stringtranslate.com

Autenticación fuerte de clientes

La autenticación fuerte de clientes ( SCA ) es un requisito de la Directiva revisada de la UE sobre servicios de pago (PSD2) para los proveedores de servicios de pago dentro del Espacio Económico Europeo . El requisito garantiza que los pagos electrónicos se realicen con autenticación multifactor , para aumentar la seguridad de los pagos electrónicos. [1] Las transacciones con tarjetas físicas ya cuentan comúnmente con lo que podría denominarse autenticación fuerte de clientes en la UE ( chip y PIN ), pero esto no ha sido generalmente cierto para las transacciones por Internet en la UE antes de la implementación del requisito, [1] y muchos pagos con tarjetas sin contacto no utilizan un segundo factor de autenticación.

El requisito de la SCA entró en vigor el 14 de septiembre de 2019. [2] Sin embargo, con la aprobación de la Autoridad Bancaria Europea , [3] varios países del EEE han anunciado que su implementación se retrasará temporalmente o se realizará en fases, [4] [5] con una fecha límite final establecida para el 31 de diciembre de 2020. [6]

Requisito

El artículo 97(1) de la Directiva exige que los proveedores de servicios de pago utilicen una autenticación reforzada de clientes cuando un ordenante: [7]

(a) accede a su cuenta de pago en línea;
(b) inicia una transacción de pago electrónico;
(c) realiza cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos.

El artículo 4(30) define la "autenticación fuerte del cliente" en sí misma (como autenticación multifactor): [7]

una autenticación basada en el uso de dos o más elementos categorizados como conocimiento (algo que sólo el usuario sabe), posesión (algo que sólo el usuario posee) e inherencia (algo que el usuario es) que son independientes, en el sentido de que la violación de uno no compromete la fiabilidad de los otros, y está diseñada de tal manera que protege la confidencialidad de los datos de autenticación

Implementación

La Autoridad Bancaria Europea publicó una opinión sobre qué enfoques podrían constituir diferentes "elementos" de la SCA. [3]

3-D Secure 2.0 puede (pero no siempre [3] ) cumplir con los requisitos de la SCA. 3-D Secure tiene implementaciones de Mastercard (Mastercard Identity Check) [8] y Visa [9] que se comercializan como habilitadoras del cumplimiento de la SCA.

Los comerciantes de comercio electrónico deben actualizar los flujos de pago en sus sitios web y aplicaciones para admitir la autenticación. [10] Si no se admite la autenticación, muchos pagos se rechazarán una vez que se implemente por completo la SCA. [10]

Historia

El 31 de enero de 2013, el Banco Central Europeo (BCE) emitió recomendaciones sobre la seguridad de los pagos por Internet, exigiendo una autenticación fuerte de los clientes. [11] Los requisitos del BCE son tecnológicamente neutrales, con el fin de fomentar la innovación y la competencia. El proceso de presentación pública [12] al BCE identificó tres soluciones para la autenticación fuerte de los clientes, dos de las cuales se basan en la autenticación de confianza y la otra es la nueva variante de 3-D Secure que incorpora contraseñas de un solo uso .

Posteriormente, la Comisión Europea elaboró ​​propuestas para una Directiva de Servicios de Pago actualizada que incluyera este requisito, que pasó a ser la PSD2. La autenticación reforzada de clientes de la PSD2 ha sido un requisito legal para los pagos electrónicos y las tarjetas de crédito desde el 14 de septiembre de 2019. [13]

Crítica

En 2016, Visa criticó la propuesta de hacer obligatoria la autenticación fuerte de clientes, con el argumento de que podría dificultar los pagos en línea y, por lo tanto, perjudicar las ventas de los minoristas en línea. [14]

En 2019, el grupo de representación de consumidores Which? señaló que muchos bancos del Reino Unido estaban implementando la SCA al exigir un teléfono capaz de recibir mensajes de texto o notificaciones automáticas . Cuando se les encuestó, casi uno de cada cinco miembros de Which? estaban preocupados por no poder realizar pagos si no había otra alternativa, ya sea por mala recepción o por no tener un teléfono. [15]

En 2020, un informe independiente realizado por la consultora CMSPI concluyó que la posible disrupción causada por la autenticación fuerte de clientes (excluyendo el Reino Unido) podría ser de 108 000 millones de euros en 2021. [16]

Fuera de Europa

El Banco de la Reserva de la India ha impuesto un "factor adicional de autenticación" para las transacciones sin tarjeta presente. [17]

En 2016, la Comisión Australiana de Competencia y Consumo bloqueó una propuesta para hacer obligatorio el 3-D Secure en Australia tras objeciones. [18]

Véase también

Referencias

  1. ^ ab «Directiva de servicios de pago (PSD2): normas técnicas de regulación (RTS) que permiten a los consumidores beneficiarse de pagos electrónicos más seguros e innovadores». Comisión Europea . 2017-11-27 . Consultado el 2019-04-17 .
  2. ^ "La EBA aporta claridad a los participantes del mercado para la implementación de los estándares técnicos sobre autenticación reforzada de clientes y comunicación común y segura en el marco de la PSD2". Autoridad Bancaria Europea . 2018-06-13 . Consultado el 2019-04-17 .
  3. ^ abc «La EBA publica un dictamen sobre los elementos de la autenticación reforzada de clientes en el marco de la PSD2». Autoridad Bancaria Europea . 21 de junio de 2019. Archivado desde el original el 2019-12-30 . Consultado el 2019-09-07 .
  4. ^ "La FCA acuerda un plan para la implementación gradual de la autenticación reforzada de clientes". Autoridad de Conducta Financiera . 2019-08-13 . Consultado el 2019-09-07 .
  5. ^ "Fecha de entrada en vigor de la autenticación reforzada de clientes (SCA)". Stripe . 6 de septiembre de 2019 . Consultado el 7 de septiembre de 2019 .
  6. ^ "La EBA publica un dictamen sobre la fecha límite y el proceso para completar la migración a la autenticación reforzada de clientes (SCA) para las transacciones de pago con tarjeta en el comercio electrónico". Autoridad Bancaria Europea . 16 de octubre de 2019 . Consultado el 11 de julio de 2022 .
  7. ^ ab Directiva 2015/2366/UE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE
  8. ^ "Autenticación reforzada de clientes y PSD2: cómo adaptarse a la nueva regulación en Europa" (PDF) . Mastercard . 2018-08-17 . Consultado el 2019-04-17 .
  9. ^ "Preparación para la SCA de PSD2" (PDF) . Visa . Noviembre de 2018 . Consultado el 17 de abril de 2019 .
  10. ^ ab "Diseño de flujos de pago para SCA". Stripe . 15 de julio de 2019 . Consultado el 7 de septiembre de 2019 .
  11. ^ "BCE: El BCE publica las recomendaciones finales para la seguridad de los pagos por Internet e inicia una consulta pública sobre los servicios de acceso a cuentas de pago". Ecb.eu. 31 de enero de 2013. Consultado el 17 de julio de 2014 .
  12. ^ "BCE: Consulta pública". Ecb.europa.eu. 2013-01-31 . Consultado el 2014-07-17 .
  13. ^ https://newsroom.mastercard.com/eu/files/2018/02/Security-Matters-Authentication-under-PSD2-and-SCA-Mastercard-White-Paper.pdf [ URL simple PDF ]
  14. ^ Leyden, Josh (27 de noviembre de 2016). "Visa protesta por las exigencias de autenticación más estrictas del regulador europeo". The Register . Consultado el 17 de abril de 2019 .
  15. ^ "Los nuevos controles de seguridad en línea excluyen a las personas sin teléfonos móviles o una señal decente". ¿Cuál? . Consultado el 24 de junio de 2021 .
  16. ^ "Noticias La SCA para PSD2 podría costar a los comerciantes más de 100 mil millones de euros en 2021". The Paypers . Consultado el 24 de septiembre de 2020 .
  17. ^ "Medidas de seguridad y mitigación de riesgos para transacciones de pago electrónico". Banco de la Reserva de la India . Archivado desde el original el 4 de marzo de 2013.
  18. ^ La ACCC propone denegar a la APCA la autorización para la implementación de sistemas 3D Secure Comisión Australiana de Competencia y Consumo 20 de mayo de 2016