Uno de los grandes interrogantes que más quebraderos de cabeza ha generado en el ámbito del comercio electrónico consiste en cómo cerciorarse de que “el que está al otro lado” es quién dice ser.

A este respecto, y sin perjuicio de otras iniciativas (entre otras, el Reglamento relativo a la identificación electrónica y los servicios de confianza), desde el pasado 14 de septiembre el Reglamento Delegado (UE) 2018/389 (“Reglamento”) resulta de aplicación*. Se trata de un reglamento que viene a complementar la directiva PSD2 (véase el artículo 97) y que tiene por objeto establecer mecanismos que permitan garantizar la autenticación segura y reforzada de los usuarios y minimizar los riesgos de fraudes en el contexto de pago electrónicos.

Aunque se trata de una norma que puede llegar a ser de utilidad para cualquier empresa que comercia electrónicamente, el Reglamento aplica a los proveedores de servicios de pago o PSPs (Art. 4(11) PSD2), los cuales deberán garantizar un entorno de pagos online más seguro, reduciendo el fraude en los procesos de autenticación. Para ello, deben disponer de mecanismos de supervisión de las operaciones que, teniendo en cuenta distintos factores basados en el riesgo, les permitan detectar operaciones de pago no autorizadas o fraudulentas.

El concepto fundamental de esta norma es la autenticación reforzada de cliente. Es decir, aquella basada en dos o más elementos independientes (esto es, que la vulneración de uno no compromete a otro) y que se concibe de forma que se proteja la confidencialidad de los datos. Estos elementos se categorizan como:

  • De conocimiento – algo que solo conoce el usuario (e.g. contraseñas, número PIN, preguntas/respuestas personales, etc.);
  • De posesión – algo que solo posee el usuario (e.g. tokens, Apps, móvil –la tarjeta SIM–, código QR, etc.); y
  • De inherencia – algo que “es” el usuario (e.g. huella u otros datos biométricos, reconocimiento de voz, etc.).

Sobre la base de estos elementos, se genera un código de autenticación que será aceptado por el PSP una sola vez, cuando el ordenante (persona física o jurídica) lo use para (i) acceder a su cuenta de pago en línea, (ii) iniciar una operación de pago electrónico o (iii) llevar a cabo cualquier acción a través de un canal remoto que pueda entrañar un riesgo de fraude en el pago u otros abusos.

El Reglamento incluye una serie de obligaciones de información y, sobre todo, obligaciones relativas a medidas de seguridad dirigidas a evitar la divulgación / falsificación y asegurar la independencia de estos códigos de autenticación; así como la vinculación dinámica de las operaciones a un importe y un beneficiario específico.

Junto con lo anterior, el Reglamento también prevé una serie de obligaciones que deberán cumplir los PSPs para garantizar la confidencialidad y la integridad de las credenciales de seguridad o contraseñas (la AEPD trata las contraseñas brevemente en su Guía de Privacidad y Seguridad; así como en la Guía de Compra Segura en Internet). Entre otras: (i) enmascarar las credenciales cuando se muestren e impedir que sean legibles en su totalidad cuando se introduzcan por el usuario durante la autenticación; (ii) no almacenarlas en formato de texto común; (iii) proteger el material criptográfico relacionado con el cifrado de las credenciales de una divulgación no autorizada; (iv) entregar de manera segura al usuario las credenciales de seguridad personalizadas; y (v) establecer procedimientos de renovación de las credenciales y de destrucción de las mismas en aquellos casos que sea necesario.

Sin perjuicio de lo anterior, el Reglamento prevé una serie de excepciones a la autenticación reforzada en función del nivel de riesgo, el importe, la frecuencia y el canal de pago empleado. Entre estas se incluyen, bajo determinadas condiciones, el acceso del usuario a información sobre saldos en cuentas de pago designadas, operaciones ejecutadas en los últimos 90 días; pagos en terminales no atendidos con la finalidad de abonar una tarifa de transporte o un pago de aparcamiento (e.g. puestos de peaje); etc.

En línea con el resto de normativa de la Unión, hay muchos conceptos como el análisis de riesgo, la importancia de documentar las actuaciones, medidas de seguridad y su revisión, etc. con los que cada vez está más familiarizado el sector empresarial. Lo interesante es cómo estas exigencias de autenticación, centradas en un sector concreto, se pueden extender a otros sectores o actividades no relacionadas con el proceso de pago. Esto no es algo nuevo (como ya trataba el INCIBE hace años) y muchos servicios ya utilizan procesos de autenticación similares.

Además, este tipo de medidas supone una protección adicional que casa muy bien con la protección de la información y de datos personales, así como con los principios de privacidad desde el diseño y por defecto.

* Dada la complejidad del Reglamento y para evitar posibles efectos negativos, el Banco de España ha emitido una Nota Informativa en la que indica que revisará los planes de migración de las entidades afectadas por el mismo con la flexibilidad permitida por la Autoridad Bancaria Europea.