Novedades en los pagos con tarjeta: las compras superiores a 30 euros exigirán doble autentificación

A partir de este 1 de febrero se van a producir cambios importantes en los pagos con tarjeta, tanto de manera física en los comercios como en las compras por internet. Entre las modificaciones, los pagos con tarjetas superiores a 30 euros requerirán de una doble autorización. Esta medida, impuesta por la Unión Europea, tiene como objetivo hacer las compras más seguras y evitar los fraudes tanto en los establecimientos como en las operaciones por internet.

Así, la Directiva para los Servicios de Pago (PSD2) dictada por la Unión Europea en 2007, ha entrado en vigor en febrero de este año con el objetivo de fortalecer el mercado de pagos comunitarios, reducir el fraude y poder defender a los consumidores ante el auge de los pagos con tarjeta. Para alcanzar este objetivo, la nueva normativa establece a exigencia de una doble autorización en los pagos con tarjeta -tanto en comercios físicos como online- superiores a 30 euros.

Pero, ¿cómo se realiza esta doble autentificación? Esta medida de seguridad para reforzar los pagos con tarjeta tiene como objetivo identificar al consumidor que está realizando la transacción. De esta forma, todos los usuarios deberán acreditar que son los titulares de la tarjeta a la hora de hacer los pagos y deberán hacerlo mediante dos de los siguientes tres factores:

• Dato personal: algo que solo conozca el usuario, como puede ser una contraseña o clave, un código PIN o preguntas específicas.
• Elemento personal: algo que solo tenga el usuario, como un teléfono móvil, para recibir ahí un código de un solo uso.
• Características propias: es decir, sus características biométricas que permiten identificarle, como la huella dactilar o el reconocimiento de voz o del ojo.

Estado doble autentificación es una de las novedades con la que la Unión Europea pretende reducir el fraude. La normativa, ya en vigor, debería haberse puesto en marcha el pasado 1 de enero de este año, pero el sector bancario no se encontraba preparado, por lo que se concedió una flexibilización de los plazos

Otras novedades

La PSD2 regula dos clases de servicios que ya existían cuando se adoptó la primera PSD en 2007 pero que se estaban popularizando en los últimos años: por un lado los servicios de iniciación de pagos (PIS) y por otro los servicios de información de cuenta (AIS).

El servicio de información de cuenta (AIS) consiste en recoger y almacenar la información de las distintas cuentas bancarias de un cliente en un solo lugar, permitiendo a los clientes tener una visión global de su situación financiera y analizar fácilmente sus gastos y sus necesidades financieras. Por su parte, en el servicio de iniciación de pagos (PIS), terceros proveedores facilitan el uso de la banca ‘online’ para realizar pagos por internet. Hasta ahora los TPPs se encontraban múltiples obstáculos que les impedían ofrecer sus soluciones a gran escala en los distintos estados de la Unión Europea.

La otra gran novedad de la PSD2 es la introducción de nuevos requisitos de seguridad, lo que se conoce como Autenticación Reforzada de Clientes (Strong Customer Authentication o SCA en inglés). Esto implica el uso de dos factores de autenticación en operaciones bancarias que antes no lo requerían, incluyendo pagos y acceso a cuentas online o a través de apps, así como una definición más estricta de lo que puede servir como factor de autenticación.

Siguiendo con el ejemplo de la compra ‘online’, los clientes percibirán cambios en la forma en que autorizan sus compras, fundamentalmente en los factores de autenticación que utilizan al haberse convertido la autenticación reforzada en el nivel de seguridad por defecto y haber dejado de ser la información impresa en la tarjeta (número, caducidad y CVV) un factor válido para la autenticación.