BeTech: noticias de tecnología

COMPRAS ONLINE

La UE modifica los pagos online con su nueva normativa, la PSD 2

La Segunda Directiva de Servicios de Pago ya ha entrado en vigor y tiene por objetivo reforzar la seguridad.

La UE modifica los pagos online con su nueva normativa, la PSD 2

Los pagos online a través de la Red llevan décadas instaurados, pero no ha sido hasta las dos últimas que han crecido y prácticamente se han convertido en los favoritos de gran parte del mundo. Es cómodo pagar por internet, es rápido, pero a veces puede ser muy inseguro, motivo por el cual la Unión Europea ha lanzado una nueva directiva llamada PSD 2 para hacer más seguros los pagos online en todo el territorio UE entre usuarios y empresas.

La PSD2

La Segunda Directiva de Servicios de Pago (PSD2) es una normativa que tiene por objetivo reforzar la seguridad de los servicios de pagos digitales y disminuir los fraudes que se producen al realizar transacciones online. La normativa PSD2 entró en vigor el pasado 14 de septiembre de 2019 y es de obligado cumplimiento para todas las empresas del Espacio Económico Europeo que realicen transacciones online.

La “Autenticación reforzada” o SCA es uno de los requisitos impuestos por la normativa por la que se obliga a un comercio a hacer una autenticación múltiple del cliente. El objetivo con esto es confirmar que efectivamente es el mismo titular quien se está encargando de realizar la compra online. De hecho, desde el 14 de septiembre los bancos podrán rechazar pagos que no cumplan con este requisito.

Cómo afecta la PSD 2 al usuario

¿En qué nos afecta en última instancia a los usuarios esta nueva normativa para las empresas y comercios? Básicamente en que ahora todo se hará a través del móvil, descartándose los elementos como las tarjetas de coordenadas -la típica tarjeta física que te da el banco con una serie de códigos PIN que usar para validar una operación cuando compras online. Según la OSI, la Oficina de Seguridad del Internauta, “vas a necesitar tu dispositivo móvil para poder hacer compras por Internet, ya que, desde que esta medida es obligatoria, la identificación mediante tarjetas de coordenadas desaparece”.

A partir de ahora, cada entidad bancaria decidirá “cómo consigue identificarte de forma inequívoca utilizando como mínimo un doble factor de autenticación. Algunos bancos solicitarán a sus clientes instalar una aplicación en su dispositivo móvil y otros les enviarán un código por SMS”.

Los métodos que la SCA exigirá y excepciones

La Autenticación reforzada demandará que las empresas deban usar un mínimo de 2 de los 3 métodos siguientes de autentificación:

  • Algo que posee el usuario: como por ejemplo un móvil.
  • Algo que conoce el usuario: como por ejemplo un PIN o una contraseña.
  • Algo inherente al usuario: como por ejemplo reconocimiento biométrico o voz.

Además, uno de los tres métodos deberá cumplir los siguientes requisitos o no será válido:

  • Preservará la confidencialidad del resto de elementos de autenticación;
  • No podrá ser replicable, ni reutilizable;
  • No podrá ser robado a través de Internet.

Como en todo proceso, hay excepciones, y ni las empresas ni el usuario tendrán que cumplir la nueva normativa de la UE en los siguientes casos:

  • Los pagos por debajo de 30€ no necesitan autenticación del cliente. Sin embargo, si se realizan varios pagos inferiores a esa cantidad que superen los 100€ o superan la cantidad de 5 transacciones, el banco exigirá una autenticación.
  • Los pagos que se realicen de manera recurrente o fijos quedaran exentos tras aplicarse la SCA para el primero de ellos. Las transacciones recurrentes iniciadas con anterioridad a la obligación de la PSD2 no tendrán que ser autenticadas.
  • Comercios de confianza en los que el usuario ha agregado a su “lista blanca”.
  • Aquellos pagos en los que una de las partes se encuentre fuera del Espacio Económico Europeo.
  • Los pagos realizados en persona también quedarían exentos de la normativa, a menos que el pago sea realizado por medio de la tecnología “contactless” y supere la cantidad de 50€.
  • Pagos realizados con tarjetas corporativas.
  • Ventas por teléfono.
  • Operaciones cuyo pago se ha iniciado por teléfono o correo electrónico.

Garantías

Según la OSI, es importante que “entiendas y conozcas cuáles son las garantías que ofrecen las medidas implementadas”:

  • Si algo falla durante el proceso de autenticación, no se debe poder saber qué elemento de autenticación era incorrecto.
  • El número de intentos fallidos para bloquear de manera temporal o definitivo al usuario será de máximo 5 intentos en un tiempo determinado.
  • Las sesiones de comunicación estarán cifradas y protegidas contra manipulación por personas no autorizadas.
  • Después de la autenticación, el usuario no podrá permanecer inactivo más de 5 minutos