A partir del 14 de septiembre de 2019, para todos los pagos online superiores a 30 euros, será necesaria la doble autentificación, aunque la Unión Europea ha acordado un periodo de transición de tres años. Esta nueva obligación afecta de lleno al funcionamiento del ecommerce y la banca.
Hasta el momento la mayoría de las validaciones de las operaciones online se estaban realizando con OTP SMS (One Time Password), un password aleatorio de uso único que se enviaba por SMS a un móvil. Pero este método, a partir del pasado 14 de septiembre, ya no es suficiente como único elemento de autentificación; será necesario una autentificación reforzada SCA (Strong customer authentication), a través de la doble autentificación.
Autentificación: Ya no basta con la identificación
La identificación permite establecer la identidad de la persona que está realizando una acción online, respondiendo a la pregunta "¿Quién eres?". La autentificación aporta una prueba de identidad, es decir "¿Eres tu realmente dicha persona?". La nueva directiva sobre los servicios de pago (DSP2) obliga a una autentificación basada en tres factores:
- "Conocimiento" (algo que solo el usuario conoce), por ejemplo una contraseña.
- "Posesión" (algo que solo el usuario posee), por ejemplo su móvil para el caso de OTP SMS.
- "Inherente" (algo que caracterice al usuario/biometría), por ejemplo, la huella digital o retiniana.
Estos factores deben ser "independientes", para que "el cumplimiento de uno de ellos no ponga en cuestión la fiabilidad de los otros". Es obligatorio cumplir al menos dos factores de los tres. Por ejemplo, una password y un código SMS, o un password y una huella digital. En el caso del que el proveedor de servicios no cumpla con la norma, la penalización será fuerte: el banco cortará el flujo de cobros y pagos.
Un periodo de transición de tres años
Esta nueva directiva europea ha preocupado, con razón, a la gran mayoría de los negocios que realizan transacciones online, no sólo por la pérdida de clientes, si no también por el coste económico y burocrático que les va a suponer. Por eso, el Banco Central Europeo, (BCE) a acordado una prorroga hasta 2022 en varios Estados europeos. Por ejemplo en Francia se realizará la transición en dos fases: una primera fase de 18 meses para que cumplan la norma en la mayoría de las transacciones y luego, una segunda prórroga de otros 18 meses para lograr la conformidad total.
Pérdidas de 57 mil millones de euros de actividad económica en Europa
A pesar de que en el artículado del nuevo reglamento se establece excepciones a la doble autentificación, como los pagos de menos de 30 euros, los pagos de cuotas (siempre y cuando el importe sea similar, y en la primera transacción se realice con SCA) y los usuarios recurrentes de un mismo site (90 últimos días con el último operador y la primera transacción se realice con SCA) , el ecommerce no está tranquilo ya que les va a suponer pérdidas económicas. Un estudio de la plataforma de pago Stripe, realizado por 451 Research, justifica este miedo " Cuantas más barreras se pongan en el momento del pago, menos personas van a comprar o dejaran su carrito sin validar ",
Este estudio, publicado en junio 2019, pronostica una pérdida de 57 mil millones de dólares de actividad económica para Europa durante el primer año tras la entrada en vigor obligatoria de la autentificación reforzada. Estos resultados están basados en encuestas realizadas a 500 profesionales del pago online y 1.000 consumidores en Francia, Alemania, Holanda, España y Reino Unido. Tres de cada cinco empresas de menos de 100 empleados no conocen la autentificación reforzada y no saben cuándo estarán preparadas. Por el contrario, en los vendedores de más de 5.000 empleados, sólo un profesional de pago de cada 25 ignora esta regulación.
Tampoco hay que olvidar que la doble autentificación conlleva cargas administrativas para el ecommerce y que al final, son los negocios digitales los que van a pagar por la banca para que no tengan fraudes. Hoy en día, en caso de fraude, es la banca la responsable y debe devolver el dinero al comprador, pero con la nueva reglamentación, sera el site de ecommerce el responsable de invertir en nuevos modos de autentificación que minimizen el riesgo en origen. Esto le supone al comercio digital la obligación de desembolsar un dinero en nueva tecnología.
Apple Pay, un ejemplo ya existente de doble autentificación
Hasta ahora, un site podía imponer al comprador un password o el envío de un código SMS, pero a partir de 2022, cada site deberá implementar una autentificación reforzada, eligiendo la combinación de factores que decida (conocimiento, posesión e inherente). Algunos sites como Apple Pay ya cumplen la normativa: el usuario puede utilizar su smartphone como tarjeta bancaria, basta con que acerque el teléfono a un termina de pago, pero el servicio obliga a justificar su identidad por reconocimiento facial o huella digital.