Seguro que el lector desde hace algún tiempo ha notado que para realizar una compra online o una transferencia bancaria ya no basta con identificarse mediante usuario y contraseña, sino que el sistema nos exige un numero de pin, pulsar en nuestro dispositivo móvil una determinada opción o cualquier otra prueba de que somos nosotros en ese momento quienes autorizamos la operación.
Los servicios de pago están regulados mediante el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpone la Directiva PSD2. Este decreto ha aumentado el numero de factores de autenticación que un usuario debe introducir para aceptar la realización de un pago online ya que, como demuestra la historia reciente, la forma tradicional de acceder a los servicios online a través de credenciales basadas en usuario y contraseña es insegura y ha generado el robo de millones de identidades en el mundo para realizar operaciones monetarias fraudulentas.
Esta directiva introduce el requisito de implementar la autenticación reforzada de clientes, mediante la cual a las credenciales actuales se le añade un segundo factor de autenticación que puede ser un certificado digital, un numero único generado en el momento o un mensaje enviado a nuestro teléfono móvil. Sin embargo, dejan de ser operativas las tarjetas de coordenadas según dictamen de la Autoridad Bancaria Europea.
Nuestros clientes llevan tiempo consultándonos si deben implementar algún mecanismo en sus tiendas online para cumplir con dicha directiva, pero las entidades afectadas son las financieras, las cuales han tenido que actualizar los elementos de autenticación que facilitan a sus clientes en sus plataformas de pago online, sustituyendo tarjetas de coordenadas o ‘tokens’ con mensajes al móvil o tokens más avanzados, por ejemplo. Además, han tenido que desarrollar sistemas y procesos que permitan al banco hacer uso de las exenciones que permite la normativa a la autenticación reforzada en aquellas transacciones en que el nivel de riesgo se considera bajo.
Si bien la Directiva ha entrado en vigor progresivamente desde enero de 2018, las entidades financieras han contado con un período transitorio adicional cuya duración máxima ha sido establecida por la Autoridad Bancaria Europea en el 31 de diciembre de 2020, por lo que a día de hoy esta Directiva está plenamente operativa en nuestro país. Esperemos que con estas medidas de seguridad reforzadas los usuarios “de a pie” dejemos de ser víctimas de fraudes monetarios.
Autor: A. Amo.