A partir del próximo 1 de enero de 2021, la Autenticación Reforzada de Clientes (“Strong Customer Authentication” o “SCA”) será una realidad en todos los establecimientos donde realicemos compras, ya sea de manera presencial o en tiendas online.
Incluida en la normativa sobre los servicios de pago (PSD2) para toda Europa, la autenticación reforzada mejora la seguridad en el pago de nuestras compras diarias, supone un cambio en la manera de operar de los usuarios bancarios y protege aún más nuestras operaciones, desde las transferencias a las compras en comercios online o pagos en establecimientos.
Las principales características de la autenticación reforzada:
Desde la entrada en vigor de la normativa, tanto las entidades bancarias, como otros proveedores de pago (como pueden ser establecimientos o tiendas online), deben aplicar la autenticación reforzada en las operaciones de sus clientes.
Esto incluye muchas de las operaciones bancarias que realizamos diariamente, como las de acceso a nuestra cuenta en internet, las de pago electrónico, el pago con tarjeta en un establecimiento, así como las acciones que se realicen desde un canal remoto y puedan entrañar un riesgo de fraude en el pago.
Esta autenticación está basada en la utilización de dos o más elementos de identificación que sean exclusivos del usuario de servicios bancarios. En concreto, son tres elementos, independientes entre sí y están concebidos de manera que se proteja la confidencialidad de los datos de identificación.
- Conocimiento. Algo que solo conoce el cliente, como una clave.
- Posesión. Algo que solo posee el cliente, como un teléfono móvil.
- Inherencia. Algo que es propio del cliente, como su huella dactilar.
Asimismo, al menos uno de estos elementos debe cumplir las siguientes cualidades: preservar la confidencialidad del resto de elementos de autenticación, no ser replicable, ni reutilizable, así como que no se pueda robar por internet.
En la práctica, esto significa que cuando queramos realizar una compra en un establecimiento, hacer compras online o realizar una transferencia a otro banco, deberán solicitarnos al menos dos de estos tres elementos:
- Acceso y uso de cuentas de pago. Es uno de los cambios más destacados de esta nueva normativa. Para realizar transferencias bancarias, pagos con la cuenta bancaria, incluso antes de entrar a comprobar nuestros datos, es posible que le pidan una clave, además de la clave que se utiliza para entrar en la cuenta.
- Compras online. Además de introducir los datos de nuestra tarjeta de crédito (posesión), cuando compremos por internet, es posible que nos envíen un mensaje con un código al teléfono móvil (conocimiento) para que introduzcamos al hacer el pago.
- Compras en los establecimientos. Cuando realicemos compras, nos solicitarán la tarjeta de crédito (posesión) o bien nuestra huella dactilar (inherencia) si el pago lo realizamos a través del teléfono móvil, así como el código pin de la misma con la que operamos (conocimiento).
Asimismo, se establece en cinco, el número máximo de intentos para aplicar la autenticación reforzada, y en cinco minutos, el tiempo máximo de espera para aplicarlo cuando debemos introducir un código de validación que se envía al móvil.
Es conveniente recordar que, para permitir la adaptación a esta nueva normativa, en especial, de los comercios y las empresas online, el Banco de España otorgó una moratoria para su cumplimiento que permitía un amplio periodo de adaptación de las pasarelas de pago de los comercios.
Esta moratoria finaliza el próximo 31 de diciembre, por lo que a partir del 1 de enero de 2021, los comercios deberán estar preparados y sus mecanismos y soluciones de pago adaptados para poder cumplir con los nuevos requisitos de la PSD2/SCA.
Excepciones a la autenticación reforzada
Existen operaciones de pago que están excluidas de tener que realizar la autenticación reforzada, entre ellas, aquellas en las que el nivel de riesgo que entraña el servicio no es elevado, el importe de la operación no es alto o es un pago que se repite con frecuencia. Las entidades financieras no están obligadas, por tanto, a aplicarle la autenticación reforzada, entre otras, en:
- Información de cuenta de pago. Incluye tanto las visitas a tu cuenta de pago para consultar el saldo o realizar operaciones de pago con ella. En este caso, se deberá aplicar la autenticación reforzada la primera vez que se accede a la cuenta y después cada 90 días.
- Importes de pequeña cuantía. Pagos iguales o inferiores a 30 €, si desde la última operación autenticada el importe ha sido inferior a 100 euros o menos de 5 operaciones.
- Pagos sin contacto (contactless) en el punto de venta. Cuando se realice una compra en un establecimiento, podrá no aplicarse la autenticación reforzada en pagos inferiores a 50 € cuando además, el importe acumulado de las operaciones previas no exceda los 150 € o que el número de operaciones consecutivas con esa tarjeta no exceda de cinco.
- Operaciones frecuentes. En el caso de suscripciones o pagos repetitivos, la autenticación reforzada será necesaria solamente en el primer pago. De esta forma, si se realiza una suscripción a algún servicio, el primer pago se deberá confirmar.
- Para las operaciones cuyo pago se haya iniciado por teléfono o correo electrónico.
- Operaciones en las que la entidad emisora o receptora esté fuera del Espacio Económico Europeo.
Otras cuestiones de interés
Asimismo, las entidades financieras, están obligadas a cumplir una serie de requisitos para proteger las cuentas bancarias de sus clientes, entre otras, tienen la obligación de:
- Garantizar que solo pueda acceder a los elementos de seguridad el titular. Las entidades financieras son responsables de los riesgos derivados del envío de las tarjetas, números PIN o claves de acceso para poder realizar pagos a través de internet.
- Disponer de medios gratuitos para que los usuarios puedan denunciar la pérdida, robo o uso indebido del instrumento de pago, en la mayoría de los casos, estos servicios están disponibles las 24 horas al día. Además, tienen obligación de mantener un registro de la denuncia durante al menos 18 meses.
- Está prohibido que bancos y cajas envíen instrumentos de pago (tarjetas de crédito, débito) no solicitados por el cliente, salvo que se trate de una sustitución de la tarjeta que ya tiene el usuario.
- En caso de robo o pérdida del instrumento de pago, el usuario solo responde por los pagos fraudulentos que se realicen antes de
- denunciar la pérdida o robo hasta la cantidad de 50 euros.
Reclamaciones
Si tiene algún problema con estos servicios de pago o la autenticación reforzada, en primer lugar, puede reclamar al Servicio de atención al cliente u órgano equivalente de la entidad bancaria o del proveedor de servicios de pago con el que tiene el problema. En caso de no recibir respuesta satisfactoria, o si no ha obtenido ninguna en el plazo de un mes, entonces puede dirigirse al Servicio de Reclamaciones del Banco de España. �