Autenticación reforzada de clientes
La autenticación reforzada de clientes[1] o ARC (también usada la sigla SCA, del inglés strong customer authentication) es un requisito de la Segunda Directiva de Servicios de Pago (DSP2)[2][3] sobre proveedores de servicios de pago dentro del Espacio Económico Europeo. El requisito garantiza que los pagos electrónicos se realicen con autenticación multifactor, para aumentar la seguridad de los pagos electrónicos.[4] Las transacciones con tarjeta física ya suelen tener lo que podría denominarse autenticación reforzada de clientes en la UE (chip y pin), pero esto no ha sido generalmente cierto para las transacciones por Internet en toda la UE antes de la implementación del requisito, y muchas tarjetas sin contacto no usan un segundo factor de autenticación para los pagos.
El requisito de SCA entró en vigencia el 14 de septiembre de 2019.[5] Sin embargo, con la aprobación de la Autoridad Bancaria Europea,[6] varios países del EEE han anunciado que su implementación se retrasará o escalonará temporalmente,[7][8] con un plazo final establecido para el 31 de diciembre de 2020.
Requisito
[editar]El artículo 97 (1) de la directiva exige que los proveedores de servicios de pago utilicen una autenticación reforzada de clientes cuando un pagador:
(a) accede a su cuenta de pago en línea; (b) inicia una transacción de pago electrónico; (c) lleva a cabo cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos.
El artículo 4 (30) define la autenticación reforzada de clientes en sí misma (como autenticación multifactor):
una autenticación basada en el uso de dos o más elementos categorizados como conocimiento (algo que solo el usuario sabe), posesión (algo que solo el usuario posee) e inherencia (algo que el usuario es) que son independientes, en el sentido de que la violación de uno no compromete la fiabilidad de los demás, y está diseñada de tal manera que protege la confidencialidad de los datos de autenticación
Implementación
[editar]La Autoridad Bancaria Europea publicó una opinión sobre qué enfoques podrían constituir diferentes "elementos" de la SCA.[6]
3-D Secure 2.0 puede (pero no siempre)[6] cumplir con los requisitos de SCA. 3-D Secure tiene implementaciones de Mastercard (Mastercard Identity Check)[9] y Visa[10] que se comercializan como habilitadores de cumplimiento de la SCA.
Los comerciantes de comercio electrónico deben actualizar los flujos de pago en sus sitios web y aplicaciones para admitir la autenticación.[11] Si no se admite la autenticación, muchos pagos se rechazarán una vez que SCA se implemente por completo.
Historia
[editar]El 31 de enero de 2013, el Banco Central Europeo (BCE) emitió recomendaciones sobre la seguridad de los pagos por Internet, que requieren una autenticación reforzada de clientes.[12] Los requisitos del BCE son tecnológicamente neutrales, para fomentar la innovación y la competencia. El proceso de presentación pública[13] al BCE identificó tres soluciones para una autenticación sólida del cliente, dos de las cuales se basan en la autenticación de confianza, y la otra es la nueva variante de 3-D Secure que incorpora contraseñas de un solo uso .
Posteriormente, la Comisión Europea redactó propuestas para una Directiva de servicios de pago actualizada que incluye este requisito, que se convirtió en PSD2. La autenticación reforzada de clientes de PSD2 ha sido un requisito legal para pagos electrónicos y tarjetas de crédito desde el 14 de septiembre de 2019.[14]
Crítica
[editar]En 2016, Visa criticó la propuesta de hacer obligatoria la autenticación reforzada de clientes, debido a que podría dificultar los pagos en línea y, por lo tanto, afectar las ventas de los comercios en línea.[15]
Fuera de Europa
[editar]El Banco de la Reserva de la India ha ordenado un "factor adicional de autenticación" para las transacciones con tarjeta no presente.[16]
La Comisión Australiana de la Competencia y el Consumidor (ACCC) bloqueó una propuesta de hacer obligatorio 3-D Secure en Australia después de las objeciones.[17]
Véase también
[editar]Referencias
[editar]- ↑ «Normas revisadas sobre servicios de pago en la Unión Europea». EUR-Lex. Consultado el 5 de mayo de 2020.
- ↑ Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE (Texto pertinente a efectos del EEE), OJ L (32015L2366), 23 de diciembre de 2015, consultado el 4 de junio de 2020.
- ↑ «PayPal y la DSP2 - Autenticación de dos factores». Paypal. Consultado el 5 de mayo de 2020.
- ↑ «Payment Services Directive (PSD2): Regulatory Technical Standards (RTS) enabling consumers to benefit from safer and more innovative electronic payments». European Commission. 27 de noviembre de 2017. Consultado el 17 de abril de 2019.
- ↑ «EBA provides clarity to market participants for the implementation of the technical standards on strong customer authentication and common and secure communication under the PSD2». European Banking Authority. 13 de junio de 2018. Archivado desde el original el 17 de abril de 2019. Consultado el 17 de abril de 2019.
- ↑ a b c «EBA publishes an Opinion on the elements of strong customer authentication under PSD2». European Banking Authority. 21 de junio de 2019. Archivado desde el original el 21 de septiembre de 2019. Consultado el 7 de septiembre de 2019.
- ↑ «FCA agrees plan for a phased implementation of Strong Customer Authentication». Financial Conduct Authority. 13 de agosto de 2019. Consultado el 7 de septiembre de 2019.
- ↑ «Strong Customer Authentication (SCA) Enforcement Date». Stripe. 6 de septiembre de 2019. Archivado desde el original el 21 de septiembre de 2019. Consultado el 7 de septiembre de 2019.
- ↑ «Strong Customer Authentication and PSD2: How to adapt to new regulation in Europe». Mastercard. 17 de agosto de 2018. Archivado desde el original el 17 de abril de 2019. Consultado el 17 de abril de 2019.
- ↑ «Preparing for PSD2 SCA». Visa. November 2018. Consultado el 17 de abril de 2019.
- ↑ «Designing payment flows for SCA». Stripe. 15 de julio de 2019. Consultado el 7 de septiembre de 2019.
- ↑ «ECB: ECB releases final Recommendations for the security of internet payments and starts public consultation on payment account access services». Ecb.eu. Consultado el 17 de julio de 2014.
- ↑ «ECB: Public consultation». Ecb.europa.eu. 31 de enero de 2013. Consultado el 17 de julio de 2014.
- ↑ «Copia archivada». Archivado desde el original el 1 de julio de 2021. Consultado el 4 de junio de 2020.
- ↑ Leyden, Josh (27 de noviembre de 2016). «Visa cries foul over Euro regulator's stronger authentication demands». p. The Register. Consultado el 17 de abril de 2019.
- ↑ «Security and Risk Mitigation Measures for Electronic Payment Transactions». Reserve Bank of India. Archivado desde el original el 4 de marzo de 2013.
- ↑ «ACCC Releases Draft Determination Against Mandated Use Of 3D [sic] Secure For Online Payments». 23 de mayo de 2016. Consultado el 7 de septiembre de 2019.