Articulo de referencia

Autenticación sólida del cliente

La autenticación reforzada del cliente ( SCA ) es un requisito de la Directiva revisada de la UE sobre servicios de pago (PSD2) para los proveedores de servicios de pago dentro ...

La autenticación reforzada del cliente ( SCA ) es un requisito de la Directiva revisada de la UE sobre servicios de pago (PSD2) para los proveedores de servicios de pago dentro del Espacio Económico Europeo . Este requisito garantiza que los pagos electrónicos se realicen con autenticación multifactor , para aumentar la seguridad de los pagos electrónicos. [ 1 ] Las transacciones con tarjeta física ya suelen tener lo que podría denominarse autenticación reforzada del cliente en la UE ( Chip y PIN ), pero esto no era generalmente cierto para las transacciones por Internet en toda la UE antes de la implementación del requisito, [ 1 ] y muchos pagos con tarjeta sin contacto no utilizan un segundo factor de autenticación.

El requisito de SCA entró en vigor el 14 de septiembre de 2019. [ 2 ] Sin embargo, con la aprobación de la Autoridad Bancaria Europea , [ 3 ] varios países del EEE han anunciado que su implementación se retrasará temporalmente o se realizará por fases, [ 4 ] [ 5 ] con una fecha límite final fijada para el 31 de diciembre de 2020. [ 6 ]

Requisito

El artículo 97(1) de la directiva exige que los proveedores de servicios de pago utilicen una autenticación reforzada del cliente cuando un pagador: [ 7 ]

(a) accede a su cuenta de pago en línea; (b) inicia una transacción de pago electrónico; (c) realiza cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos.

El artículo 4(30) define la "autenticación fuerte del cliente" en sí misma (como autenticación multifactor): [ 7 ]

una autenticación basada en el uso de dos o más elementos categorizados como conocimiento (algo que solo el usuario sabe), posesión (algo que solo el usuario posee) e inherencia (algo que el usuario es) que son independientes, en el sentido de que la violación de uno no compromete la fiabilidad de los demás, y está diseñada de tal manera que protege la confidencialidad de los datos de autenticación.

Implementación

La Autoridad Bancaria Europea publicó una opinión sobre qué enfoques podrían constituir diferentes "elementos" de la SCA. [ 3 ]

3-D Secure 2.0 can (but does not always[3]) meet the requirements of SCA. 3-D Secure has implementations by Mastercard (Mastercard Identity Check)[8] and Visa[9] which are marketed as enabling SCA compliance.

E-commerce merchants must update the payment flows in their websites and apps to support authentication.[10] If authentication is not supported, many payments will be declined once SCA is fully implemented.[10]

History

On 31 January 2013, the European Central Bank (ECB) issued recommendations on Internet payment security, requiring strong customer authentication.[11] The ECB's requirements are technologically neutral, in order to foster innovation and competition. The public submission[12] process to the ECB identified three solutions to strong customer authentication, two of which are based on reliance authentication, and the other being the new variant of 3-D Secure which incorporates one-time passwords.

Subsequently, the European Commission drafted proposals for an updated Payment Services Directive including this requirement, which became PSD2. PSD2 strong customer authentication has been a legal requirement for electronic payments and credit cards since 14 September 2019.[13]

Criticism

In 2016, Visa criticised the proposal of making strong customer authentication mandatory, on the grounds that it could make online payments more difficult, and thus hurt sales at online retailers.[14]

In 2019, consumer representation group Which? noted that many UK banks were implementing SCA by requiring a phone capable of receiving a text message or push notification. When surveyed, nearly one in five Which? members were concerned that they may be unable to make payments if there was no alternative, either due to poor reception or not owning a phone.[15]

In 2020, an independent report conducted by consultancy firm CMSPI found that the potential disruption caused by strong customer authentication (excluding the United Kingdom) could be €108 billion in 2021.[16]

Outside Europe

The Reserve Bank of India has mandated an "additional factor of authentication" for card-not-present transactions.[17]

A proposal to make 3-D Secure mandatory in Australia was blocked by the Australian Competition & Consumer Commission in 2016 after objections.[18]

See also

References

  1. 12"Payment Services Directive (PSD2): Regulatory Technical Standards (RTS) enabling consumers to benefit from safer and more innovative electronic payments". European Commission. 2017-11-27. Retrieved 2019-04-17.
  2. "EBA provides clarity to market participants for the implementation of the technical standards on strong customer authentication and common and secure communication under the PSD2". European Banking Authority. 2018-06-13. Archived from the original on 2019-04-17. Retrieved 2019-04-17.
  3. 123"EBA publishes an Opinion on the elements of strong customer authentication under PSD2". European Banking Authority. 21 June 2019. Archived from the original on 2019-12-30. Retrieved 2019-09-07.
  4. "FCA agrees plan for a phased implementation of Strong Customer Authentication". Financial Conduct Authority. 2019-08-13. Retrieved 2019-09-07.
  5. "Strong Customer Authentication (SCA) Enforcement Date". Stripe. 6 September 2019. Retrieved 2019-09-07.
  6. "EBA publishes Opinion on the deadline and process for completing the migration to strong customer authentication (SCA) for e-commerce card-based payment transactions". European Banking Authority. 16 October 2019. Retrieved 11 July 2022.
  7. 12Directive 2015/2366/EU of 25 November 2015 of the European Parliament and of the Council on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) No 1093/2010, and repealing Directive 2007/64/EC
  8. "Strong Customer Authentication and PSD2: How to adapt to new regulation in Europe"(PDF). Mastercard. 2018-08-17. Archived from the original(PDF) on 2019-04-17. Retrieved 2019-04-17.
  9. "Preparing for PSD2 SCA"(PDF). Visa. November 2018. Retrieved 2019-04-17.
  10. 1 2 "Diseño de flujos de pago para SCA" . Stripe . 15 de julio de 2019. Recuperado el 7 de septiembre de 2019 .
  11. "BCE: El BCE publica las Recomendaciones finales para la seguridad de los pagos por internet e inicia la consulta pública sobre los servicios de acceso a las cuentas de pago" . Ecb.eu. 31 de enero de 2013. Consultado el 17 de julio de 2014 .
  12. "BCE: Consulta pública" . Ecb.europa.eu. 31 de enero de 2013. Consultado el 17 de julio de 2014 .
  13. "Autenticación reforzada del cliente y PSD2: cómo adaptarse a la nueva normativa en Europa" (PDF) . Archivado del original (PDF) el 8 de mayo de 2019.
  14. Leyden, Josh (27 de noviembre de 2016). "Visa protesta por las exigencias de autenticación más estrictas del regulador europeo" . The Register . Consultado el 17 de abril de 2019 .
  15. "Los nuevos controles de seguridad en línea excluyen a las personas sin teléfonos móviles o sin buena señal" . Which?. Consultado el 24 de junio de 2021 .
  16. "Noticias: La SCA para PSD2 podría costar a los comerciantes más de 100 mil millones de euros en 2021" . The Paypers . Consultado el 24 de septiembre de 2020 .
  17. "Medidas de seguridad y mitigación de riesgos para transacciones de pago electrónico" . Banco de la Reserva de la India . Archivado del original el 4 de marzo de 2013.
  18. La ACCC propone denegar la autorización a APCA para los acuerdos de seguridad 3D. Comisión Australiana de Competencia y Consumo, 20 de mayo de 2016.