La creciente digitalización de todos los sectores comerciales ha abierto la puerta de la competencia en la industria financiera a nuevos proveedores de servicios de pago, legitimados en la Segunda Directiva de Servicios de Pago del Parlamento Europeo PSD2. Esta situación está provocando un cambio de paradigma en la industria bancaria, que debe ofrecer nuevas propuestas de valor para sus clientes, dentro de los procesos de digitalización en los que se encuentra inmerso.
Como parte fundamental de la Directiva sobre Servicios de Pagos PSD2 que entró en vigor el pasado mes de enero de 2018, las medidas de seguridad que se incorporaban en los estándares técnicos entrarán en vigor el próximo mes de septiembre. Entra en liza en ese momento la denominada SCA o proceso de Autenticación Reforzada del Cliente, que abre un mundo de oportunidades a las organizaciones que quieran innovar en sus relaciones con los clientes a la hora de mejorar la seguridad en los pagos.
Los consumidores ya entienden la necesidad de autenticarse para realizar pagos de forma protegida pero también exigen un equilibrio entre seguridad y comodidad. Según un estudio llevado a cabo por TransUnion, el 70% de los consumidores abandona un proceso de compra por complicaciones excesivas en el momento del pago.
En qué consiste PSD2
La Segunda Directiva de Servicios de Pago o PSD2 (Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, sobre servicios de pago en el mercado interior) es una norma que aspira a profundizar en la consecución de un mercado de servicios de pago integrado, competitivo, innovador y eficiente en la UE, poniendo especial énfasis en la protección de los consumidores europeos. De ahí la importancia que la norma atribuye a los aspectos relativos a la seguridad de los servicios de pago y, en especial, a regularizar la actividad de unos nuevos actores a los que los clientes de la banca podrán autorizar a acceder a las cuentas de pago que mantengan en una entidad financiera diferente.
PSD2 se centra especialmente en las transacciones a través de Internet o móviles. La norma prescribe la aplicación obligatoria de medidas y procedimientos de seguridad específicos en las operaciones de pago electrónicas, y en especial en las que tienen lugar a distancia. Estas medidas y procedimientos se articulan en torno al concepto de Autenticación Reforzada del Cliente.
“Lo que está claro para todos ya es que las contraseñas son algo del pasado y probablemente sean ahora mismo uno de los métodos menos seguros para proteger nuestra información sensible o confidencial”, afirma Jaime Marín, director de estrategia de TransUnion. “De hecho, se estima que hasta el 59% de la población utiliza la misma contraseña para todos los servicios. Esta es una de las razones por las que PSD2 advierte de que el uso único de protocolos de autenticación como contraseñas, PIN o tokens representa un riesgo para el ciudadano”.
Qué sé, qué tengo y quién soy: el triple paradigma de PSD2
PSD2 recomienda utilizar autenticación multifactor utilizando fuentes independientes de validación que incluyan al menos dos de los siguientes indicadores: conocimiento (“algo que solo conoce el usuario”), posesión (“algo que solo posee el usuario”) e inherencia (“algo que es el usuario”).
Para controlar “algo que solo conoce el usuario”, TransUnion cuenta con soluciones que filtran los datos de contacto de los clientes y reevalúan los enlaces y asociaciones existentes y que hasta el momento solo podían ser inferidas. Además, perfila los dispositivos digitales para entender su validez, conectividad y riesgos hasta un nivel pericial. Las contraseñas de un solo uso pueden ser una solución efectiva en costes, pero implican vulnerabilidades que deben tenerse en consideración antes de su despliegue y ejecución. Por ejemplo, un cambio en la tarjeta SIM puede implicar que las contraseñas de un solo uso puedan ser interceptadas. Por eso es imprescindible comprobar que el dispositivo al que llega la contraseña es el autenticado, no sólo el número de teléfono.
Para entender “algo que es el usuario”, es necesario contar con atributos inherentes al usuario, la mayor parte de las veces, elementos biométricos. Cada vez son más comunes los pagos con Google Pay o Apple Pay, por lo que los métodos de autenticación biométrica son conocidos para una gran mayoría. Los ciudadanos también están acostumbrados ya a desbloquear también sus dispositivos o a traspasar la zona de control de pasaportes en aeropuertos mediante el uso de datos biométricos. Según el Informe sobre Fraude de TransUnion las tecnologías biométricas para autenticación y prevención de fraude se citaban como áreas primordiales de inversión para los próximos años. Esta situación se verá ahora acelerada debido a los requisitos que impone el estándar SCA y a las tendencias de mercado, ya que se espera que los pagos móviles crezcan un 28% para 2022, sobrepasando en ese momento a los pagos con tarjeta. Sin embargo siguen existiendo temores a la intrusión de la tecnología en los elementos biométricos, ya que se habla de la posibilidad de que los ciberdelincuentes compren huellas digitales. Por eso, es importante contar con soluciones como LaunchKey de TransUnion, que permite más de un tipo de autenticación además de las comprobaciones biométricas.
Para comprobar “algo que solo posee el usuario”, es necesario que el sistema sea capaz de confirmar que el dispositivo desde el que se realiza la transacción es propiedad del cliente. Con ClearKey de TransUnion lo que se consigue es contar con un segundo factor de autenticación escondido y que funciona junto con las contraseñas de un solo uso para cumplir con los requisitos de SCA.
PSD2 supone una oportunidad para que las entidades de pago se acerquen a los usuarios y ofrezcan una mejor experiencia de cliente que termine en compra, gracias a la combinación entre seguridad y facilidad de uso.