¿Qué es PSD2?
La segunda Directiva Europea de Servicios de Pagos digitales (Payment Service Directive 2, por sus siglas en inglés) fue publicada en Noviembre de 2015 por la Comisión Europea con el fin de beneficiar al consumidor. ¿Cómo? mejorando la seguridad en los pagos electrónicos, promoviendo la innovación y competencia entre países y proveedores, y contribuyendo al desarrollo de un mercado de pagos más integrado y eficiente en toda Europa.
Además, PSD2 establece ciertas medidas técnicas de seguridad (RTS) para mejorar la identificación de clientes que empezarán a aplicarse a partir del 14 de septiembre de este año.
¿Qué es SCA?
Entre los conceptos más relevantes introducidos por PSD2 está la autenticación reforzada del cliente, conocida como SCA (Strong Customer Authentication), que no es ni más ni menos que el procedimiento obligatorio para comprobar la autenticidad de los clientes mediante el uso de 2 factores que pertenezcan a alguna de las siguientes categorías:
- Algo que solo el cliente sabe, por ejemplo la contraseña.
- Algo que solo el cliente tiene, por ejemplo su teléfono móvil.
- Algo que solo el cliente es, por ejemplo su huella dactilar.
Este procedimiento de doble autenticación es obligatorio cada vez que el cliente:
- Acceda a sus cuentas online (tanto por web como por app).
- Inicie transacciones de pago electrónicas (una transferencia, un pago en comercio online, etc).
- Y/o realice alguna acción a través de canales remotos que puedan suponer un riesgo de fraude.
Es importante destacar que existen casos en los que no será necesario aplicar SCA, por ejemplo si se trata de pagos con tarjeta regalo o si las compras son de baja cuantía. Aún así, los titulares de tarjetas deberán ser conscientes que este paso de seguridad adicional deberá realizarse más a menudo de lo que estaban acostumbrados hasta ahora.
¿Qué supone esta normativa?
Todos los intervinientes en un proceso de comercio electrónico en Europa – bancos, proveedores de servicios de pago como Visa o Mastercard, comercios, etc –, deberán implementar medidas adicionales para asegurar que cumplen con los requerimientos normativos de PSD2.
Los clientes podrán experimentar cambios en la manera de acceder a sus cuentas desde canales remotos (app o web) o en la manera de hacer pagos electrónicos como pueden ser las transferencias bancarias, compras online o pagos físicos con tarjeta contactless en Europa.
¿Y esto qué quiere decir para mí como cliente de BBVA?
En BBVA llevamos tiempo trabajando en adaptar nuestros altos estándares de seguridad a los nuevos requisitos de esta directiva, siempre con la vista puesta en mantener una óptima experiencia de uso para nuestros clientes.
Por eso, siempre que la normativa lo permita y nuestras medidas de seguridad, ‘invisibles’ para los clientes, nos den la tranquilidad de que la transacción no es fraudulenta, evitaremos que tengas que hacer la doble autenticación haciendo más cómoda la transacción. En los casos que exige la ley, te pediremos la doble autenticación.
Veamos algunos sencillos ejemplos que te ayudarán a entender cómo te afectarán estas novedades que tratan de velar por la seguridad de tu dinero.
1. Un cliente que paga en tienda online con tarjeta:
- Accede a la página de pago del comercio como de costumbre.
- Le solicitarán que introduzca los datos de su tarjeta.
- A medida que completa la transacción, le solicitarán información de seguridad adicional (es lo que se llama "credenciales", como puede ser por ejemplo una clave de uso único). Esta información podrá solicitarse sobre la misma página o bien a través de su aplicación en el teléfono móvil.
- Una vez validadas las credenciales aportadas, se visualizará la pantalla habitual confirmando que la transacción se ha finalizado con éxito.
2. Un cliente que paga en tienda física con tarjeta Contactless:
- Realiza el pago con su tarjeta como es habitual.
- Es posible que le pidan que introduzca su PIN con más frecuencia de lo habitual: cuando realice más de 5 pagos Contactless de menos de 20 € o cuando la suma de los pagos Contactless superen 100 €.
3. Un cliente que quiera acceder a sus cuentas por web o app:
- Cuando el cliente entre por primera vez en su app o web de banca online a partir de septiembre, se le solicitará un doble factor de autenticación.
- Cada 90 días o cuando acceda a información de más de 90 días, se encontrará con esa solicitud de autenticación reforzada, tal y como exige la normativa.
- Una vez autenticado, accederá a sus cuentas como es habitual.
¿Yo tengo que hacer algo?
Sí, es importante que tengamos tu número de móvil actualizado, ya que utilizaremos como factor de autenticación un código de acceso único (One Time Password, OTP por sus siglas en inglés) que recibirás en tu móvil para validar el acceso a tus cuentas o realizar determinadas transacciones electrónicas.
Si no tenemos validado tu número de móvil, es decir, si no tenemos la certeza de que estás recibiendo el código de acceso único para autenticar que eres tú quien está al otro lado, no podrás acceder a tus cuentas por web o app, ni realizar pagos online.
Validar tu número de móvil es un sencillo trámite que puedes hacer en:
- Cualquier Oficina BBVA, con tu móvil y tu DNI.
- Cualquier cajero BBVA, con tu tarjeta y tu móvil.