Autenticación reforzada

La Autenticación Reforzada de Clientes (“Strong Customer Authentication” o “SCA”) que supone un cambio en la manera de operar de los usuarios bancarios y protegerá aún más nuestras operaciones bancarias, desde las transferencias a las compras en comercios online o pagos en establecimientos.

Principales características

Desde el pasado 14 de septiembre de 2019, las entidades bancarias, así como otros proveedores de pago, deberán aplicar la autenticación reforzada en las operaciones de sus clientes. Esto incluye las operaciones de acceso a nuestra cuenta en internet, las operaciones de pago electrónico, así como las acciones que se realicen desde un canal remoto y puedan entrañar un riesgo de fraude en el pago.

Esta autenticación está basada en la utilización de dos o más elementos de identificación que sean exclusivos del usuario de servicios bancarios. En concreto, son tres elementos, independientes entre sí y están concebidos de manera que se proteja la confidencialidad de los datos de identificación.

  • Conocimiento. Algo que solo conoce el cliente, como una clave.
  • Posesión. Algo que solo posee el cliente, como un teléfono móvil.
  • Inherencia. Algo que es el cliente, como su huella dactilar.

Asimismo, al menos uno de estos elementos debe cumplir las siguientes cualidades: preservar la confidencialidad del resto de elementos de autenticación, no ser replicable, ni reutilizable, así como que no se pueda robar por internet.

En la práctica, esto significa que cuando queramos realizar una compra en un establecimiento, hacer compras online o realizar una transferencia a otro banco, deberán solicitarnos al menos dos de estos tres elementos:

  • Acceso y uso de cuentas de pago. Es uno de los cambios más destacados de esta nueva normativa. Para realizar transferencias bancarias, pagos con la cuenta bancaria, incluso antes de entrar a comprobar nuestros datos, es posible que le pidan una clave, además de la clave que se utiliza para entrar en la cuenta.
  • Compras online. Además de introducir los datos de nuestra tarjeta de crédito (posesión), cuando compremos por internet, es posible que nos envíen un mensaje con un código al teléfono móvil (conocimiento) para que introduzcamos al hacer el pago.
  • Compras en los establecimientos. Cuando realicemos compras con tarjeta de crédito, nos solicitarán el código pin de la tarjeta con la que operamos (conocimiento), y otro sistema de autenticación, como un mensaje al móvil o a la aplicación de la entidad bancaria.

Asimismo, la nueva normativa establece el número máximo de intentos para aplicar la autenticación reforzada, que fija en cinco, así como el tiempo máximo de espera para aplicarlo, que son cinco minutos, cuando debemos introducir un código de validación que se envía al móvil.

Es conveniente que consulte con su entidad bancaria las nuevas condiciones y utilice distintas claves para cada servicio. Es probable que durante el mes de septiembre haya recibido un correo electrónico informándole de esta nueva situación, no obstante, si tiene alguna duda, consulte con su banco.

Excepciones a la autenticación reforzada

Existen operaciones de pago que están excluidas de tener que realizar la autenticación reforzada, entre ellas, aquellas en las que el nivel de riesgo que entraña el servicio no es elevado, el importe de la operación no es alto o es un pago que se repite con frecuencia. Las entidades financieras no están obligadas, por tanto, a aplicarle la autenticación reforzada, entre otras, en:

  • Información de cuenta de pago. Incluye las visitas a su cuenta de pago tanto para consultar el saldo o realizar operaciones de pago. En este caso, se deberá aplicar la autenticación reforzada la primera vez que se accede a la cuenta y después cada 90 días.
  • Importes de pequeña cuantía. Pagos iguales o inferiores a 30 €, si desde la última operación autenticada el importe ha sido inferior a 100 euros o menos de 5 operaciones.
  • Pagos sin contacto (contactless) en el punto de venta. Cuando se realice una compra en un establecimiento, podrá no aplicarse la autenticación reforzada en pagos inferiores a 50 € y además que el importe acumulado de las operaciones previas no exceda los 150 € o que el número de operaciones consecutivas con esa tarjeta no exceda de cinco.
  • Operaciones frecuentes. En el caso de suscripciones o pagos repetitivos, la autenticación reforzada será necesaria solamente en el primer pago. De esta forma, si se realiza una suscripción a algún servicio, el primer pago se deberá confirmar.
  • Para las operaciones cuyo pago se haya iniciado por teléfono correo electrónico.
  • Operaciones en las que la entidad emisora o receptora esté fuera del Espacio Económico Europeo.

Otras cuestiones de interés

Asimismo, las entidades financieras, están obligadas a cumplir una serie de requisitos para proteger las cuentas bancarias de sus clientes, entre otras, tienen la obligación de:

  • Garantizar que solo pueda acceder a los elementos de seguridad el titular. Las entidades financieras son responsables de los riesgos derivados del envío de las tarjetas, números PIN o claves de acceso para poder realizar pagos a través de internet.
  • Disponer de medios gratuitos para que los usuarios puedan denunciar la pérdidarobo uso indebido del instrumento de pago. Además, tienen obligación de mantener un registro de la denuncia durante al menos 18 meses.
  • Recuerde que está prohibido que bancos y cajas envíen instrumentos de pago (tarjetas de crédito, débito) no solicitados por el cliente, salvo que se trate de una sustitución de la tarjeta que ya tiene el usuario.
  • En caso de robo o pérdida del instrumento de pago, el usuario solo responde por los pagos fraudulentos que se realicen antes de denunciar la pérdida o robo hasta la cantidad de 50 euros.
Subir Bajar