La autenticación sólida de clientes ( SCA ) es un requisito de la Directiva revisada de la UE sobre servicios de pago (PSD2) sobre los proveedores de servicios de pago dentro del Espacio Económico Europeo . El requisito asegura que los pagos electrónicos se realicen con autenticación multifactor , para aumentar la seguridad de los pagos electrónicos. [1] Las transacciones con tarjeta física ya suelen tener lo que podría denominarse autenticación de cliente fuerte en la UE ( chip y PIN ), pero esto no ha sido así en general para las transacciones por Internet en toda la UE antes de la implementación del requisito [1]. y muchos pagos con tarjeta sin contacto no utilizan un segundo factor de autenticación.
El requisito del SCA entró en vigor el 14 de septiembre de 2019. [2] Sin embargo, con la aprobación de la Autoridad Bancaria Europea , [3] varios países del EEE han anunciado que su aplicación se retrasará temporalmente o se graduará, [4] [5] con un plazo final fijado para el 31 de diciembre de 2020. [ cita requerida ]
Requisito
El artículo 97, apartado 1, de la Directiva exige que los proveedores de servicios de pago utilicen una autenticación de cliente sólida cuando un ordenante: [6]
(a) accede a su cuenta de pago en línea;
(b) inicia una transacción de pago electrónico;
(c) lleve a cabo cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos.
El artículo 4 (30) define la "autenticación sólida de clientes" en sí (como autenticación multifactor): [6]
una autenticación basada en el uso de dos o más elementos categorizados como conocimiento (algo que solo el usuario conoce), posesión (algo que solo el usuario posee) e inherencia (algo que el usuario es) que son independientes, en el sentido de que el incumplimiento de uno no comprometer la confiabilidad de los demás, y está diseñado de tal manera que protege la confidencialidad de los datos de autenticación
Implementación
La Autoridad Bancaria Europea publicó un dictamen sobre qué enfoques podrían constituir diferentes "elementos" de SCA. [3]
3-D Secure 2.0 puede (pero no siempre [3] ) cumplir los requisitos de SCA. 3-D Secure tiene implementaciones de Mastercard (Mastercard Identity Check) [7] y Visa [8] que se comercializan para permitir el cumplimiento de SCA.
Los comerciantes de comercio electrónico deben actualizar los flujos de pago en sus sitios web y aplicaciones para admitir la autenticación. [9] Si no se admite la autenticación, muchos pagos se rechazarán una vez que SCA esté completamente implementado. [9]
Historia
El 31 de enero de 2013, el Banco Central Europeo (BCE) emitió recomendaciones sobre la seguridad de los pagos en Internet, que requieren una autenticación sólida del cliente. [10] Los requisitos del BCE son tecnológicamente neutrales para fomentar la innovación y la competencia. El proceso de presentación pública [11] al BCE identificó tres soluciones para la autenticación fuerte de clientes, dos de las cuales se basan en la autenticación de confianza y la otra es la nueva variante de 3-D Secure que incorpora contraseñas de un solo uso .
Posteriormente, la Comisión Europea elaboró propuestas para una Directiva de Servicios de Pago actualizada que incluía este requisito, que se convirtió en PSD2. La autenticación sólida de clientes PSD2 es un requisito legal para los pagos electrónicos y las tarjetas de crédito desde el 14 de septiembre de 2019. [12]
Crítica
En 2016, Visa criticó la propuesta de hacer obligatoria la autenticación fuerte de los clientes, alegando que podría dificultar los pagos en línea y, por lo tanto, afectar las ventas en los minoristas en línea. [13]
En 2020, un informe independiente realizado por la consultora CMSPI encontró que la posible interrupción causada por la autenticación fuerte de los clientes (excluido el Reino Unido) podría ser de 108 000 millones de euros en 2021 [14].
Fuera de Europa
El Banco de la Reserva de la India ha establecido un "factor adicional de autenticación" para las transacciones sin tarjeta. [15]
Una propuesta para hacer que 3-D Secure sea obligatorio en Australia fue bloqueada por la Comisión Australiana de Competencia y Consumidores (ACCC) después de objeciones. [dieciséis]
Ver también
Referencias
- ^ a b "Directiva de servicios de pago (PSD2): Normas técnicas reguladoras (RTS) que permiten a los consumidores beneficiarse de pagos electrónicos más seguros e innovadores" . Comisión Europea . 2017-11-27 . Consultado el 17 de abril de 2019 .
- ^ "EBA proporciona claridad a los participantes del mercado para la implementación de los estándares técnicos sobre autenticación fuerte de clientes y comunicación común y segura bajo PSD2" . Autoridad Bancaria Europea . 2018-06-13 . Consultado el 17 de abril de 2019 .
- ^ a b c "EBA publica un dictamen sobre los elementos de autenticación fuerte de clientes bajo PSD2" . Autoridad Bancaria Europea . 21 de junio de 2019. Archivado desde el original el 30 de diciembre de 2019 . Consultado el 7 de septiembre de 2019 .
- ^ "FCA acuerda un plan para una implementación por fases de la autenticación sólida de clientes" . Autoridad de Conducta Financiera . 2019-08-13 . Consultado el 7 de septiembre de 2019 .
- ^ "Fecha de aplicación de la autenticación de cliente fuerte (SCA)" . Raya . 6 de septiembre de 2019 . Consultado el 7 de septiembre de 2019 .
- ^ a b "Directiva 2015/2366 / UE" . 25 de noviembre de 2015.
sobre servicios de pago en el mercado interior, por el que se modifican las Directivas 2002/65 / CE, 2009/110 / CE y 2013/36 / UE y el Reglamento (UE) no 1093/2010, y se deroga la Directiva 2007/64 / CE
- ^ "Strong Customer Authentication y PSD2: cómo adaptarse a la nueva regulación en Europa" (PDF) . Mastercard . 2018-08-17 . Consultado el 17 de abril de 2019 .
- ^ "Preparación para PSD2 SCA" (PDF) . Visa . Noviembre de 2018 . Consultado el 17 de abril de 2019 .
- ^ a b "Diseño de flujos de pago para SCA" . Raya . 15 de julio de 2019 . Consultado el 7 de septiembre de 2019 .
- ^ "BCE: el BCE publica las recomendaciones finales para la seguridad de los pagos por Internet e inicia una consulta pública sobre los servicios de acceso a las cuentas de pago" . Ecb.eu . Consultado el 17 de julio de 2014 .
- ^ "BCE: Consulta pública" . Ecb.europa.eu. 2013-01-31 . Consultado el 17 de julio de 2014 .
- ^ https://newsroom.mastercard.com/eu/files/2018/02/Security-Matters-Authentication-under-PSD2-and-SCA-Mastercard-White-Paper.pdf
- ^ Leyden, Josh (27 de noviembre de 2016). "Visa se lamenta por las exigencias de autenticación más estrictas del regulador del euro" . El registro . Consultado el 17 de abril de 2019 .
- ^ "News SCA para PSD2 podría costar a los comerciantes más de 100.000 millones de euros en 2021" . Los Pagadores . Consultado el 24 de septiembre de 2020 .
- ^ "Medidas de seguridad y mitigación de riesgos para transacciones de pago electrónico" . Banco de la Reserva de la India . Archivado desde el original el 4 de marzo de 2013.
- ^ "ACCC publica el borrador de la determinación contra el uso obligatorio de 3D [sic] Secure para pagos en línea" . 23 de mayo de 2016 . Consultado el 7 de septiembre de 2019 .