Los comercios deberán reforzar la seguridad de los medios de pago electrónicos que efectúen sus clientes
![[Img #26617]](http://deniadigital.es/upload/images/11_2020/1404_despacho-abogados-jose-ferrer-asociados.jpg)
¿Cuándo deberán aplicar estas medidas los comercios?
A partir del próximo 1 de enero de 2021, los comercios deberán incorporar ciertas medidas de seguridad en el pago por medios electrónicos que realicen sus clientes. Estas medidas serán exigibles tanto en las compras que se efectúen presencialmente en los propios establecimientos, como en las que se realicen vía online.
Estas nuevas medidas entraron en vigor el pasado 14 de septiembre de 2019, con la denominada «autenticación reforzada del cliente» (SCA, por sus siglas en inglés «Strong CUstomer Authentication»), que no es otra cosa que dar mayor refuerzo y seguridad a los pagos electrónicos para garantizar que quien efectúa el pago es verdaderamente el cliente y que no existe un fraude. Ello beneficiará a todos las partes intervinientes en los pagos electrónicos, que son los clientes, los comercios y las entidades de medios de pago.
El 31 de diciembre de 2020 es el último día conferido por la normativa europea que aprueba estas medidas para que los comercios las implementen. Esta normativa sobre los medios de pago se denomina también PSD2 (de las siglas en inglés «Payment Services Directive 2», pues se trata de la Directiva Europea sobre medios de pago).
¿En qué consiste el sistema de «autenticación reforzada del cliente» o SCA?
Las nuevas medidas consisten en cambiar la manera en que los usuarios de los medios de pago operarán, aumentando la seguridad de las operaciones en comercios online y pagos en establecimientos.
Estas medidas implicarán que los bancos y demás proveedores de pago, entre los que se incluyen los establecimientos o tiendas online, deben aplicar las medidas de autenticación reforzada en las operaciones con sus clientes. Así, operaciones tan rutinarias como entrar a la cuenta bancaria por internet, operaciones que se realicen mediante plataformas de pago (como «paypal») o realizar un pago electrónico mediante tarjeta en un establecimiento, precisarán ser realizados mediante sistemas que apliquen la autenticación reforzada del cliente.
¿Cuáles son las principales características del sistema de «autenticación reforzada del cliente» o SCA?
La autenticación reforzada del cliente se basa en la utilización de dos o más elementos de identificación que, por sus características, sean únicos y exclusivos del usuario que realiza el pago. Estos elementos que se pueden utilizar se basan fundamentalmente en tres principios:
- Conocimiento: Datos que conoce únicamente el usuario, como podría ser un PIN.
- Posesión: Elementos que únicamente posee el usuario, como un teléfono móvil, un chip, etc.
- Inherencia: Elementos exclusivos del usuario, como la huella dactilar o su rostro.
De estos tres elementos, se deberán utilizar dos de los que, al menos uno, debe reunir las cualidades de preservar la confidencialidad respecto del resto de elementos de autenticación, no ser replicable (es decir, que no se pueda copiar), no ser reutilizable ni que se pueda sustraer por internet.
Se establece, además, un número máximo de intentos que será de cinco para aplicar la autenticación reforzada y también se establece en cinco minutos el tiempo máximo de espera que podrá tomarse para introducir el código de validación.
¿Qué significa esto en la práctica?
Lo que quiere decir todo lo anterior es que cuando un usuario quiera realizar una compra en un establecimiento, realizar compras online, realizar una transferencia a otro banco, etc., se requerirá al usuario al menos dos de los tres elementos indicados más arriba.
- Acceder a cuentas de pago y su utilización: Para las transacciones más habituales, como consultar datos, realizar transferencias, efectuar pagos, etc., se podrá pedir al usuario un PIN, además de la clave que se utiliza para acceder a la cuenta.
- Compras online: Normalmente, se introducen los datos de la tarjeta de crédito (principio de posesión). Ahora, además, podrá solicitarse que el sistema remita un mensaje con un código al teléfono móvil (principio de conocimiento) que deberá introducirse al realizar el pago.
- Compras en los establecimientos: Normalmente se solicita la tarjeta (principio de posesión), o la huella dactilar (principio de inherencia) si el pago se realiza con el teléfono móvil, así como el código PIN de dicha tarjeta (principio de conocimiento).
De este modo, el comprador demostrará que es el titular legítimo del medio de pago.
¿Existen algunas operaciones que no deban cumplir con estas medidas de seguridad de autenticación reforzada?
Sí. Se establecen algunas operaciones que no necesitan cumplir con lo anterior, porque se consideran de bajo nivel de riesgo, o porque el importe del pago es reducido o porque el pago se repite con cierta frecuencia. Son las siguientes:
- Información de cuenta de pago: Son las operaciones de consultas de saldo. Solo se aplicará la autenticación reforzada la primera vez que se acceda a la cuenta y luego cada 90 días.
- Importes de pequeña cuantía: Los pagos de importe igual o inferior a 30 euros, siempre que desde la última operación autenticada el importe haya sido inferior a 100 euros o menos de 5 operaciones.
- Pagos contactless en el punto de venta: En los establecimientos, podrá dejar de aplicarse la autenticación reforzada si el pago es inferior a 50 euros siempre que, además, el importe acumulado de las operaciones previas no exceda de 150 euros o que el número de operaciones consecutivas con la misma tarjeta no exceda de 5.
- Operaciones frecuentes: Se trata de suscripciones o pagos repetitivos. En este caso, se aplicará la autenticación reforzada en el primer pago.
- Operaciones en las que la entidad emisora o receptora esté fuera del Espacio Económico Europeo.
¿Cómo debo proceder si mi negocio es eCommerce?
Si su negocio es eCommerce, deberá diferenciar si ya se autentican todas sus operaciones, en cuyo caso ya está usted preparado para el sistema de autenticación reforzada del cliente; o si, por el contrario, no todas sus operaciones se autentican. En este último caso, deberá usted implementar en su negocio las medidas indicadas en este artículo.
En la actualidad, ya existen muchos comercios que cuentan con estos sistemas, especialmente, porque las entidades bancarias han adaptado los sistemas y medios de pago a lo requerido por la Directiva de medios de pago. Sin embargo, si su negocio no cuenta todavía con medios de pago que apliquen la autenticación reforzada, deberá usted implementar el sistema con anterioridad al día 1 de enero de 2021.
Si quieres más información puedes ponerte en contacto con el despacho de abogados Ferrer y Asociados en el email: ferrerasociados@ferrerasociados.com o en teléfono 965743327
En Moraira
Avenida del Portet, 52
Moraira
En Jávea“Centro Comercial Arenal”
Avda del Pla nº 126
Despacho 2.04
Javea (Alicante)
965754402
¿Cuándo deberán aplicar estas medidas los comercios?
A partir del próximo 1 de enero de 2021, los comercios deberán incorporar ciertas medidas de seguridad en el pago por medios electrónicos que realicen sus clientes. Estas medidas serán exigibles tanto en las compras que se efectúen presencialmente en los propios establecimientos, como en las que se realicen vía online.
Estas nuevas medidas entraron en vigor el pasado 14 de septiembre de 2019, con la denominada «autenticación reforzada del cliente» (SCA, por sus siglas en inglés «Strong CUstomer Authentication»), que no es otra cosa que dar mayor refuerzo y seguridad a los pagos electrónicos para garantizar que quien efectúa el pago es verdaderamente el cliente y que no existe un fraude. Ello beneficiará a todos las partes intervinientes en los pagos electrónicos, que son los clientes, los comercios y las entidades de medios de pago.
El 31 de diciembre de 2020 es el último día conferido por la normativa europea que aprueba estas medidas para que los comercios las implementen. Esta normativa sobre los medios de pago se denomina también PSD2 (de las siglas en inglés «Payment Services Directive 2», pues se trata de la Directiva Europea sobre medios de pago).
¿En qué consiste el sistema de «autenticación reforzada del cliente» o SCA?
Las nuevas medidas consisten en cambiar la manera en que los usuarios de los medios de pago operarán, aumentando la seguridad de las operaciones en comercios online y pagos en establecimientos.
Estas medidas implicarán que los bancos y demás proveedores de pago, entre los que se incluyen los establecimientos o tiendas online, deben aplicar las medidas de autenticación reforzada en las operaciones con sus clientes. Así, operaciones tan rutinarias como entrar a la cuenta bancaria por internet, operaciones que se realicen mediante plataformas de pago (como «paypal») o realizar un pago electrónico mediante tarjeta en un establecimiento, precisarán ser realizados mediante sistemas que apliquen la autenticación reforzada del cliente.
¿Cuáles son las principales características del sistema de «autenticación reforzada del cliente» o SCA?
La autenticación reforzada del cliente se basa en la utilización de dos o más elementos de identificación que, por sus características, sean únicos y exclusivos del usuario que realiza el pago. Estos elementos que se pueden utilizar se basan fundamentalmente en tres principios:
- Conocimiento: Datos que conoce únicamente el usuario, como podría ser un PIN.
- Posesión: Elementos que únicamente posee el usuario, como un teléfono móvil, un chip, etc.
- Inherencia: Elementos exclusivos del usuario, como la huella dactilar o su rostro.
De estos tres elementos, se deberán utilizar dos de los que, al menos uno, debe reunir las cualidades de preservar la confidencialidad respecto del resto de elementos de autenticación, no ser replicable (es decir, que no se pueda copiar), no ser reutilizable ni que se pueda sustraer por internet.
Se establece, además, un número máximo de intentos que será de cinco para aplicar la autenticación reforzada y también se establece en cinco minutos el tiempo máximo de espera que podrá tomarse para introducir el código de validación.
¿Qué significa esto en la práctica?
Lo que quiere decir todo lo anterior es que cuando un usuario quiera realizar una compra en un establecimiento, realizar compras online, realizar una transferencia a otro banco, etc., se requerirá al usuario al menos dos de los tres elementos indicados más arriba.
- Acceder a cuentas de pago y su utilización: Para las transacciones más habituales, como consultar datos, realizar transferencias, efectuar pagos, etc., se podrá pedir al usuario un PIN, además de la clave que se utiliza para acceder a la cuenta.
- Compras online: Normalmente, se introducen los datos de la tarjeta de crédito (principio de posesión). Ahora, además, podrá solicitarse que el sistema remita un mensaje con un código al teléfono móvil (principio de conocimiento) que deberá introducirse al realizar el pago.
- Compras en los establecimientos: Normalmente se solicita la tarjeta (principio de posesión), o la huella dactilar (principio de inherencia) si el pago se realiza con el teléfono móvil, así como el código PIN de dicha tarjeta (principio de conocimiento).
De este modo, el comprador demostrará que es el titular legítimo del medio de pago.
¿Existen algunas operaciones que no deban cumplir con estas medidas de seguridad de autenticación reforzada?
Sí. Se establecen algunas operaciones que no necesitan cumplir con lo anterior, porque se consideran de bajo nivel de riesgo, o porque el importe del pago es reducido o porque el pago se repite con cierta frecuencia. Son las siguientes:
- Información de cuenta de pago: Son las operaciones de consultas de saldo. Solo se aplicará la autenticación reforzada la primera vez que se acceda a la cuenta y luego cada 90 días.
- Importes de pequeña cuantía: Los pagos de importe igual o inferior a 30 euros, siempre que desde la última operación autenticada el importe haya sido inferior a 100 euros o menos de 5 operaciones.
- Pagos contactless en el punto de venta: En los establecimientos, podrá dejar de aplicarse la autenticación reforzada si el pago es inferior a 50 euros siempre que, además, el importe acumulado de las operaciones previas no exceda de 150 euros o que el número de operaciones consecutivas con la misma tarjeta no exceda de 5.
- Operaciones frecuentes: Se trata de suscripciones o pagos repetitivos. En este caso, se aplicará la autenticación reforzada en el primer pago.
- Operaciones en las que la entidad emisora o receptora esté fuera del Espacio Económico Europeo.
¿Cómo debo proceder si mi negocio es eCommerce?
Si su negocio es eCommerce, deberá diferenciar si ya se autentican todas sus operaciones, en cuyo caso ya está usted preparado para el sistema de autenticación reforzada del cliente; o si, por el contrario, no todas sus operaciones se autentican. En este último caso, deberá usted implementar en su negocio las medidas indicadas en este artículo.
En la actualidad, ya existen muchos comercios que cuentan con estos sistemas, especialmente, porque las entidades bancarias han adaptado los sistemas y medios de pago a lo requerido por la Directiva de medios de pago. Sin embargo, si su negocio no cuenta todavía con medios de pago que apliquen la autenticación reforzada, deberá usted implementar el sistema con anterioridad al día 1 de enero de 2021.
Si quieres más información puedes ponerte en contacto con el despacho de abogados Ferrer y Asociados en el email: ferrerasociados@ferrerasociados.com o en teléfono 965743327
En Moraira
Avenida del Portet, 52
Moraira
En Jávea“Centro Comercial Arenal”
Avda del Pla nº 126
Despacho 2.04
Javea (Alicante)
965754402
Normas de participación
Esta es la opinión de los lectores, no la de este medio.
Nos reservamos el derecho a eliminar los comentarios inapropiados.
La participación implica que ha leído y acepta las Normas de Participación y Política de Privacidad
Normas de Participación
Política de privacidad
Por seguridad guardamos tu IP
216.73.216.173