Los problemas de la Autenticación Refozarda de Clientes (SCA)

septiembre 2, 2019

Cumplir con los requisitos de la Autenticación Reforzada del Cliente (SCA) está resultando más difícil de lo que se había pensado para los proveedores de servicios de pago europeos. A medida que el 14 de septiembre, la fecha límite para la implementación de la SCA estipulada por la UE, se acerca, muchas instituciones financieras y proveedores de servicio aún se encuentran muy lejos de satisfacer los requisitos de la normativa. Salvo que los organismos reguladores nacionales retrasen la fecha límite, muchos observadores temen que esto supondrá una catástrofe para las empresas de venta online. 

La SCA, un protocolo de autenticación de seguridad de doble verificación que la Autoridad Bancaria Europea (ABE) estableció como parte de los Estándares Técnicos Regulatorios de la PSD2, se ha convertido en un punto de conflicto en lo referente a la implementación de la PSD2 durante los últimos meses. Se considera que el protocolo de seguridad es un elemento fundamental para el futuro del Open Banking

Con arreglo al protocolo, que será aplicable a la mayoría de las transacciones online superiores a € 30 (£ 26,95), la autenticación del pago se debe realizar mediante dos elementos diferentes de entre tres posibles opciones. Sin embargo, hasta hace poco, la mayoría de los bancos y proveedores de servicio suponían de forma errónea que los datos de la tarjeta de crédito/débito, un paso de autenticación muy simplista en el mundo de la seguridad de pagos, serían un elemento válido. Pero la ABE ha acabado con estas esperanzas. 

En su declaración del pasado junio, la ABE aclaró cualquier interpretación errónea, y anunció que los datos de la tarjeta de crédito/débito no cuentan como elemento de autenticación para cumplir con la normativa de la SCA. Esto ha provocado que muchos bancos y proveedores de servicios europeos vuelvan al punto de partida, con la necesidad de encontrar un elemento de seguridad para su sustitución. 

«La solución que mayoritariamente se ha planteado la banca para autenticar las transacciones, usar los datos de tarjeta con un OTP (password de un solo uso), no va a ser suficiente según la EBA» declaró Marc Nieto, director general y socio fundador de MPServices, un servicio de asesoramiento que se especializa en la prevención y gestión del fraude para las empresas de comercio electrónico.

El anuncio de la ABE en junio supuso un severo contratiempo para muchas entidades que creían estar en el camino correcto para cumplir con los requisitos de la SCA antes de la fecha límite. Estas empresas ahora necesitan revisar su infraestructura de autenticación de seguridad de doble verificación, así como las cuatro posibles configuraciones que estos elementos pueden tener. 

Con arreglo a la ABE, existen tres factores a los que las empresas que cumplen con la SCA se deben adherir: posesión, conocimiento e inherencia. 

Nieto afirma que «en este contexto, la posesión representa algo que el usuario posee, como, por ejemplo, su teléfono; el conocimiento representa algo que saben, como su contraseña; y la inherencia representa algo intrínseco, como, por ejemplo, un escaneo de retina o huella».

La ABE reconoció recientemente la complejidad de cumplir con estos requisitos y la falta de preparación de muchas partes involucradas del sector, además del posible impacto que puede tener en los consumidores. En su informe de junio, la ABE declaró que permitiría algunas empresas, de forma excepcional, ampliar el plazo límite si las autoridades nacionales daban su consentimiento.

La escalada de los ciberdelitos

La ABE argumenta que la exigencia de la autenticación de seguridad de doble verificación es necesaria debido al aumento de la popularidad de las compras online, lo que ha coincidido con un estratosférico aumento del índice de los delitos informáticos. Según un estudio reciente, hubo un total de 150 millones de ciberataques en el comercio electrónico mundial durante el primer trimestre de 2018, lo que supuso un incremento del 88% en comparación al mismo periodo del año anterior.

Y a pesar de que las empresas de venta online permanecen totalmente expuestas a las pérdidas asociadas con estos ciberataques, también están preocupadas con las expectativas de la llegada de la SCA. Esta mayor autenticación de seguridad reducirá drásticamente los delitos informáticos (algunas estimaciones predicen una reducción a una décima parte), pero las empresas de venta online aseguran que la introducción de los estándares de la SCA también tendrá un impacto negativo en los ingresos generados por las compras online. 

Y este descenso puede afectar a empresas de todos los tamaños. Los gigantes del comercio electrónico como Amazon han advertido que una implementación de la SCA precipitada podría tener unas consecuencias nefastas, mientras que algunas empresas pequeñas predicen el registro de fallos en más de un cuarto de los pagos con la SCA. Además, la introducción de la SCA también podría ocasionar un incremento de los costes, lo que tendría un tremendo impacto en las empresas pequeñas, que se verían obligadas a absorber los costes para actualizar su infraestructura de seguridad. 

Un informe de junio, llevado a cabo por el proveedor de pagos online Stripe, preveía que Europa corre el riesgo de perder € 57 mil millones en su actividad económica en los primeros 12 meses desde la entrada en vigor de la SCA. Además, Stripe afirmó que se estima que solo el 44% de los negocios cumplirá con las nuevas normativas a mediados de septiembre. (Una falta de preparación que no es una sorpresa para muchos).

Para el consumidor online, la experiencia de compra puede empeorar, lo que se traduciría en una peor experiencia del consumidor. Algunos analistas han desvelado que muchas empresas de venta online ubicadas en Europa están considerando la implementación de procesos de autenticación de seguridad excesivamente complejos, con flujos de redirección web de 17 pasos. Esto puede hacer que la experiencia del usuario sea verdaderamente negativa, lo que disminuiría los índices de conversión y afectaría a los resultados finales de muchas empresas de venta online. 

Un retraso inevitable

Con el fantasma del Brexit ya causando una importante ansiedad económica a través de Europa, es importante que no se realice una implementación nefasta de la PSD2 y la SCA, que empeore la situación. Con el objetivo de mitigar nuevas incertidumbres en el mercado, algunos países de la UE han comenzado a reaccionar, anunciando que pospondrán los plazos límites de la SCA, para conceder más tiempo a fin de que las empresas encuentren mejores soluciones de autenticación de pago. 

En agosto, el Banco Central de Irlanda decretó que retrasaría la fecha límite para la implementación de la SCA, afirmando que «reconoce las dificultades» de la fecha límite, y establecería nuevos plazos de tiempo para su entrada en vigor. 

Este anuncio fue seguido rápidamente por la Autoridad de Conducta Financiera británica (FCA), que ya había recomendado la extensión de la fecha límite de la SCA. Poco después, el organismo regulador confirmó una prórroga de 18 meses, siempre y cuando las empresas puedan demostrar que «están llevando a cabo las acciones necesarias para cumplir con el plan [de la SCA]».

Otros organismos reguladores financieros nacionales también tienen previsto anunciar esta aparente inevitable prórroga. La Autoridad Federal de Supervisión Financiera alemana, por ejemplo, expresó que «hay temor de que el 14 de septiembre las empresas no puedan utilizar los pagos con tarjeta de crédito», y admitió que muchas empresas en la economía más grande de la UE «no están lo suficientemente preparadas para la entrada en vigor de la SCA». 

La EPSM, un grupo del sector de los servicios de pago europeo, se ha referido a la inminente fecha límite como «un desastre para los consumidores y los proveedores de servicio de pago» y advirtió acerca de las «importantes alteraciones del mercado», recomendando que los organismos pertinentes tomaran medidas inmediatas para posponer la implementación de la SCA. 

De hecho, la asociación de pagos estima que la extensión propuesta de 18 meses no es suficiente, y ha solicitado una ampliación de la fecha límite de hasta 36 meses para las empresas involucradas en «aplicaciones que supongan un reto», que incluyen el sector de la hostelería y el turismo. 

Sin embargo, no todos los mercados se comportan del mismo modo en la carrera para implementar la estandarización. Algunos países de la UE han estado a la cabeza en lo referente a la autenticación de seguridad avanzada, y no muestran ninguna preocupación para implementar con éxito los prerrequisitos técnicos del Open Banking.

En los Países Bajos, las empresas ya están «bien preparadas», afirmó un portavoz del organismo regulador holandés DNB, quien añadió que los Países Bajos ya implementaron una autenticación reforzada del cliente en 2005. 

Siguiendo las recomendaciones de la EPSM, el organismo regulador francés Banque de France publicó un reciente informe anual, en el que declaraba que ha creado un plan de migración con múltiples pasos. Conforme al denominado Observatorio para el plan de los Instrumentos de pago de seguridad, Francia pretende que la gran mayoría de empresas cumplan con la SCA antes de diciembre de 2020, y estima que la migración total estará completada en 2022.

En el momento de la redacción de este documento, la Autoridad de Supervisión Financiera de Polonia y el Banco de Italia estaban llevando a cabo negociaciones para emitir un comunicado en relación a las declaraciones de junio del BCE, mientras que el Banco de Grecia parece preparado para seguir el ejemplo del Reino Unido y emitir una prórroga de 18 meses. 

Permanecer atento a las novedades

Independientemente de las condiciones específicas de cada país, parece muy poco probable que la SCA entre en vigor para la mayoría de los países europeos a corto plazo. Si los bancos y proveedores de servicios pretenden satisfacer los requisitos en el futuro, necesitarán actualizar su infraestructura tecnológica y conocimiento, en particular mediante el uso de nuevas herramientas y tecnologías de la API. 

«La directriz para la SCA es muy prescriptiva», aseguró el experto en la SCA Mike Lynch, encargado principal de productos y de la estrategia de Deep Labs, en una entrevista para Computer Business Review, «y en mi opinión ha sido muy clara, pero exige un profundo conocimiento de los componentes técnicos y de seguridad para que se puedan satisfacer los requisitos».

También es posible que el BCE eche marcha atrás y anuncie una prórroga para todos los países europeos. Nieto comenta que «es posible que se aplique una moratoria de 18 meses a través de Europa, pero los detalles particulares, como los plazos de tiempo, los criterios de medición que se utilizarán y otras características, no se han determinado todavía». «En estos momentos hay mucha incertidumbre, lo que significa que viviremos algunos meses que, de alguna manera, traerán consigo inestabilidad», añadió. 

Recomienda que todas las empresas «permanezcan atentas a las novedades» y se mantengan informadas a través de fuentes de información diferentes a los proveedores de servicio de pago en caso necesario. 

Una cosa es cierta: ahora que la mayoría de las organizaciones son conscientes de la necesidad de disponer de soluciones de seguridad más complejas, es el momento de ponerse manos a la obra.

Compartir:

Artículos Relacionados

Cientos de empresas ya se benefician de nuestros servicios.

Nos encantaría ayudarte a ti también.

Mándanos un mensaje y nuestro equipo estará en contacto muy pronto.

Cientos de empresas ya se benefician de nuestros servicios.
Nos encantaría ayudarte a ti también.

Mándanos un mensaje y nuestro equipo estará en contacto muy pronto.