El SMS para la autenticación reforzada de clientes en la nueva PSD2

12 / 09 / 2019

Tiempo de lectura: 3 min

El 14 de septiembre de 2019 entra en vigor la nueva normativa europea PSD2 (Payment Service Directive 2) que regula los servicios de pago. Su objetivo principal es mejorar la seguridad y reforzar la protección contra fraudes en las operaciones bancarias en Internet.

Una de las obligaciones que establece esta normativa es la utilización de medidas de autenticación reforzada de clientes (SCA: Strong Customer Authentication), antes también conocida como autenticación de doble factor (2FA: 2 Factor Authentication). Esto implica que para realizar una operación será imprescindible emplear al menos dos de los siguientes:

Algo que conoce el usuario: una contraseña.
Algo que posee el usuario: su teléfono (un SMS enviado al teléfono).
Algo inherente al usuario: reconocimiento facial o de huella dactilar.

Al ser estas medidas independientes entre sí, se disminuye el riesgo de fraude aunque se pueda comprometer una de ellas.

Así pues, los bancos están adaptando sus sistemas para establecer medidas de autenticación reforzada que, al mismo tiempo, sean fáciles de utilizar y universales. Entre las distintas opciones disponibles, la utilización de un código PIN y un SMS es de las más efectivas. Al llevar el usuario siempre su teléfono móvil encima, le permite hacer operaciones en cualquier lugar y en cualquier momento sin necesidad de tarjetas de coordenadas ni dispositivos especiales (como lectores de huellas) y con toda la seguridad que establece la nueva PSD2.

¿Es seguro el SMS para implementar la autenticación reforzada (SCA) de PSD2?

La Autoridad Bancaria Europea (EBA), autoridad independiente de la UE que trabaja para garantizar un nivel efectivo y coherente de regulación y supervisión prudencial en todo el sector bancario europeo establece la cualificación de la contraseña enviada por SMS como factor de autenticación. Más información aquí y aquí.

No es solo que la EBA lo certifique, multitud de bancos como Banco Santander, BBVA, Openbank, ING o Bankinter lo utilizan para autorizar transacciones. Algunas incluso lo están empezando a utilizar también para acceder a la banca virtual. Algunos ejemplos:

Banco Santander y Openbank obligará a utilizar su clave de acceso junto con un código recibido por SMS para acceder a la banca Online.
BBVA también hará que el móvil sea imprescindible para acceder a los canales digitales.
Laboral Kutxa va a sustituir su actual tarjeta de firmas para operar en banca online por claves que se recibirán por SMS.

Esta normativa, ¿afecta solo a los bancos?

Sí y no. La normativa PSD2 obliga al sector financiero, pero indirectamente afecta también a todas las empresas o autónomos que cobren por sus servicios ya que deberán identificar al cliente de dos formas distintas.

¿Qué puede hacer un negocio? En primer lugar, comprobar que el proveedor de servicio de pago esté adaptado a la nueva normativa para no tener problemas. Por ejemplo, los TPV online de los bancos, PayPal o Apple Pay están adaptados, pero hay que asegurarse.

Pero no sólo eso, también va a afectar a todos los negocios online:

Menor tasa de conversión: al incluir más pasos en el proceso de compra, habrá más clientes que abandonen su carrito. Para evitarlo, o al menos mitigarlo, hay que mejorar la experiencia del usuario en el proceso. Por ejemplo, se puede establecer una estrategia de recuperación de carritos enviando un SMS al cliente.
Reembolsos: si no existen medidas de autenticación reforzada, el pagador podrá pedir el reembolso completo en caso de pagos no autorizados.

¿Deben todas las empresas implementar la autenticación reforzada (SCA)?

No. La normativa PSD2 afecta al sector bancario, aunque subsidiariamente afecta a todas las empresas porque en mayor o menor medida, utiliza ese sector para su día a día.

No obstante, sí que es interesante estar atentos a las medidas que se implantan en este sector y ver si puede ser interesante para tu negocio. Por ejemplo:

¿Ofreces un servicio en el que los clientes almacenan datos personales?
¿Ofreces servicios de mucho valor?
Los servicios que ofreces, ¿utilizan a su vez otros servicios que también tienen coste?
¿Has sufrido algún ataque en el pasado y han podido acceder usuarios no autorizados?
¿Quieres ofrecer a tus clientes una imagen seria y que se preocupa por ellos y por su información?

Si te encuentras en alguno de los casos anteriores deberías plantearte implementar la autenticación reforzada para el acceso de tus clientes a tus servicios.

Más información: