Artículos guardados
PSD2

Actualidad Banca digital

PSD2 y la seguridad de los pagos electrónicos

La nueva directiva sobre servicios de pago (PSD2-Payment Service Directive 2) supone una auténtica revolución en el mundo de los pagos y un reto para el sector bancario europeo.

¿Qué es la PSD2?

La PSD2 es la nueva normativa europea que pretende incrementar la competencia y la seguridad en los pagos electrónicos y busca situar a los consumidores en el centro del negocio, haciéndolos propietarios únicos de sus datos en todo lo referente a los pagos electrónicos.

¿Qué supone para los consumidores?

Que los consumidores sean propietarios de sus datos significará que las entidades financieras tendrán la obligación de ceder la información que dispongan de los consumidores a empresas proveedoras de servicios a terceros de confianza (TTPS-Trusted Third Party Service) a las que, previamente, los propios consumidores hayan autorizado.

Inicialmente, esta obligatoriedad afectará a 2 tipos de operaciones: la iniciación de pagos y la información agregada de movimientos de las cuentas.

Además, la normativa también fija una directrices de seguridad, que se basan en el reglamento delegado del consejo de la unión europeo UE 2018/389, y que pretenden incrementar la confianza de los consumidores en los pagos electrónicos. Es lo que se conoce como autenticación fuerte de doble factor”,  y será de aplicación obligatoria, como muy tarde, el 14 de septiembre de 2019.

¿Qué es la autenticación fuerte de doble factor y cómo funciona?

A grandes rasgos, su definición indica que, para validar un pago electrónico, se tendrán que cumplir simultáneamente 2 o más de los 3 factores posibles de autenticación y que, como mínimo, uno de estos factores no podrá ser ni reutilizable ni reproducible.

Los 3 factores son:

  1. Una cosa que conoce el usuario (por ejemplo, password)
  2. Una cosa que posee el usuario (por ejemplo, teléfono móvil, token)
  3. Una cosa que es el usuario (por ejemplo, huella digital, reconocimiento facial…)

El sistema más extendido para cumplir con el factor de no reutilización ni reproducción es el envío al móvil* de un SMS con una clave de un solo uso (OTP-One Time Password).

La seguridad y la confianza en los pagos electrónicos serán muy superiores. La OTP solo se podrá utilizar una vez, será exclusiva para la operación, tendrá una vigencia temporal muy corta (5 minutos) y los intentos para introducirla no podrán ser superiores a 5. Además, las entidades estarán obligadas a guardar un registro electrónico de las operaciones que permita rastrear las evidencias y pasos seguidos para su validación.

(*) Es importante asegurarse de que nuestra entidad dispone en todo momento de nuestro móvil y que es el correcto, ya que el SMS se enviará al móvil de referencia que nuestra entidad tenga en sus bases de datos.

 ¿En qué operaciones será obligatoria la autenticación fuerte de doble factor?

Salvo algunas excepciones detalladas en la normativa, la autenticación fuerte de doble factor será obligatoria para todas las operaciones que supongan un movimiento de dinero hacia cuentas de diferente titularidad y cuando se consulten o modifiquen datos personales sensibles.

¿Qué haremos en Caja de Ingenieros?

En Caja de Ingenieros ya utilizamos un sistema de autenticación fuerte de doble factor para algunas operaciones, pero próximamente procederemos a la sustitución de la tarjeta de coordenadas que utilizan actualmente todos nuestros socios y aplicaremos la autenticación fuerte mediante el envío de OTP al móvil para las operaciones que, según la normativa, lo requieran. De esta manera, incrementaremos la seguridad de las operaciones y mejoraremos significativamente la experiencia de usuario.

 

 

Reglamento delegado PSD2 – https://www.boe.es/doue/2017/337/L00021-00021.pdf

Directrices EBAhttps://www.bde.es/f/webbde/INF/MenuHorizontal/Normativa/guias/EBA-GL-2014-12.pdf

Utilizando este sitio, estás aceptando el uso de cookies Mas información

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close