Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

¡Infórmate! Lo que debes saber si quieres hacer pagos online a partir de ahora

Fecha de publicación 17/09/2019
Imagen decorativa Normativa

¿En qué consiste la PSD2?

La normativa PSD2 entró en vigor el pasado 14 de septiembre de 2019* y es de obligado cumplimiento para todas las empresas del Espacio Económico Europeo que realicen transacciones online.

* Ver nota informativa publicada por el Banco de España sobre la aplicación de la autenticación reforzada del cliente (SCA) en los pagos electrónicos.

La “Autenticación reforzada” o SCA (traducción al español) es uno de los requisitos impuestos por la normativa por la que se obliga a un comercio a hacer una autenticación múltiple del cliente. El objetivo es confirmar que, efectivamente, es el mismo titular quien se está encargando de realizar la compra online.

Entonces, ¿en qué consiste este requisito? Pues la “SCA” requerirá a las empresas usar, por lo menos, dos de los tres métodos de autenticación siguientes:

Imagen credenciales

  • Algo que posee el usuario: como por ejemplo un móvil.
  • Algo que conoce el usuario: como por ejemplo un PIN o una contraseña.
  • Algo inherente al usuario: como por ejemplo reconocimiento biométrico o voz.

Además, al menos uno de ellos cumplirá las siguientes cualidades:

- preservará la confidencialidad del resto de elementos de autenticación;

- no podrá ser replicable, ni reutilizable;

- no podrá ser robado a través de Internet.

Como se ha mencionado previamente, desde el 14 de septiembre de 2019 los bancos podrán rechazar pagos que no cumplan con este requisito.

¿Cómo te afecta?

Imagen aplicaciones

Lo más importante que debes tener en cuenta es que vas a necesitar tu dispositivo móvil para poder hacer compras por Internet, ya que, desde que esta medida es obligatoria, la identificación mediante tarjetas de coordenadas desaparece.

A partir de ahora, cada entidad bancaria decidirá cómo consigue identificarte de forma inequívoca utilizando como mínimo un doble factor de autenticación. Algunos bancos, por ejemplo, solicitarán a sus clientes instalar una aplicación en su dispositivo móvil y otros les enviarán un código por SMS.

¿Existen excepciones?

Ahora bien, existen unas excepciones que no requieren métodos de autenticación reforzada que debes conocer:

  • Los pagos por debajo de 30€ no necesitan autenticación del cliente. Sin embargo, si se realizan varios pagos inferiores a esa cantidad que superen los 100€ o superan la cantidad de 5 transacciones, el banco exigirá una autenticación.
  • Los pagos que se realicen de manera recurrente o fijos quedaran exentos tras aplicarse la SCA para el primero de ellos. Las transacciones recurrentes iniciadas con anterioridad a la obligación de la PSD2 no tendrán que ser autenticadas.
  • Comercios de confianza en los que el usuario ha agregado a su “lista blanca”.
  • Aquellos pagos en los que una de las partes se encuentre fuera del Espacio Económico Europeo.
  • Los pagos realizados en persona también quedarían exentos de la normativa, a menos que el pago sea realizado por medio de la tecnología “contactless” y supere la cantidad de 50€.
  • Pagos realizados con tarjetas corporativas.
  • Ventas por teléfono.
  • Operaciones cuyo pago se ha iniciado por teléfono o correo electrónico.

¿Qué garantías nos ofrecen?

Imagen pay mobil

Es importante que entiendas y conozcas cuáles son las garantías que ofrecen las medidas implementadas:

  • Si algo falla durante el proceso de autenticación, no se debe poder saber qué elemento de autenticación era incorrecto.
  • El número de intentos fallidos para bloquear de manera temporal o definitivo al usuario será de máximo 5 intentos en un tiempo determinado.
  • Las sesiones de comunicación estarán cifradas y protegidas contra manipulación por personas no autorizadas.
  • Después de la autenticación, el usuario no podrá permanecer inactivo más de 5 minutos.

¿Cómo afecta a los comercios?

Una vez entendidos todos los parámetros mencionados anteriormente, seguramente te estés preguntando, ¿cómo puedo aplicar la SCA si tengo una tienda o servicio online? En ese caso, te recomendamos que consultes el artículo publicado en la sección de Protege tu empresa de INCIBE: Directiva PSD2. Reforzando la seguridad de los pagos digitales en el comercio online.

La aplicación de la normativa “SCA” brindará más seguridad en las transacciones comerciales, y favorecerá las compras online. Sin embargo, todo cambio requiere un poco de esfuerzo. Te recomendamos que te informes bien en tu banco sobre cómo deberás realizar transacciones online a partir de ahora y que compartas esta información con tus contactos para que ellos también estén al día e informados sobre estas novedades.

¿Habías oído hablar de la normativa PSD2? ¿Te había informado tu banco sobre las novedades descritas en este post? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.