Directiva europea en medios de pago PSD2

El 14/09/2019 entraron en vigor los nuevos estándares técnicos regulatorios PSD2 (Payment Service Directive 2). La directiva ha sido definida por la Supervisión Bancaria Europea y obliga a todos los comerciantes en línea a adaptar medidas reforzadas para verificar inequivocamente la identidad del cliente al hacer compras en Internet.

¿Qué significa esto para los comerciantes online europeos? Todas las transacciones de pago con tarjeta de crédito deben ser "reforzadamente seguras" y comprobar si el comprador es realmente el titular de la tarjeta. Este procedimiento se denomina autenticación de dos factores (o verificación en dos pasos).

Esta obligación resulta de la autenticación reforzada del cliente (SCA, por sus siglas en inglés "Strong-Customer-Authentication") requerida en la PSD2. Tiene por objeto aumentar la seguridad de los pagos electrónicos y, de este modo, evitar actividades fraudulentas al realizar compras en línea. Conforme a la PSD2 los bancos utilizarán el procedimiento 3-D Secure para pagos con tarjeta de crédito para la autenticación de 2 factores a partir de septiembre de 2019.

¿Qué es 3-D Secure?

A partir del 14 de septiembre de 2019, el procedimiento 3-D Secure proporcionará una mejor protección contra el fraude en los pagos con tarjeta de crédito cuando se realicen compras en línea a través de amplias medidas de seguridad. 3-D Secure utiliza funciones de identificación para garantizar que el titular legítimo de la tarjeta confirme el pago.

Además del número de tarjeta y el código de seguridad, en el futuro se deberá indicar otra información, por ejemplo, una contraseña, una huella dactilar o un identificador facial (reconocimiento facial, face ID). Para ello, los consumidores serán redirigidos directamente a la compañía de la tarjeta de crédito para realizar el pago introduciendo una información adicional, similar a la autenticación de dos factores (verificación en dos pasos) que se usa frecuentemente para iniciar sesión en servicios online.

Con 3-D Secure realizar compras en Internet es más agradable y seguro. Es así de fácil pagar con tarjeta de crédito en Internet:

• El cliente introduce los datos de su tarjeta de crédito (número de tarjeta + código de seguridad) en el sitio web del comerciante.
• El comerciante reenvía al cliente al sitio web de la compañía de la tarjeta de crédito y el cliente introduce allí la información de seguridad adicional. Por ejemplo: contraseña, PIN, TAN o datos biométricos (huella digital, reconocimiento facial).
• El pago se realizará y el pedido se finalizará correctamente.

¿Qué significa una autenticación reforzada del cliente?

Una de las principales novedades de la PSD2 es que obliga a emplear medidas de autenticación reforzada. Por tanto se generalizará el uso de la doble autenticación, que implica que el ordenante autorice las operaciones empleando al menos dos de estos elementos:

• Elemento inherente. Se trata de un componente biométrico del usuario, como el reconocimiento facial, la huella dactilar o el iris.
• Elemento poseído. Se trata de un componente que tiene el usuario, como una tarjeta, un certificado digital o el teléfono móvil.
• Elemento conocido. Se trata de un componente que conoce el usuario, como un número PIN o una contraseña.

El uso del número de la tarjeta de crédito con el código de seguridad en el reverso de la tarjeta ya no cumplirá con las características de la autenticación reforzada. Esto se debe a que tanto el número de tarjeta de crédito como el código de seguridad son elementos poseídos. A partir de ahora, además del número de la tarjeta de crédito, se debe utilizar una contraseña, PIN o TAN o una huella dactilar, ya que estos factores están en la categoría conocimiento o herencia.

La autenticación de dos factores en sí no es un procedimiento nuevo, pero por el nuevo reglamento será obligatorio para todos los pagos electrónicos.

¿Hay alguna excepción?

Sí, la directiva PSD2 establece algunas excepciones, como la reducción de los requisitos de seguridad para la transacción de importes menores. La compañía de la tarjeta de crédito decidirá si habrá excepciones o no.