Skip to content
Fragmento
Recursos
Autenticación Reforzada de cliente (SCA)

Introducción a la Autenticación Reforzada de Cliente (SCA)

Escrito por

Última ediciónene 20205 min de lectura

Obten toda la información clave sobre la SCA, así como cuándo y dónde se aplicará.

Introducción a la PSD2

La PSD2 es la segunda Directiva sobre los servicios de pago europeos.

La directiva se basa en tres aspectos clave de la legislación introducidas por primera vez en la Directiva original de 2007. Dentro de los puntos importantes se incluye el aumento de los derechos de los consumidores a los pagos que permiten, mediante regulación, el acceso a la información de la cuenta de terceros y a una seguridad que está reforzada.

La seguridad reforzada se refiere al conjunto de requisitos denominados Autenticación Reforzada del Cliente (SCA) que implica en gran medida a cualquier empresa con presencia online.

Esta guía se adentra en la SCA, a quién y a qué afecta y cómo las empresas pueden prepararse para la entrada en vigor de los requisitos.

¿Qué es la SCA?

La Autenticación Reforzada de Cliente es un conjunto de requisitos reglamentarios, diseñados para hacer que el pago online sea más seguro y, en consecuencia, reducir el fraude en los pagos.

La SCA añade una capa adicional de seguridad cuando los clientes finales realizan un pago online. Hasta ahora, los compradores podían simplemente introducir sus datos de pago y completar su compra (aunque algunas empresas eligen voluntariamente solicitar una nueva autenticación).

La SCA es una forma de autenticación de 2 factores diseñada para demostrar que los clientes finales son quienes dicen ser, con reglas específicas que constituyen la "Autenticación".

Es necesario dos formas de validación de las tres categorías disponibles.

¿Cómo funciona la SCA?

¿Qué supone el método de Autenticación?

Existen tres categorías válidas para la autenticación disponibles como parte de la SCA. Dentro de cada categoría, hay una serie de métodos potenciales para satisfacer esa categoría.

Las tres categorías son:

  • Conocimiento (algo que solo el pagador sabe) - los ejemplos incluyen una contraseña, PIN, frase o información / respuesta secreta

  • Posesión (algo que solo el pagador posee) - los ejemplos incluyen su teléfono móvil, reloj inteligente, tarjeta inteligente o token

  • Herencia (algo que el pagador es): los ejemplos incluyen una huella digital, reconocimiento facial, patrones de voz, firma de ADN o su iris

Solo cuando el pagador haya proporcionado dos de estas formas de Autenticación, se les permitirá completar su pago.

guides > images > sca-es-1

El 21 de junio de 2019, la EBA (European Banking Authority) lanzó una nueva opinión sobre lo que puede constituir un elemento compatible de inherencia, posesión y conocimiento en cada una de las tres categorías. También estableció los requisitos adicionales sobre la conexión dinámica y la independencia de los elementos.

¿En qué transacciones se aplica la SCA?

La incorporación de la SCA se realiza para que la gestión del dinero y los pagos online sean más seguros y para reducir el fraude en estos procesos. En un nivel alto, se requerirá la SCA cuando un pagador transfiera fondos o acceda a la información de su cuenta.

En particular:

  • Cada vez que un pagador accede a su cuenta de pago online

  • Al iniciar una transacción de pago electrónico

  • Al realizar cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otro abuso

Es muy probable que el principal impacto sea sobre los pagos con tarjeta y las transferencias bancarias. La razón es que los pagos con tarjeta son instantáneos e iniciados por el cliente final, y el pago o el consentimiento para acceder a los datos de la cuenta es instantáneo, lo que genera riesgos.

Existe una serie de exenciones donde ciertas acciones y transacciones no requerirán la SCA.

¿Se aplica la SCA a los pagos recurrentes?

Cuando los pagos son iniciados por el cliente final, la SCA solo se aplicará al primer pago en un conjunto de pagos recurrentes por la misma cantidad. Sin embargo, si éste cambia, entonces se aplicará la SCA.

Cuando los pagos son iniciados por el comerciante que recibe el dinero, la SCA generalmente (aunque no en el caso de las domiciliaciones bancarias estándar) se requerirá para el primer pago de una serie de pagos recurrentes. Mientras los pagos posteriores sean iniciados por el comerciante, no se requerirá la SCA adicional siempre que las cantidades que se cobren estén dentro de la expectativa razonable del cliente final.

Esto significa que las empresas de suscripción, las empresas de SaaS y las empresas de membresía deberán prepararse para la SCA

Sin embargo, existen exenciones múltiples a la SCA, incluidas algunas que beneficiarán a las empresas con ingresos recurrentes.

Por qué se está implantando la SCA

La SCA es parte de la PSD2. Uno de los objetivos de la PSD2 es brindar protección a los consumidores.

Desde la implementación de la PSD original ha habido nuevos avances tecnológicos en el mercado de los pagos, que han visto un aumento de Terceros Proveedores (TPP). Estos TPP ofrecen formas nuevas e innovadoras de acceder a la información de la cuenta de los consumidores e iniciar pagos.

Sin embargo, abrir el acceso a las cuentas de los consumidores de esta manera supone un mayor riesgo de seguridad, y la compensación es una regulación estricta sobre cómo los TPP y los proveedores de servicios de pago obtienen acceso a estas cuentas.

En resumen, la SCA tiene como objetivo mejorar la seguridad de las transacciones online de los pagadores y reducir el fraude en los pagos.

El coste del fraude

La SCA está diseñada para reducir el fraude en las transacciones online, pero ¿cuál será su impacto?

La Europol ha estimado que el fraude con tarjeta no presente representó el 66% de los 144.000 millones de euros de transacciones fraudulentas con tarjeta en 2013. En 2016, el Banco Central Europeo (BCE) calculó que el coste total del fraude en pagos con tarjeta alcanzó los 18.000 millones de euros. Reino Unido, Francia y Dinamarca sufrieron las tasas más altas de fraude con tarjetas.

En España, el Banco de España señala que se registraron más de 590.000 operaciones fraudulentas con tarjetas bancarias por un importe de 40 millones de euros en 2017.

Cualquier reducción de la tasa de fraude podría suponer un ahorro significativo en toda Europa.

¿Dónde y cuándo entra en vigor la SCA?

La SCA (como parte de la PSD2) es un requisito a nivel europeo que se requerirá para cualquier transacción aplicable en la que tanto el proveedor de servicios de pago comercial como el proveedor de tarjeta o banco del pagador se encuentren dentro del Espacio Económica Europea (EEE). Si uno de éstos se encuentra fuera de Europa, el requisito es que el proveedor de servicios de pago en Europa realice sus "mejores esfuerzos" para aplicar la SCA.

Esto supone que si una empresa tiene su sede fuera del EEE; pero realizan pagos online a pagadores en el EEE, esas transacciones pueden estar sujetas a la SCA.

Es muy probable que la SCA continúe aplicándose en el Reino Unido, independientemente del resultado o el calendario de Brexit. La FCA ha dejado en claro sus planes: quiere que la SCA se siga aplicando. No ha habido ninguna sugerencia de lo contrario por parte de otros reguladores europeos.

El papel en la SCA de la Autoridad Bancaria Europea

La Autoridad Bancaria Europea (EBA) es una autoridad independiente de la UE que trabaja para garantizar una regulación y supervisión prudencial efectiva y coherente en todo el sector bancario europeo. Sus objetivos generales son mantener la estabilidad financiera en la UE y salvaguardar la integridad, la eficiencia y el funcionamiento ordenado del sector bancario.

La EBA ha publicado las Normas Técnicas de Reglamentación (RTS) que describen el mandato completo de la SCA para el EEE.

Sin embargo, las autoridades competentes de los países del EEE, como la FCA en el Reino Unido o BaFin en Alemania, serán responsables de hacer cumplir la SCA cuando entre en vigor.

¿Cuándo entra en vigor la SCA?

Actualmente, está previsto que la SCA entre en vigor en el Espacio Económico Europeo el 14 de septiembre de 2019.

Sin embargo, el 21 de junio de 2019, tras la presión de organismos de la industria de toda la UE, la EBA confirmó que los reguladores de la UE (como el FCA) pueden "trabajar con los PSPs y los stakeholders, incluidos los consumidores y los comerciantes, para proporcionar un tiempo adicional y limitado para permitir a los emisores migrar a enfoques de la autenticación que sean compatibles con la SCA ".

Esto significa que algunos PSPs se les puede permitir una entrada posterior, también conocido como un período de "preparación operativa", durante el cual la FCA y otros reguladores no pueden tomar medidas para su aplicación.

El plazo general para cualquier demora en la implementación aún se está definiendo, pero se ha sugerido que durará aproximadamente 18 meses a partir de septiembre de 2019, la fecha prevista inicialmente para la entrada en vigor de los nuevos requisitos.

Seguridad vs conveniencia en la experiencia de pago

¿Qué es lo que más le importa a los compradores online?

Consigue los resultados

SiguientePrepara tu negocio para la SCA

Todas las categorías

PagosFlujo de cajaCrecimientoFinanzasEmpresaContabilidadGoCardless