SCA: Todo sobre la autenticación reforzada de clientes

¿Qué es SCA?

 

La Autenticación Reforzada de Clientes, también conocida como "Strong Customer Authentication" o "SCA" por sus siglas en inglés, supone la aplicación de nuevas medidas de seguridad que harán que los pagos con tarjeta sean aún más seguros, ya que será la forma en la que vamos a identificarte cuando ordenes pagos en comercios presenciales o por internet.

  

Para las compras online realizadas con tarjetas, SCA, comenzaron a aplicarse:

• En las compras presenciales, a partir del 14 de septiembre de 2019.

• En las compras online, obtuvo su plena implementación el 31 de diciembre de 2020.

Estas nuevas medidas de seguridad se han introducido a través de la nueva Directiva de Servicios de Pago, también conocida como PSD2, una norma de obligado cumplimiento para todos los proveedores de servicios de pago (como los bancos) que estemos dentro del Espacio Económico Europeo.

 

Han sido diseñadas para darte aún más confianza y protección al pagar. Unos pequeños cambios que harán tus compras más seguras.

 

Entonces, ¿son seguros los pagos realizados hasta ahora?

Que no cunda el pánico, ¡claro que eran seguros! Pero debido a la evolución de la tecnología, cada vez son más los pagos que se hacen a través de nuevos dispositivos. Han surgido nuevos tipos de servicios de pago y la Unión Europea ha visto necesario introducir nuevas medidas de seguridad en los pagos para reforzar la confianza de los consumidores en un mercado que cada vez se apoya más en las nuevas tecnologías.

 

Estas nuevas medidas de seguridad se han introducido a través de la nueva Directiva de Servicios de Pago, también conocida como PSD2, una norma que tenemos que cumplir todos los proveedores de servicios de pago (como los bancos) que estemos dentro del Espacio Económico Europeo.

 

SCA para pagos en comercios Online

 

 Actualmente la autenticación de los clientes en los comercios online seguros se hacía pidiéndole al cliente la introducción del número de la tarjeta, la fecha de caducidad, su CVV, y la clave de un solo uso OTP que se manda al móvil por sms.

 

A partir del momento en que se solicite la Autenticación Reforzada de Clientes (SCA), cuando un cliente compre en tu comercio virtual, le pediremos que introduzca el número de la tarjeta y la fecha de caducidad, pero además, el banco emisor de la tarjeta que use para comprar le pedirá 2 de los siguientes 3 tipos de factores de autenticación:

 

• Conocimiento: algo que sabe. Por ejemplo, su contraseña de acceso a la banca electrónica, o determinadas posiciones del PIN de su tarjeta.

• Posesión: algo que posee. Por ejemplo, la App del banco vinculada a su Smartphone, o el móvil  en el que recibe las contraseñas de un solo uso que le enviamos por SMS.

• Inherencia: algo que "es". Por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.

 

Como banco emisor, a los clientes titulares de nuestras tarjetas vamos a pedirles los factores de autenticación que les resulten más cómodos y fáciles de usar ajustándonos a sus preferencias en cuanto al uso de la tecnología y a la  forma en la que se relacionan con nosotros.

 

Todo ello deberá efectuarse a través de un protocolo seguro, por lo que los comercios que no lo sean, deberán migrar a 3DSecure. Para migrar a este tipo de protocolo la Entidad financiera que ofrece la Pasarela de Pagos online es la que fijará los pasos necesarios para actualizarla.

 

SCA para pagos tiendas físicas

 

La autenticación reforzada supone que los titulares de tarjetas tendrán que identificarse ante la entidad emisora de su tarjeta utilizando al menos dos factores de autenticación cuando realicen determinados pagos electrónicos. Así, la entidad emisora pedirá al titular 2 de los siguientes 3 tipos de factores de autenticación o elementos identificativos de seguridad:

 

• Conocimiento: algo que sabe. Por ejemplo el PIN de la tarjeta.

• Posesión: algo que posee. Por ejemplo, la propia tarjeta de pago.

• Inherencia: algo que "es". Por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.

 

En este ámbito el cambio no ha sido muy grande ya que la operatoria con tarjetas con chip (factor de posesión) y PIN (factor de conocimiento) estaban ampliamente implantadas. El titular de la tarjeta lo que sí ha notado es que al comprar el terminal le suele pedir que introduzca su PIN con más frecuencia, incluso aunque se trate de importes inferiores.

 

 

¿ENTONCES ME PEDIRÁN SCA SIEMPRE?

No, habrá muchos pagos en los que no te pediremos SCA. La normativa quiere generar seguridad pero también comodidad en función del tipo de orden u operación de pago.

 

Por un lado, hay varios tipos de pagos que, por su propia naturaleza, la PSD2 las excluye del requisito de solicitar autenticación reforzada. Se trata, por ejemplo, de las ventas por correo o por teléfono, o los pagos periódicos por determinadas suscripciones a productos o servicios (por ejemplo, plataformas de contenido multimedia donde ves tus series favoritas).

 

Además, dependiendo de si el pago supone poco riesgo, la PSD2 nos permite eximir del requisito de autenticación reforzada.

 

¿ESTOY MENOS PROTEGIDO CUANDO NO ME SOLICITAN QUE INTRODUZCA SCA EN COMPRAS POR INTERNET?

No, cuando realices cualquier pago con tarjeta siempre estarás protegido, ya que si no te solicitamos el PIN en compras presenciales o los 2 factores de autenticación, es porque el tipo de operación presenta menor riesgo y el legislador ha considerado oportuno que no hará falta exigirlo.

 

Tengo una tienda, ¿todas las operaciones en ella serán con autenticación reforzada de clientes (SCA)?

 

No, hay que tener en cuenta que existen una serie de excepciones y exenciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.

 

Así, hay varios tipos de pagos que, por su propia naturaleza, la PSD2 los exceptúa del requisito de solicitar autenticación reforzada:

• Pagos con tarjetas prepago anónimas ya que al ser anónimas no es posible verificar la identidad del titular.
• Las llamadas transacciones MIT (Merchant Initiated Transactions): la normativa exige aplicación de la Autenticación Reforzada de Clientes (SCA) a los pagos electrónicos iniciados por el ordenante. Las operaciones MIT son pagos de productos o servicios sobre los que existe un acuerdo previo entre el comercio y el titular de la tarjeta que permite al comercio realizar los cargos sin que el titular tenga que realizar una acción anterior que los desencadene, y requieren SCA en la primera compra pero no en las siguientes (por ejemplo, pago de suscripciones, de suministros, o cargos extras en el alquiler de un coche o de una reserva hotelera). Son como operaciones de adeudo contra tarjetas.
• Operaciones MO/TO (Mail Order/Telephone Order), es decir, ordenadas por teléfono o por correo.
• Pagos realizados en redes limitadas.
• Operaciones en las que el banco emisor o el adquirente está fuera del Espacio Económico Europeo.

 

Además, legalmente se prevén una serie de exenciones en las cuales se permite que los bancos emisores de tarjetas no apliquen la Autenticación Reforzada de Clientes (SCA) por considerarse operaciones de menor riesgo. Estas exenciones son:

• Pagos por un importe inferior a 30€ y que el importe acumulado de las operaciones remotas iniciadas por el ordenante desde la última aplicación de la Autenticación Reforzada de Clientes no exceda de 100€ o que no exceda de 5 operaciones remotas de pago electrónico consecutivas.
• Pagos recurrentes, por la misma cuantía y al mismo comercio, se requiere Autenticación Reforzada en la primera transacción. Las suscripciones iniciadas con anterioridad al 14 de septiembre de 2019 no tendrán que ser objeto de Autenticación Reforzada.
• Pagos a los comercios de confianza del titular indicados como tal al banco emisor, también conocida como “listas blancas”.
• Algunos pagos corporativos.
• Pagos con bajo riesgo de fraude. 

 

Con carácter general, antes de solicitar SCA al cliente, los bancos emisores intentaremos aplicar una exención o una excepción de las descritas anteriormente, por lo que la experiencia de compra en muchos casos será idéntica a la actual.

 

¿Es obligatoria la SCA en comercios?

La PSD2 no obliga directamente a los comercios, sino a los proveedores de servicios de pago, pero no es posible pedir a los titulares de las tarjetas los dos factores de autenticación que se requieren para aplicar correctamente SCA, o bien decidir no pedírselos en los casos permitidos legalmente, sin la adaptación técnica de los terminales y pasarelas de pago de los comercios, siendo responsabilidad de las entidades Adquirentes hacer que sus comercios implementen las adaptaciones necesarias para poder cumplir con la norma, en los casos en que dicha actualización dependa del comercio, ya que habrá otros, en los que la actualización la podrá realizar el Adquirente.

 

Las entidades Emisoras pueden ser sancionadas con cuantiosas multas en caso de que no cumplan con los requerimientos de SCA por lo que podrán denegar la autorización de las operaciones de pago, en caso de que no puedan aplicar SCA, o no puedan estar seguras de que se trata de un pago no sujeto o exento de SCA, lo que tendría consecuencias directas para el comercio, que perdería ventas y clientes.

 

¿Las operaciones card-on-file (COF) con tarjeta tokenizada están exentas de SCA una vez que se registran en el comercio?

 

No, las COF se consideran operaciones de comercio electrónico y requerirían SCA salvo en los casos en los que se les pueda aplicar una excepción.

 

Una operación COF es una transacción en la que el comercio está haciendo uso de los datos del titular de la tarjeta (PAN o PAN tokenizado y fecha de caducidad), de los cuales el titular ha dado autorización explícita al comercio para almacenarlos y para utilizarlos en esta transacción y posteriores.

 

Gracias a la tokenización la numeración real de tu tarjeta no se empleará en el pago, si no que se sustituye por otro código numérico que será el utilizado en la transacción de pago.