Los medios de pago electrónicos, ya sean con tarjeta, por internet o con el móvil, se han incrementado de forma notable en los últimos años, fruto de la transformación digital en la que estamos inmersos. Si bien esta forma de pago puede ser muy accesible y cómoda, existen riesgos en materia de protección de datos, cuando se utilizan métodos que requieren de la autenticación de la identidad del pagador.
La realización de pagos electrónicos asociados a la utilización de un único factor de autenticación, ya sea un número pin o una contraseña, cuenta con un nivel de seguridad muy limitado, y esto ha supuesto el incremento en la pérdida o robo de identidad, con el objetivo de acceder a los datos bancarios del pagador.
Por ello, aparece el Real Decreto-ley 19/2018, de 23 de noviembre de servicios de pago y otras medidas urgentes en materia financiera, en el que se transpone la Directiva Europea 2015/2366 (en adelante la PSD2), en la cual se regulan determinados aspectos asociados a los servicios de pago. Este texto normativo entró en vigor en 2016, con la finalidad de contribuir al desarrollo de un mercado único de pagos en la Unión Europea.
Sin embargo, no ha sido hasta el año 2018 en el que ha entrado en vigor en España, estableciéndose una serie de medidas para la protección del consumidor.
Una de las novedades de la PSD2 es la introducción de nuevos requisitos de seguridad a la hora de realizar pagos electrónicos. La utilización de un solo factor no es suficientemente seguro, por ello se introduce la combinación de dos factores como nueva medida de seguridad, que es de obligado cumplimiento a partir de enero de 2021. Esta medida consiste en la utilización de dos factores de autenticación en todas las operaciones bancarias, incluyendo todos los pagos y accesos a cuentas online, incluso a través de apps.
La autenticación reforzada del cliente exige como mínimo, la verificación de dos datos distintos, que se denominan factores de autenticación.
Estos factores aparecen divididos en tres grupos:
En este sentido, es destacable el Reglamento 2018/389 relativo a las normas técnicas de regulación para la autenticación reforzada de clientes.
En la práctica, el cambio se percibirá en la forma de comprar, como puede ser la online, en la que la información impresa en la tarjeta bancaria (número, fecha de caducidad y CVV) pasará a un segundo plano, convirtiéndose la autenticación reforzada en un nivel de seguridad por defecto para poder realizar dicha compra.
Los proveedores de servicios deberán aplicar la autenticación reforzada siempre que el ordenante acceda a su cuenta de pago en línea, inicie una operación de pago electrónico o realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude. Es importante mencionar que, si bien a priori puede parecer que estos requisitos solo se aplican a bancos o proveedores de pagos, se trata de una cuestión que afecta directamente a cualquier titular de comercio electrónico, ya que, en caso de fraude o falta de adopción de medidas, la responsabilidad recae sobre el propio titular.
Además, la Agencia Española de Protección de Datos ha propuesto una serie de recomendaciones para minimizar los riesgos para los derechos y libertades de los interesados:
Con la implantación de este mecanismo de seguridad y las recomendaciones de la AEPD, el objetivo es disminuir de forma notable los riesgos a los que están expuestos los usuarios, cuando realizan pagos de forma electrónica, suponiendo un motivo de tranquilidad, tanto para sus actividades financieras como para la protección de datos.