen un mayor margen para ponerse manos a la obra y cumplir con la medida». Pero todas «deberán actualizarse lo antes posible y disponer de la tecnología necesaria para implementar en sus procesos, garantizando por encima de todo la seguridad de los usuarios». «En este sentido, es esencial para las empresas apostar por una tecnología de pagos moderna que permita cumplir con la normativa”, subraya este experto.

Ventajas para el cliente y para el comercio

La aplicación de la Directiva supondrá una agilización de los pagos porque el cliente abona directamente a la tienda, como si fuera una transferencia directa, con lo que se elimina el paso intermedio de la plataforma de pagos, para lo que los bancos tienen que abrir sus servicios a terceras empresas.

La agilización del procedimiento para el comercio redundará en una mayor tasa de conversión (porcentaje de operaciones de compra por Internet que llega a su fin) y que ahora es más baja porque es frecuente que en los saltos entre la página del comercio y la plataforma de pagos el consumidor desista de la compra.

Los bancos estarán obligados a dar acceso a las cuentas de sus clientes, si estos lo autorizan, a terceros que podrán ofrecer servicios directos de gestión de las finanzas sin pasar por la entidad financiera.

La Directiva refuerza la seguridad para el cliente también en caso de uso no autorizado de sus tarjetas, porque rebaja de 150 a 50 euros la cantidad que debe asumir el consumidor si ha sido objeto de un fraude o robo.

La mayor oferta de servicios financieros que se producirá con la entrada en vigor de la PSD2 llevará a una rebaja de precios y comisiones bancarias y beneficiará sobre todo a los clientes. Pero también a los comercios, tanto físicos como electrónicos.