Autenticación reforzada de cliente: retos para el comercio electrónico y los pagos 'online'
José Ramón Morales, socio de Garrigues, co-responsable del Garrigues FinTech Hub.
La implementación de la autenticación reforzada de cliente o strong customer authentication (SCA) en los pagos para el comercio online se encuentra actualmente en una fase crítica. El plazo para completar la migración a soluciones adaptadas a la nueva regulación culmina el próximo 31 de diciembre de 2020 en general para el Espacio Económico Europeo, un entorno todavía más complejo en el contexto de la pandemia y por la incertidumbre añadida para los pagos online con tarjeta transfronterizos con Reino Unido cuyas autoridades han establecido un plazo de implementación más amplio.
El mercado de los servicios de pago en Europa está experimentando una transformación muy relevante: a la aparición de nuevos operadores y nuevos modelos de negocio basados en la innovación tecnológica (fintech) y la consolidación de nuevos hábitos de los clientes, se ha venido a sumar el cambio regulatorio provocado por la Directiva (UE) 2015/2366 (DSP2) para tratar de dar respuesta a dichos factores. Este cambio regulatorio tiene todavía pendiente de completar a fecha de hoy el despliegue de una de sus piezas relevantes: la implantación efectiva y generalizada de procedimientos de autenticación reforzada de cliente (strong customer authentication o SCA) para determinadas operativas electrónicas y transacciones realizadas de forma remota.
La SCA es una capa adicional de seguridad que persigue mejorar la protección del usuario (evitando el acceso no autorizado a sus fondos y a la información de sus cuentas, incluyendo datos personales) y, a la vez, la prevención del fraude en los pagos, lo que puede redundar a su vez en una mejora para los comercios que venden online y los proveedores de servicios de pago (PSP) que les dan servicio; si bien, como veremos, plantea también retos significativos a las empresas de comercio electrónico.
1. El marco regulatorio de la SCA
La SCA se define en la DSP2 (y, en términos prácticamente idénticos, en el Real Decreto-Ley 19/2018 que transpone a derecho español la DSP2), como “la autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes –es decir, que la vulneración de uno no compromete la fiabilidad de los demás–, y concebida de manera que se proteja la confidencialidad de los datos de autenticación”.
Según se indica en el Reglamento Delegado (UE) 2018/389 de la Comisión, los servicios de pago que se ofrecen por vía electrónica han de prestarse con la adecuada protección, adoptando tecnologías que permitan garantizar una autenticación segura del usuario y minimizar el riesgo de fraude. Para ello, al realizar operaciones de pago por vía electrónica u otras operaciones que se presten a abuso a través de un canal remoto, se debe exigir la generación de un código de autenticación que no corra el riesgo de ser falsificado en su totalidad o mediante la revelación de alguno de los elementos sobre los cuales se ha generado. Así, un código de autenticación generado exclusivamente a partir del factor basado en el conocimiento, como una palabra clave, se vería comprometido si se produce una brecha de datos; al añadirse la exigencia de un segundo factor (por ejemplo, una identificación biométrica del usuario, que constituye un factor de inherencia) para que pueda generarse el código que autentica al usuario al realizar la transacción, se mitiga de forma muy significativa el riesgo de uso no autorizado del instrumento de pago o el acceso a la operativa electrónica remota.
Los mecanismos que la regulación han dispuesto para asegurar la efectiva implementación de la SCA en las operaciones en línea o por canal remoto son los siguientes:
- La obligación de aplicar procedimientos de SCA que se impone a los PSP (ver apartado siguiente), con incidencia asimismo sobre nuevos operadores fintech que intervienen en la cadena de valor de los pagos (proveedores de servicios de iniciación de pagos) y del acceso a la información de cuentas de pago (proveedores de servicios de información de cuentas).
- La fijación de reglas de atribución del riesgo en operaciones de pago no autorizadas a aquellos participantes en la operación de pago dependiendo de si exigen y aceptan o no la SCA. En particular:
- Si el PSP del ordenante (por ejemplo, el banco emisor de una tarjeta de pago) no exige SCA, el ordenante (el titular de la tarjeta en ese ejemplo) sólo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. Por tanto, en este caso el ordenante no se verá obligado a asumir ni la pérdida derivada de operaciones de pago no autorizadas dentro del límite general que pueda haber fijado contractualmente con su PSP (que para España puede quedar fijado como máximo en 50 euros), ni las pérdidas que más allá del importe puedan derivarse de haber actuado por incumplir con negligencia grave las obligaciones que la ley le impone en relación con el uso de los instrumentos de pago y las credenciales de seguridad personalizadas.
- Si el beneficiario del pago (por ejemplo, el comerciante vendedor) o el PSP del beneficiario (por ejemplo, la entidad que gestiona el TPV virtual del comerciante vendedor) no aceptan la SCA, deberán reembolsar el importe del perjuicio financiero causado al PSP del ordenante.
- Si el PSP del ordenante (por ejemplo, el banco emisor de una tarjeta de pago) no exige SCA, el ordenante (el titular de la tarjeta en ese ejemplo) sólo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. Por tanto, en este caso el ordenante no se verá obligado a asumir ni la pérdida derivada de operaciones de pago no autorizadas dentro del límite general que pueda haber fijado contractualmente con su PSP (que para España puede quedar fijado como máximo en 50 euros), ni las pérdidas que más allá del importe puedan derivarse de haber actuado por incumplir con negligencia grave las obligaciones que la ley le impone en relación con el uso de los instrumentos de pago y las credenciales de seguridad personalizadas.
2. El deber de aplicar procedimientos de SCA por parte de los PSP
La DSP2 (art. 97) obliga a los Estados miembros a que velen por que los PSP apliquen la SCA cuando el ordenante (i) acceda a su cuenta de pago en línea; (ii) inicie una operación de pago electrónico (en el caso de operaciones remotas de pago, la SCA debe además incluir elementos que asocien dinámicamente la operación a un importe y a un beneficiario determinados); o bien (iii) realice por canal remoto cualquier acción que pueda entrañar riesgo de fraude en el pago u otros abusos.
El deber de los PSP de aplicar la SCA en las operativas indicadas se ha recogido, en el caso de España, en el art. 68 del Real Decreto-Ley 19/2018.
Por su parte, el Reglamento Delegado -basado en los proyectos de normas técnicas de regulación dirigidas a los PSP que la Autoridad Bancaria Europea (EBA) presentó a la Comisión Europea en cumplimiento del mandato que la propia DSP2 le había otorgado- se había encargado de especificar:
- Los requisitos que deben cumplir los PSP para aplicar el procedimiento de SCA, regulando de forma detallada los requisitos de las medidas de seguridad exigibles tanto para la generación y aceptación del código de autenticación (art. 4); la vinculación dinámica en los pagos electrónicos (art. 5); y los requisitos de los elementos categorizados como conocimiento (art. 6), como posesión (art. 7), como inherencia (art. 8), además de las condiciones para asegurar la independencia entre los elementos de autenticación (art. 10) a fin de evitar que el quebrantamiento de uno de ellos comprometa la fiabilidad de los demás.
Adicionalmente, la EBA publicó una opinión en junio de 2019 sobre los elementos de la SCA bajo la DSP2, que pretendía aportar claridad sobre los diferentes elementos que constituyen factores de cumplimiento para la SCA. - Las condiciones conforme a las cuáles los PSP podrían acogerse a las exenciones a la SCA, desarrollando los criterios previstos en el art. 98.3 de la DSP2. Estas exenciones aplican en España por remisión del art. 68.6 del Real Decreto-Ley 19/2018 a lo dispuesto en el art. 98.1(b) de la DSP2 (criterios de exención basados en el nivel de riesgo asociado al servicio prestado, importe y/o frecuencia de repetición de la operación, canal de pago empleado).
En particular, el Reglamento Delegado estableció las condiciones aplicables a las exenciones de la SCA cuando se trate de acceder por el usuario a determinada información limitada de cuentas de pago (art. 10); en operaciones de pago electrónico sin contacto en punto de venta (art. 11); en terminales no atendidas para tarifas de transporte o pagos de aparcamiento (art. 12); operaciones de pago a beneficiarios incluidos en la lista de beneficiarios de confianza creada por el ordenante (art. 13); en operaciones de pago frecuentes con el mismo importe a un mismo beneficiario (art. 14); en transferencias de crédito entre cuentas mantenidas por la misma persona en el mismo PSP gestor de cuentas (art. 15); en operaciones remotas de pago electrónico de escasa cuantía (art. 16): cuando se produzcan en aplicación de procesos y protocolos de pago corporativo seguro (art. 17); así como aquellas operaciones remotas de pago electrónico cuyo nivel de riesgo haya sido identificado como bajo por el PSP aplicando los mecanismos de supervisión de operaciones que especifica el Reglamento Delegado (art. 18).
3. Plazos máximos legales y retos que plantea la implantación efectiva de la SCA
El inicio de la aplicación del Reglamento Delegado se estableció, en relación con la SCA, a partir del 14 de septiembre de 2019. No obstante, ante la complejidad del mercado de pagos y los retos que podrían conllevar los cambios necesarios -en particular para los actores que no son PSP (como las empresas dedicadas a las ventas de comercio electrónico)-, la EBA abrió posteriormente la puerta a la flexibilización de dicho plazo máximo en relación con los pagos con tarjetas en comercio electrónico.
La SCA va a suponer un cambio en la forma en que consumidores y empresas que compran online confirman su identidad al realizar compras online: el uso como elemento de autenticación del número de tarjeta junto con el CCV y la fecha de caducidad de la tarjeta no cumplen con los requisitos de SCA (no se consideran, conforme al Reglamento Delegado, elementos de conocimiento ni de posesión confiables). Para adecuarse a la exigencia de SCA en las compras de comercio electrónico será necesario añadir un factor de autenticación adicional en los pagos con tarjeta. En la práctica, ello supone un grado mayor de fricción en las compras online (el proceso de pago se vuelve más aparatoso para el cliente) y, por tanto, preocupa de forma significativa a los negocios con alta presencia de ventas online el incremento que puede provocar en las tasas de abandono de procesos de compra online, con lo que puede implicar en el descenso en sus ventas.
Por otra parte, la efectiva implementación de los requisitos de SCA exige no sólo su adopción por parte de PSP, sino de forma capilar por cada uno de los comercios que admiten pagos online. En la práctica, esta adopción generalizada encuentra barreras significativas, de carácter tecnológico pero también de conocimiento y sensibilización, y de capacidad de asunción de costes, que afectan especialmente al comercio minorista.
En este contexto, como antes indicábamos la EBA ha abordado la ampliación de plazo para completar la migración a la SCA en pagos con tarjeta mediante la publicación de sucesivas opiniones:
- La Opinión de la EBA de junio de 2019 contempló la concesión de un plazo limitado adicional para los pagos de comercio electrónico basados en tarjetas, a fin de permitir a los PSP emisores de tarjetas migrar a aproximaciones de autenticación que cumplan con la SCA, y a los PSP de adquirencia migrar a sus comercios a soluciones que sean compatibles con la SCA. Pero esta flexibilidad se condicionó a que los PSP establecieran planes de migración, los acordaran con las autoridades nacionales competentes y ejecutaran los planes de forma acelerada.
- La Opinión de la EBA de octubre de 2019 recomendó a las autoridades nacionales competentes que adoptaran una aproximación coherente en cuanto a los planes de migración, y estableció el 31 de diciembre de 2020 como límite máximo para completar los planes de migración de los PSPs (incluyendo la implementación y pruebas con los comercios). Lo cual no significa que se aplace la aplicación de la SCA, sino que las autoridades nacionales de supervisión se centrarán hasta esa fecha en monitorizar los planes de migración.
El Banco de España publicó en octubre de 2019 una nota informativa haciéndose eco de la Opinión de la EBA, del plazo de migración hasta 31 de diciembre de 2020 que en ella se prevé, y anunciando que llevaría a cabo las correspondientes acciones de acuerdo con la Opinión de la EBA.
En línea divergente con la Opinión de la EBA, en el Reino Unido esta extensión de plazo se fijó inicialmente por la Financial Conduct Authority hasta el 14 de marzo de 2021.
Para España, las principales patronales del sector de las entidades de crédito presentaron un plan de acción en octubre de 2019 definiendo de forma detallada y calendarizada las actuaciones a realizar para la adaptación del comercio electrónico (que incluía tareas relacionadas con el comercio minorista, los PSP, las marcas de tarjeta, y los procesadores de pagos) con el objetivo de completar la migración en diciembre de 2020. Indicando asimismo que a partir del 31 de diciembre de 2020 se empezarían a denegar las operaciones de comercio electrónico que no apliquen SCA o puedan acogerse a una exención de SCA.
No obstante, el impacto económico y operativo de la situación excepcional provocada por la pandemia del COVID-19 ha provocado un debate (con peticiones desde distintos entornos sectoriales y de autoridades nacionales) acerca de la conveniencia de establecer una extensión de plazo para completar la migración a SCA en el comercio online más allá de 31 de diciembre de 2020. En el Reino Unido, la Financial Conduct Authority ha ampliado la extensión de su plazo hasta el 14 de septiembre de 2021. En cambio, la EBA no ha acordado hasta la fecha, ni parece que tenga previsto establecer, ninguna ampliación del plazo más allá de diciembre de 2020; lo que deja un grado relevante de incertidumbre acerca de la efectiva capacidad de completar la migración en esa fecha para el conjunto de los operadores de comercio electrónico.
Debe, asimismo, tenerse en cuenta que entre las soluciones para implementar a gran escala los requisitos de SCA destacan principalmente las ofrecidas por los esquemas de tarjetas (por ejemplo, Visa Secure, ID Check de Mastercard, o SafeKey de AmEx). Nuevas versiones de estas soluciones, adaptadas a la especificación EMV 3-D Secure V2.2, están actualmente en proceso de despliegue en los comercios y clientes, lo que permitiría a la vez cumplir los requisitos de SCA, aplicar las exenciones de SCA y mantener una adecuada experiencia de usuario que minimice el riesgo de incremento de las tasas de abandono en las compras online.
4. Conclusión
El estado de situación de la implementación de SCA en el sector del comercio online se halla en la actualidad en una fase crítica que enfrenta (1) las dificultades del despliegue a gran escala de las soluciones adaptadas a SCA y la inminencia del final del plazo concedido para completar la migración (31 de diciembre de 2020 en el entorno general del Espacio Económico Europeo), (2) las dificultades adicionales de la situación excepcional económica, operativa y social derivada de la pandemia, y (3) el riesgo de que los plazos máximos de implementación no homogéneos en Reino Unido y en los países que siguen los plazos de la EBA complique adicionalmente la gestión del fraude en pagos de comercio electrónico transfronterizos que involucren a partes operando en los distintos territorios, en un entorno de incertidumbre añadida acerca del marco legal que será de aplicación de las relaciones entre la Unión Europea y el Reino Unido a partir de 1 de enero de 2021.