• Favorito / Compartir

Compras online: cómo funciona la nueva autenticación reforzada

PSD2
El pasado 14 de septiembre entraron en vigor los últimos cambios de la normativa sobre los servicios de pago (PSD2) que, persiguen mejorar la seguridad de los pagos que se realicen en internet y aumentar la protección contra el fraude en las transacciones y en las compras que realicemos en la red.

Una de sus principales novedades y una parte fundamental de la normativa es la Autenticación Reforzada de Clientes (“Strong Customer Authentication” o “SCA”) que supone un cambio en la manera de operar de los usuarios bancarios y protegerá aún más nuestras operaciones bancarias, desde las transferencias a las compras en comercios online o pagos en establecimientos.

En el siguiente reportaje del Portal del Consumidor de la Comunidad de Madrid detallamos las principales características de la autenticación reforzada, las excepciones y otros aspectos de la seguridad de nuestros datos bancarios.

Autenticación reforzada: principales características

Como comentábamos al principio del reportaje, desde el pasado 14 de septiembre, las entidades bancarias, así como otros proveedores de pago, deberán aplicar la autenticación reforzada en las operaciones de sus clientes. Esto incluye las operaciones de acceso a nuestra cuenta en internet, las operaciones de pago electrónico, así como las acciones que se realicen desde un canal remoto y puedan entrañar un riesgo de fraude en el pago.

Esta autenticación está basada en la utilización de dos o más elementos de identificación que sean exclusivos del usuario de servicios bancarios. En concreto, son tres elementos, independientes entre sí y están concebidos de manera que se proteja la confidencialidad de los datos de identificación.

  • Conocimiento. Algo que solo conoce el cliente, como una clave.
  • Posesión. Algo que solo posee el cliente, como un teléfono móvil.
  • Inherencia. Algo que es el cliente, como su huella dactilar.

Asimismo, al menos uno de estos elementos debe cumplir las siguientes cualidades: preservar la confidencialidad del resto de elementos de autenticación, no ser replicable, ni reutilizable, así como que no se pueda robar por internet.

En la práctica, esto significa que cuando queramos realizar una compra en un establecimiento, hacer compras online o realizar una transferencia a otro banco, deberán solicitarnos al menos dos de estos tres elementos:

  • Acceso y uso de cuentas de pago. Es uno de los cambios más destacados de esta nueva normativa. Para realizar transferencias bancarias, pagos con la cuenta bancaria, incluso antes de entrar a comprobar nuestros datos, es posible que le pidan una clave, además de la clave que se utiliza para entrar en la cuenta.
  • Compras online. Además de introducir los datos de nuestra tarjeta de crédito (posesión), cuando compremos por internet, es posible que nos envíen un mensaje con un código al teléfono móvil (conocimiento) para que introduzcamos al hacer el pago.
  • Compras en los establecimientos. Cuando realicemos compras con tarjeta de crédito, nos solicitarán el código pin de la tarjeta con la que operamos (conocimiento), y otro sistema de autenticación, como un mensaje al móvil o a la aplicación de la entidad bancaria.

Asimismo, la nueva normativa establece el número máximo de intentos para aplicar la autenticación reforzada, que fija en cinco, así como el tiempo máximo de espera para aplicarlo, que son cinco minutos, cuando debemos introducir un código de validación que se envía al móvil.

Es conveniente que consulte con su entidad bancaria las nuevas condiciones y utilice distintas claves para cada servicio. Es probable que durante el mes de septiembre haya recibido un correo electrónico informándole de esta nueva situación, no obstante, si tiene alguna duda, consulte con su banco.

Para permitir la adaptación a esta nueva normativa, en especial, de los comercios y las empresas online, el Banco de España ha otorgado una moratoria para su cumplimiento que permita que estos comercios adapten sus pasarelas de pago para que la autenticación reforzada sea obligatoria. Es por ello, por lo que aún a día de hoy, puede que no todos los comercios online pidan una doble autenticación en sus compras.  

PSD2

Excepciones a la autenticación reforzada

Existen operaciones de pago que están excluidas de tener que realizar la autenticación reforzada, entre ellas, aquellas en las que el nivel de riesgo que entraña el servicio no es elevado, el importe de la operación no es alto o es un pago que se repite con frecuencia. Las entidades financieras no están obligadas, por tanto, a aplicarle la autenticación reforzada, entre otras, en:

  • Información de cuenta de pago. Incluye tanto las visitas a tu cuenta de pago para consultar el saldo o realizar operaciones de pago con ella. En este caso, se deberá aplicar la autenticación reforzada la primera vez que se accede a la cuenta y después cada 90 días.
  • Importes de pequeña cuantía. Pagos iguales o inferiores a 30 €, si desde la última operación autenticada el importe ha sido inferior a 100 euros o menos de 5 operaciones.
  • Pagos sin contacto (contactless) en el punto de venta. Cuando se realice una compra en un establecimiento, podrá no aplicarse la autenticación reforzada en pagos inferiores a 50 € y además que el importe acumulado de las operaciones previas no exceda los 150 € o que el número de operaciones consecutivas con esa tarjeta no exceda de cinco.
  • Operaciones frecuentes. En el caso de suscripciones o pagos repetitivos, la autenticación reforzada será necesaria solamente en el primer pago. De esta forma, si se realiza una suscripción a algún servicio, el primer pago se deberá confirmar.
  • Para las operaciones cuyo pago se haya iniciado por teléfono o correo electrónico.
  • Operaciones en las que la entidad emisora o receptora esté fuera del Espacio Económico Europeo.

Otras cuestiones de interés

Asimismo, las entidades financieras, están obligadas a cumplir una serie de requisitos para proteger las cuentas bancarias de sus clientes, entre otras, tienen la obligación de:

  • Garantizar que solo pueda acceder a los elementos de seguridad el titular. Las entidades financieras son responsables de los riesgos derivados del envío de las tarjetas, números PIN o claves de acceso para poder realizar pagos a través de internet.
  • Disponer de medios gratuitos para que los usuarios puedan denunciar la pérdida, robo o uso indebido del instrumento de pago. Además, tienen obligación de mantener un registro de la denuncia durante al menos 18 meses.
  • Recuerde que está prohibido que bancos y cajas envíen instrumentos de pago (tarjetas de crédito, débito) no solicitados por el cliente, salvo que se trate de una sustitución de la tarjeta que ya tiene el usuario.
  • En caso de robo o pérdida del instrumento de pago, el usuario solo responde por los pagos fraudulentos que se realicen antes de denunciar la pérdida o robo hasta la cantidad de 50 euros.

Puede, además, consultar más información sobre los servicios de iniciación de pagos e información de cuentas, en el siguiente reportaje del Portal del Consumidor.

Reclamaciones

Si tiene algún problema con estos servicios de pago o la autenticación reforzada, en primer lugar, puede reclamar al Servicio de atención al cliente u órgano equivalente de la entidad bancaria o del proveedor de servicios de pago con el que tiene el problema. Tendrán 15 días hábiles desde la recepción de la reclamación para dar respuesta a sus cuestiones planteadas. En el caso de que la entidad no pueda ofrecerle una respuesta en el plazo de los 15 días, deberá remitirle una respuesta provisional, indicándole el nuevo plazo de respuesta definitiva, que no podrá ser superior a un mes.

En caso de no recibir respuesta satisfactoria, o si no ha obtenido ninguna, puede dirigirse al Servicio de Reclamaciones del Banco de España.