El mundo del Open Banking ahora permite que los usuarios gestionen sus cuentas financieras y pagos con una mayor flexibilidad, comodidad y con unos precios más bajos que nunca. Sin embargo, estos nuevos servicios simplificados, más rápidos y fáciles de usar, traen consigo el posible inconveniente del fraude en línea, pudiendo dar lugar a la creación de verdaderos paraísos para los ciberdelincuentes y a la comisión de delitos tales como el blanqueo de capitales o la financiación del terrorismo.
Para combatir esta actividad digital ilícita, y debido a la entrada en vigor de la Segunda Directiva de Servicios de Pago (PSD2), los bancos y los Third Party Providers (TPP) deben emplear sistemas de verificación de la identidad innovadores, para proteger a los clientes y a las empresas asociadas para cumplir con la finalidad de la PSD2: reforzar la seguridad en las operaciones de pago electrónico.
Los proveedores de servicio de información de cuenta y los proveedores de servicio de iniciación de pago estarán en una situación de vulnerabilidad si no se encuentran protegidos de manera apropiada, mediante servicios de verificación de la identidad que proporcionen factores de seguridad añadidos. En concreto, los TPP necesitan buscar servicios creados específicamente para la protección contra el fraude, el blanqueo de dinero y otros delitos informáticos.
El nuevo mundo digital necesita soluciones digitales actualizadas. De hecho, para prevenir las actividades delictivas, se ha exigido a los sujetos obligados a la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, la implementación de medidas de diligencia debida, entre ellas, la identificación formal de las personas físicas y jurídicas -también llamado Know Your Customer (KYC). Esta normativa requiere a los clientes verificar su identidad mediante documentos de identificación, tales como pasaportes, permisos de conducir o DNI.
Por otro lado, con el incremento del acceso remoto a los servicios financieros y la exención de realizar verificaciones de identidad en persona por parte de muchas organizaciones, estamos observando un resurgimiento del número de intentos de falsificación de la identidad, para acceder a las cuentas y cometer estafas. Para dar una respuesta a esta situación, las nuevas soluciones tecnológicas pretenden ofrecer factores de seguridad centrados en el cliente y que, ante todo, tengan un coste razonable y sean sencillos y rápidos de utilizar. Además, a medida que las empresas buscan introducir nuevos métodos de seguridad con los menores inconvenientes posibles, cada vez se presta más atención a la mejora de la experiencia del cliente, al mismo tiempo que se exigen unos estándares altos de autenticación.
Afortunadamente, la tecnología de verificación de la identidad y la implementación del mecanismo de KYC por los TPP hace posible que el Open Banking sea seguro, sin la necesidad de interrumpir la experiencia del cliente con miles de “puertas” de identidad a lo largo del recorrido. Echemos un vistazo a cómo podemos aprovecharnos de la tecnología actual en estos momentos.
¿Qué es la verificación de la identidad?
En resumen, la verificación de la identidad es el proceso por el que un banco o TPP verifica la información de la cuenta del cliente para un pago u otros servicios financieros. Es un factor de seguridad que durante mucho tiempo ha sido un elemento destacable de las normativas financieras modernas, y que se cristalizó a través de Ley 10/2010, de prevención del blanqueo de capitales y de la financiación del terrorismo, exigiendo la presentación de diversas formas de identificación formales para confirmar la veracidad de la identidad de un cliente. El propósito principal de implementar mecanismos de KYC es fomentar una política sólida contra el blanqueo de capitales, además de garantizar una seguridad adicional para el cliente.
En la era digital, la verificación de la identidad exigirá el uso de factores de seguridad encriptados mediante soluciones tecnológicas, que cumplan con las normativas más recientes. En el caso de la Unión Europea, el Reglamento Delegado (UE) 2018/389 – en desarrollo de la PSD2, profundiza en las medidas y procedimientos en relación a la seguridad en las operaciones de pago electrónico que se articulan entorno a los conceptos de: autenticación reforzada del cliente (o SCA, por sus siglas en inglés) y comunicación abierta, común y segura (o CSC, por sus siglas en inglés). Asimismo, la Directiva delega la competencia a la EBA, como organismo especializado de la Unión Europea, el desarrollo de normas técnicas de regulación (en adelante, RTS) en materia de seguridad de los pagos electrónicos. La SCA es un protocolo de seguridad de doble factor, que no solo incluye un número de tarjeta de crédito o débito, una contraseña y/o un código de seguridad de tres dígitos, sino también posibles requisitos para demostrar que el cliente es el propietario del dispositivo físico, o incluso la identificación biométrica, como, por ejemplo, el escaneo de retina o huella.
¿Cuáles son las principales ventajas de la verificación de la identidad?
Una ventaja principal de la verificación de la identidad es la capacidad de combatir el fraude en línea, en un entorno financiero cada vez más digitalizado, para proteger a los clientes y mantenerse a la cabeza mediante la prestación de la última tecnología de identidad. La realidad del mundo digital es que los piratas informáticos se encuentran en una lucha continua para hacerse con el control, por lo que las empresas deben invertir para ganar esta batalla mediante la instalación de factores de seguridad preventivos, que estén conectados con redes de confianza encriptadas.
La necesidad de contar con factores de seguridad adicionales es cada vez más obvia. La comodidad del Open Banking ha traído consigo unas mejoras excelentes en lo referente a la manera en que gestionamos y movemos el dinero, pero también ha creado un escenario real en el que los intrusos maliciosos pueden aprovecharse.
La verificación de la identidad intenta contrarrestar este fenómeno. Cuando las soluciones de verificación de la identidad son integradas en una red de confianza digital, los clientes pueden vincular sus atributos de datos de identidad vitales mediante la prestación de su consentimiento, lo que a su vez crea un sistema de credenciales compartible que se adapta a las necesidades del cliente. Si el poder de dicha flexibilidad se combina con una tecnología de encriptado avanzada, entonces los clientes se beneficiarán de unos costes menores, unas medidas de seguridad de vanguardia y la comodidad de una banca remota.
La denominada «identidad core» del cliente, en la que se almacenan todos los atributos de datos de identidad vitales, se puede expandir potencialmente para crear una identidad digital mejorada, con los datos de confianza necesarios para habilitar el proceso de integración.
¿Cómo pueden los procesos de verificación de la identidad evaluar la identidad del usuario?
La verificación de la identidad funciona a través de la creación y la gestión de identidades digitales core, que son clasificadas durante su procesamiento y reciben una «puntuación». Las identidades digitales pueden ser útiles para demostrar la identidad del cliente, pero también pueden tener limitaciones. Para determinarlo, la identidad digital puede recibir un nivel de garantía (LOA), como resultado del proceso de puntuación, que puede ayudar a definir los servicios. Por ejemplo, las identidades digitales core con un LOA I se pueden entender como «aprobado». Esto significa que todos los atributos de identidad vitales han sido aprobados por los algoritmos de evaluación de autenticación. El LOA II significa que existe un «riesgo moderado» para el intento de inicio de sesión del usuario, que advierte acerca de una autenticación errónea, que posiblemente se deba a un error humano. Un paso más adelante, un LOA III confirma un «riesgo importante», que señala que el sistema debe solicitar más procedimientos para autorizar la identidad en la autenticación. La mayor señal de advertencia es un LOA IV, que indica un «riesgo importante» que eleva el proceso de verificación de la identidad y exige la autenticación en persona.
Esta gama de servicios depende del proveedor de verificación de la identidad. Sin embargo, habitualmente, cuando son necesarios elementos de información confidencial temporalmente para acceder a los servicios financieros, un operador due diligence se encargará de realizar la evaluación y proporcionar el acceso.
¿Qué se exige exactamente del usuario durante el proceso de verificación de la identidad?
Con arreglo a la Autoridad Bancaria Europea ( por sus siglas en inglés, EBA), existen tres factores específicos que las empresas que deben cumplir con la Autenticación Reforzada del Cliente: posesión, conocimiento e inherencia. “En este contexto, la posesión representa algo que el usuario posee, como, por ejemplo, su teléfono; el conocimiento representa algo que saben, como su contraseña; y la inherencia representa algo intrínseco, como, por ejemplo, un escaneo de retina o huella;” afirma Marc Nieto, director general y socio fundador de MPServices, un servicio de asesoramiento que se especializa en la prevención y gestión del fraude para las empresas de comercio electrónico.
¿Qué tipos de verificación se pueden llevar a cabo?
El proveedor del servicio de verificación de la identidad está autorizado para comprobar bases de datos de propiedad pública y privada, para cualquier resultado que coincida con la información prestada. Después de realizar estas comprobaciones, se calcula una «puntuación» de la identidad, y la identidad del cliente recibe el estado de «verificada» o «no verificada», en base a esta puntuación. Además, se pueden utilizar preguntas de autenticación basadas en el conocimiento, que solicitan respuestas con información personal acerca de los usuarios, para garantizar la seguridad y la integridad de la identidad.
¿Cómo se puede aplicar la verificación de la identidad?
Los proveedores de los servicios de verificación de la identidad pueden ser contratados por una amplia variedad de negocios online, entre los que se incluyen los bancos y TPP, además de las plataformas de comercio electrónico, las páginas web de networking sociales, los foros de Internet, las páginas web de citas, los negocios de economía colaborativa, los proveedores de telecomunicaciones, los servicios de juegos online y otros. Todos estos sectores aplican esta tecnología con objetivos similares, en concreto, para autenticar la identidad de los usuarios para ejecutar pagos y/o verificar la cuenta.
En varias jurisdicciones financieras, muchos negocios digitales ya conocen esta infraestructura, puesto que es necesario al menos una forma de verificación de la identidad para abrir una cuenta bancaria. Sin embargo, su capacidad para interactuar con una infraestructura de verificación de la identidad más avanzada dependerá de la empresa y de la jurisdicción. No obstante, si las empresas, y en particular los bancos, no satisfacen los estándares de diligencia requeridos conforme al reglamento de la jurisdicción, estos podrían ser sancionados con importantes multas por el incumplimiento de la normativa.
¿Cuál es la fiabilidad de la verificación de la identidad?
Los servicios de verificación de la identidad son cada vez más avanzados. Para todos los operadores del ecosistema del Open Banking, la evolución de la tecnología ha hecho que la integración de los sistemas de servicios de verificación de la identidad sea un requisito primordial.
Sin embargo, este territorio es complicado y los diferentes requisitos hacen que sea difícil juzgar la fiabilidad de los servicios. Por ejemplo, los requisitos para tratar la información por parte de los aseguradores de propiedades difieren en gran medida de aquellos exigidos a los proveedores de préstamos personales. Por este motivo, asegurar que estás utilizando un servicio de verificación de la identidad, fiable para tus clientes, requiere realizar una investigación con la diligencia debida.
Las buenas noticias son que, gracias a una oleada de proveedores de verificación de la identidad avanzados, los asuntos más habituales en esta materia se pueden resolver. Esto incluye el reto de implementar una plataforma de gestión de integración sencilla y de cartera de productos, para reducir la tasa de cancelación de los clientes que experimentan una forma de autenticación de la identidad nueva, y para disminuir los altos costes operacionales y el riesgo de la eliminación de intermediarios a través de las proposiciones de los TPP.
La clave para un Open Banking seguro
Muy pocos se atreverán a negar el hecho que la verificación de la identidad es clave para realizar un intercambio de datos fiable entre las diferentes partes del ecosistema del Open Banking.
Con sistemas de verificación de la identidad verdaderamente competentes, los clientes pueden decir adiós a los interminables y frustrantes procesos de integración, al mismo tiempo que disfrutan de una mayor seguridad y facilidad de uso en sus cuentas. El Motor de Verificación de Identidad de Unnax ofrece exactamente eso: una solución de punto a punto con herramientas potentes para automatizar la lucha contra el blanqueo de capitales y el fraude en línea. Con herramientas como este motor innovador, la colaboración entre los clientes y las instituciones solo continuará creciendo, gracias a la tranquilidad que solo estas soluciones de seguridad avanzadas pueden garantizar.
