Si alguna vez te has preguntado acerca de la SCA, es un protocolo de validación avanzada del usuario, que incluye un sistema bifactorial de seguridad y es fundamental en el ámbito del comercio electrónico. Esta metodología de validación dual asegura cada vez más la seguridad de nuestras transacciones en línea.
Un reciente dictamen de la UE, la Directiva de Servicios de Pago, conocida como PSD2, estableció este sistema de seguridad con las regulaciones que entraron en vigor el 14 de septiembre de 2019. Desde entonces, todos los mecanismos de pagos digitales deben cumplir con normas de identificación más rigurosas.
Introducción a la SCA y al reglamento PSD2
Hasta hace poco, cualquier persona que comprara, por ejemplo, un ordenador personal en una plataforma de comercio electrónico, podía abonarla con los datos de su tarjeta de crédito y el número de seguridad en el reverso de la misma.
Sin embargo, con la directiva PSD2, ahora se requiere un segundo factor de seguridad (conocido también como autenticación avanzada del cliente) para realizar transacciones sin dinero en efectivo. Para efectuar pagos digitales, el cliente debe autenticar dos de los siguientes tres factores:
• Posesión de un teléfono inteligente registrado, tarjeta bancaria o token.
• Conocimiento de una contraseña, PIN o respuesta a una pregunta secreta.
• Validación biométrica. Este protocolo de autenticación avanzada no es algo completamente nuevo.
De hecho, la doble autenticación ya era obligatoria previamente para los servicios de banca en línea.
La puesta en marcha de la SCA y sus protocolos de seguridad deben ser implementados por los procesadores y emisores de pagos: es decir, los bancos, los emisores de tarjetas de crédito (VISA, MasterCard, etc.) y las pasarelas de pago, como Tadosi.
Desentrañando la SCA o Autenticación avanzada del cliente
Principalmente, aquellos usuarios que no están acostumbrados a realizar compras en línea de manera regular, pueden todavía desconocer qué es la autenticación SCA (Strong Customer Authentication), también conocida como autenticación avanzada del cliente o autenticación bifactorial.
Básicamente, es un requisito europeo destinado a asegurar pagos en línea más protegidos y así minimizar el riesgo de fraude. Cada transacción en línea demanda una confirmación o comprobación adicional.
Realizar un pago bajo el protocolo de Autenticación Avanzada SCA
El nuevo marco regulador PSD2 incorpora la autenticación avanzada SCA, solicitando al menos uno de estos métodos de validación adicionales:
• Información que sólo el usuario conoce: Incluye el ingreso de una contraseña o PIN.
• Un elemento en posesión del usuario: Como una tarjeta de crédito, smartphone u otro dispositivo habilitado para transacciones.
• Un método de identificación personal: Como datos biométricos, reconocimiento facial o escaneo del iris.
El protocolo SCA está diseñado específicamente para el comprador. Por lo tanto, los vendedores no necesitan inquietarse por este nivel extra de seguridad, ya que no influye en sus operaciones. Un pago gestionado por el comerciante se refiere a aquel que se efectúa en un periodo acordado, contando con el consentimiento del cliente, y es iniciado por el comercio que recibe el pago.
Excepciones a la directiva PSD2 y al SCA
A pesar de que la directiva PSD2 demanda la autenticación dual SCA para todas las transacciones, hay algunas excepciones que pueden ser consideradas por el emisor, dependiendo del tipo de operación. El emisor siempre tiene la decisión final sobre la aplicabilidad de la exención.
• Transacciones de pequeña cuantía: Pagos con tarjeta inferiores a 30 € están liberados de aplicar el SCA.
• Transacciones consideradas de bajo riesgo: Entidades bancarias pueden catalogar ciertas operaciones como de bajo peligro, por ejemplo, transacciones recurrentes. Los usuarios también pueden añadir vendedores específicos a una lista de confianza, haciendo que futuras transacciones con ellos no requieran el SCA.
Los portadores de tarjetas corporativas también podrían estar exentos de la regulación PSD2 respecto al SCA.
Razones detrás de la implantación del SCA
El SCA surge como un componente esencial de la directiva PSD2, y su propósito principal es fortalecer la seguridad del consumidor. Esta regulación busca minimizar el fraude en transacciones digitales y las contracargos, problemas que han aumentado notoriamente en Europa. Asimismo, pretende abrir el mercado a nuevos actores y disminuir comisiones asociadas a pagos digitales.
Pagos periódicos y el SCA
Como se mencionó previamente, entre las excepciones al SCA, un tipo crucial de operación que queda fuera son las relacionadas con ingresos constantes, como suscripciones, o transacciones que se efectúan regularmente, como compras recurrentes con un mismo comercio.
Adoptando la Autenticación Avanzada de Clientes SCA
A pesar de que PSD2 se introdujo en 2015 y los estándares técnicos relacionados con el SCA no se establecieron hasta finales de 2018, estudios muestran que numerosas organizaciones aún no están alineadas con esta regulación. Cada entidad de servicios de pago tiene la obligación de implementar el SCA. Sin embargo, algunas podrían estar aún en la fase de descubrimiento sobre lo que implica el SCA. Además, pueden surgir retos cuando una entidad de servicios de pago necesita supervisar las operaciones o el apego a la normativa de otra entidad similar.
Con el conocimiento ya adquirido sobre el SCA y su protocolo de autenticación en dos etapas, es relevante destacar que el protocolo 3D Secure es la norma de validación más ampliamente aceptada por tarjetas en Europa. Esta medida de seguridad introduce una capa adicional en las transacciones online, solicitando que se suministre información adicional al banco para confirmar la transacción. Esto puede ser un código exclusivo recibido vía SMS o correo electrónico, o una verificación biométrica a través de una aplicación bancaria móvil.
