En esta entrada nos centraremos en el concepto, funcionamiento y cuestiones que suscitan estos dos \u00faltimos respecto de la aplicaci\u00f3n de la autenticaci\u00f3n reforzada de usuario.<\/p>\n\n\n\n
El pr\u00f3ximo 14 de septiembre entrar\u00e1 en vigor una de las reformas m\u00e1s relevantes en cuanto a medidas de seguridad en los pagos comunitarios: la autenticaci\u00f3n reforzada o \u00abstrong customer authentication\u00bb establecida en la Directiva (UE) 2015\/2366 <\/a>sobre servicios de pago en el mercado interior o \u00abPSD2\u00bb.<\/p>\n\n\n\n La autenticaci\u00f3n reforzada <\/strong>de usuario (en adelante \u00abSCA\u00bb en sus siglas en ingl\u00e9s) es el m\u00e9todo por el que, cuando un usuario realice un pago electr\u00f3nico u online, o cuando acceda a trav\u00e9s a su informaci\u00f3n sobre pagos y movimientos, le ser\u00e1n solicitados unas credenciales reforzados en aras de asegurar su identidad y evitar fraudes, sobre todo los relacionados con el \u00abphishing\u00bb, que consistir\u00e1n en: <\/p>\n\n\n\n i. un c\u00f3digo de un solo uso;<\/p>\n\n\n\n ii. una vinculaci\u00f3n din\u00e1mica y; <\/p>\n\n\n\n iii. elementos de autenticaci\u00f3n.<\/p>\n\n\n\n El procedimiento por el cual un usuario se podr\u00e1 autenticar mediante la SCA consistir\u00e1 en los siguientes hitos: <\/p>\n\n\n\n i. en primer lugar, el usuario deber\u00e1 de identificarse utilizando dos de los tres elementos de autenticaci\u00f3n, los cuales, huelga decir, ser\u00e1n elegidos por el proveedor de servicios de pago o el servicio al que se acceda. Los elementos puestos a disposici\u00f3n por la PSD2 son:<\/p>\n\n\n\n a. un elemento de conocimiento, es decir, algo que s\u00f3lo el usuario pueda conocer (p.ej.: una contrase\u00f1a, clave o pin)<\/p>\n\n\n\n b. un elemento de posesi\u00f3n, es decir, algo que s\u00f3lo el usuario posea (p.ej.: un smartphone, un reloj inteligente, etc.);<\/p>\n\n\n\n c. un elemento de inherencia, es decir, una caracter\u00edstica \u00fanica del usuario o algo que \u00e9ste sea (p.ej.: una huella dactilar, huella facial biom\u00e9trica, etc.).<\/p>\n\n\n\n ii. en segundo lugar, una vez el usuario haya conseguido autenticarse se le solicitar\u00e1 un c\u00f3digo de autenticaci\u00f3n de un s\u00f3lo uso, como el que se nos solicita en muchos casos al realizar un pago online por la aplicaci\u00f3n de est\u00e1ndares de seguridad como el 3DSecure 1.0.<\/p>\n\n\n\n iii. por \u00faltimo, aunque esto no pueda considerarse un hito adicional en el proceso de autenticaci\u00f3n, sino m\u00e1s bien un requerimiento del legislador europeo, se solicita que el c\u00f3digo de autenticaci\u00f3n de un s\u00f3lo uso est\u00e9 vinculado a los datos de la operaci\u00f3n como el beneficiario o el importe.<\/p>\n\n\n\n Sin embargo, estos elementos de autenticaci\u00f3n no pueden ser aplicados sin tener en cuenta unos requisitos:<\/p>\n\n\n\n i. deben ser independientes, es decir, el acceso a uno de ellos no debe comprometer al otro.<\/p>\n\n\n\n ii. cada elemento se debe haber dise\u00f1ado para preservar la confidencialidad;<\/p>\n\n\n\n iii. uno de los elementos a usar debe ser no replicable y no reutilizable;<\/p>\n\n\n\n iv. y por supuesto, ninguno puede ser sustra\u00eddo por Internet.<\/p>\n\n\n\n Esta seguridad reforzada aplicar\u00e1 cuando (art. 97 PSD2): <\/p>\n\n\n\n i. el usuario acceda su cuenta de pago en l\u00ednea; <\/p>\n\n\n\n ii. se inicie una operaci\u00f3n de pago electr\u00f3nico; <\/p>\n\n\n\n iii. o se realice por un canal remoto cualquier acci\u00f3n que pueda entra\u00f1ar un riesgo de fraude en el pago u otros abusos.<\/p>\n\n\n\n No obstante, Europa ha establecido una serie de excepciones siempre que se cumplan una serie de condiciones (art. 10 y ss. del Reglamento Delegado (UE) 2018\/389):<\/p>\n\n\n\n i. al acceder a nuestra informaci\u00f3n financiera con m\u00e1ximo 90 d\u00edas de antig\u00fcedad, siempre que no se divulguen datos sensibles o no se haya aplicado la SCA en los \u00faltimos 90 d\u00edas; <\/p>\n\n\n\n ii. al realizar pagos electr\u00f3nicos por debajo de 50\u20ac, siempre que el importe acumulado de las anteriores operaciones no supere los 150\u20ac o se hayan realizado m\u00e1s de cinco operaciones sin que la SCA sea aplicada; <\/p>\n\n\n\n iii. cuando el usuario pague transportes o aparcamientos; <\/p>\n\n\n\n iv. cuando el usuario realice un movimiento hacia a un beneficiario de confianza, no siendo aplicable en el caso de creaci\u00f3n, modificaci\u00f3n o confirmaci\u00f3n de la lista de beneficiarios;<\/p>\n\n\n\n v. cuando se trate de operaciones frecuentes (salvo la primera vez); <\/p>\n\n\n\n vi. al realizar un intercambio de cr\u00e9ditos entre nuestras cuentas (de la misma entidad); <\/p>\n\n\n\n vii. al realizar pagos online por debajo de 30\u20ac, siempre que el importe acumulado de las anteriores operaciones no supere los 100\u20ac o se hayan realizado m\u00e1s de cinco operaciones sin que la SCA sea aplicada; <\/p>\n\n\n\n viii. cuando la operaci\u00f3n remota de pago est\u00e9 considerada como de riesgo bajo.<\/p>\n\n\n\n Analizado de forma superficial el funcionamiento y los casos de aplicaci\u00f3n y las excepciones; conviene detallar ciertas cuestiones que desde el punto de vista jur\u00eddico y de mercado son interesantes:<\/p>\n\n\n\n i. nos encontramos con una serie de medidas que en pro de la seguridad y la confidencialidad de los usuarios podr\u00edan hacer cierto da\u00f1o en la conversi\u00f3n de las potenciales compras en compras definitivas, pues el a\u00f1adir requisitos puede suponer que el usuario abandone el proceso de compra antes de cerrarlo, y este es precisamente uno de los miedos de los e-commerce<\/em>.<\/p>\n\n\n\n ii. por otro lado, podemos advertir que se han detallado ciertos requisitos de independencia (art\u00edculo 9 del Reglamento Delegado (UE) 2018\/389) para los elementos de autenticaci\u00f3n que pueden ser adaptados a dispositivos polivalentes<\/em>. De esta forma, si contamos con uno de estos dispositivos, para asegurar la independencia deber\u00e1 haber entornos de ejecuci\u00f3n separados, mecanismos que impidan la modificaci\u00f3n de los programas, y mecanismos que mitiguen las consecuencias de las modificaciones; a lo que cabe preguntarse \u00bfSi disponemos de un smartphone con lector de huella dactilar\/reconocimiento facial por el que accedemos al OTP, deber\u00edamos ceder nuestra informaci\u00f3n biom\u00e9trica a los proveedores de servicios? \u00bfC\u00f3mo se articular\u00e1n este tipo de medidas sin incidir en la privacidad de los usuarios?<\/p>\n\n\n\n iii. asimismo, resulta interesante los requisitos de vinculaci\u00f3n din\u00e1mica a los que se refiere el art\u00edculo 5 del Reglamento (UE) 2018\/389, y por los que los c\u00f3digos de autenticaci\u00f3n de un solo uso (OTP) han de estar vinculados con la cantidad de unidades monetarias a transferir o abonar y el beneficiario, pero asegurando su integridad, autenticidad y confidencialidad. En este sentido, crea cierta expectaci\u00f3n desde el punto de la vista de la privacidad el saber c\u00f3mo se puede generar un OTP con detalles sobre la operaci\u00f3n, supuestamente anonimizados (pr\u00e1ctica m\u00e1s que complicada si consultamos la reciente gu\u00eda de la AEPD sobre K-anonimizaci\u00f3n<\/a>) de que no sea f\u00e1cilmente vinculable a una persona o cliente, y no permita la identificaci\u00f3n de las partes en una operaci\u00f3n, si previamente se consigue acceso a las bases de datos.<\/p>\n\n\n\n\u00bfEn qu\u00e9 consiste la SCA?<\/h2>\n\n\n\n
\u00bfEn qu\u00e9 casos aplica y cu\u00e1les no la autenticaci\u00f3n reforzada de usuario?<\/h2>\n\n\n\n
Cuestiones a tener en cuenta<\/h3>\n\n\n\n