¿ Qué es la Autenticación Reforzada de Clientes o SCA?
La segunda directiva de la Unión Europea sobre servicios de pago (PSD2), que entró en vigor el pasado septiembre de 2019, tiene como objetivo garantizar en mayor medida el nivel de seguridad y la rapidez a la hora de realizar los pagos online.
Debido al poco margen de aplicación, la Autoridad Bancaria Europea (EBA) ha aprobado una moratoria de 12 meses para que las empresas implementen las tecnologías necesarias para adecuarse a la directiva.
La Autenticación Reforzada de Clientes (SCA, por sus siglas en inglés) es por tanto, obligatoria tanto en tiendas presenciales como en comercios online y está incluida en la normativa sobre los servicios de pago para toda Europa.
La autenticación reforzada incluye "muchas de las operaciones bancarias que realizamos diariamente, como las de ingreso en nuestra cuenta en internet, las de pago electrónico, el pago con tarjeta en un establecimiento, así como las reservas que se realicen a partir de un canal remoto y puedan entrañar un peligro de fraude en el pago". De hecho las reservas en los hoteles y restaurantes constituyen uno de los sectores que más se verán afectados por la medida en el ámbito de la protección de datos, como explicaremos en otra entrada de este blog.
Numerosas redes sociales y servicios online ya usan medidas de protección parecidas y envían un código de un solo uso al teléfono del cliente, después de que éste introduzca la contraseña habitual.
La autentificación reforzada requiere: un determinado conocimiento que solo tiene el consumidor, la posesión de un canal de comunicación que solo posee el consumidor y un rasgo inherente al consumidor.
Esa medida reforzada de protección (el conocimiento) es algo que solamente conoce el comprador, como puede ser una clave, un código o la contestación a una pregunta concreta.
Por su lado, la posesión se refiere a poseer un objeto que tiene el comprador (lo más común podría ser el teléfono móvil), mientras que la inherencia tiene relación con algo de nuestra persona, como una huella dactilar o cualquier otro dato de carácter biométrico.
En la práctica, la autentificación reforzada supone que cuando vayamos a un establecimiento y hagamos un pago superior a treinta euros, además de introducir la contraseña habitual, se nos pedirá un paso más, que podría ser insertar un código recibido en el teléfono. Si el pago no se hace con tarjeta, sino con el móvil, la medida podría ser solicitar la huella dactilar (lo podría hacer el propio teléfono, ya que combinaría la posesión del teléfono con la inherencia).
Igualmente se puede solicitar la doble autenticación en pagos inferiores a 30 euros si ya se han realizado al menos cinco veces o si ya se han superado los 100 euros en fake watches compras tras la última vez que se solicitó este paso adicional.
Sin embargo, habrá excepciones: las suscripciones periódicas (servicios como Netflix, HBO o Spotify, por ejemplo), ciertos pagos sin contacto en establecimientos (donde el límite va a ser de 50 euros) y las operaciones en las que el pago se haya iniciado por teléfono o email.
Luis del Riego Alonso
Abogado
Queipo y Riego Abogados
Derecho de nuevas tecnologías.
