Red Seguridad 86
54 red seguridad tercer trimestre 2019 normativa reportaje en dos pasos". De esta forma, la norma obliga a usar, al menos, dos de los siguientes factores: algo que solo conozca el usuario, como por ejemplo una contraseña; algo que tenga el usuario, como un teléfono móvil o un tarjeta; y algo que forme parte de él, como su huella dactilar o su iris. En este sentido, la mayoría de los bancos están optando por combinar una clave personal con un código temporal recibido por SMS, de manera que siempre será necesario tener a mano el smartphone cada vez que se quiera operar en la banca online . Incluso cuando se desee entrar en ella. De hecho esta es una de las obligaciones que marca la norma que ya ha entrado en vigor en nuestro país, porque no está incluida en la moratoria comentada anteriormente. Ahora bien, todo lo dicho hasta aquí tendrá una serie de consecuencias importantes para la banca. Según un estudio de investigación dirigido por Mitek y Consult Hyperion, la llegada de esta normativa puede costar hasta 50 millones de euros anuales para el sector bancario debido al aumento de las sanciones financieras, o pérdidas de hasta 150 millones de euros en un periodo de cinco años como resultado del abandono de clientes. En cualquier caso, lo que está claro es que la llegada de la PSD2 reformará considerablemente las operaciones de banca digital, así como a las empresas de comercio electrónico en España, las cuales, de momento, tienen algo más de margen para adaptarse a ella. miembros adoptaran la directiva. Sin embargo, a nuestro país llegó con más de diez meses de retraso, y lo hizo a través del Real Decreto Ley 19/2018 de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. En él se situaba la fecha de cumplimiento obligatorio de estas medidas el 14 de septiembre de 2019. No obstante, finalmente esa obligatoriedad no se ha producido en su totalidad. Aprobación de moratorias Y es que la norma PSD2 conlleva una implantación tecnológica difícilmente asumible por ciertos sectores de la economía. Así, de hecho, lo vieron en otros países en los que la norma ya se encontraba vigente antes que en España. La mayoría de ellos optó por aplicar una moratoria que iba desde los seis hasta los 18 meses. No resulta extraño, por tanto, que el Banco de España (responsable último de la vigilancia de esta norma en el mercado nacional) haya deci- dido también flexibilizar el plazo final de su aplicación a los 14 meses tras el acuerdo alcanzado con la banca, los comercios y otros actores implica- dos. En otras palabras, como mínimo, hasta noviembre de 2020 la PSD2 no será de obligado cumplimiento en nuestro país. Además, a este periodo se le podrían añadir unos meses de "amortización flexible", con lo que el margen se retrasaría hasta el 14 de marzo de 2021, que es la fecha por la que apuestan países como Francia, Reino Unido o Alemania. Plan de acción Aunque esto supone un alivio para muchas empresas que todavía no estaban lo suficientemente maduras para cumplir la normativa, todos los actores implicados (particularmente la banca y los emisores de tarjetas) tendrán que seguir el llamado "Plan de acción para la aplicación de la autenticación reforzada sobre el pago con tarjeta en comercio electrónico", un documento elaborado por las principales asociaciones, compañías y grupos de interés del mercado español y presentado el pasado mes de julio. En él se establece la necesidad de desplegar las soluciones tecnológicas que permitan alcanzar el equilibrio adecuado entre la seguridad en los pagos remotos con tarjeta y las necesidades de facilidad de uso y accesibilidad de los pagos en el ámbito del comercio electrónico. Asimismo, se expone la importancia de adecuar los plazos de tiempo que los diferentes actores necesitan, incluidos los comercios, para adaptar sus plataformas a las nuevas exigencias con un mínimo impacto en la experiencia de usuario. A partir de ahí, se detalla el plan de acción tanto para el comercio electrónico como el presencial, que pasapor lacomunicacióna la sociedad y por la implantación tecnológica para cumplir con los requisitos que indica la normativa. Y esto es especialmente importante cuando hay estudios, como el presentado recientemente por Mastercard, que aseguran que el 75 por ciento de los comercios que venden en Internet desconocen esta normativa que hace obligatoria la doble autenticación del cliente tanto para pagar por Internet como en comercios físicos. Autenticación reforzada Pero, ¿en qué consiste esa autenticación? Básicamente, la norma PSD2 establece la implantación de lo que denomina como Strong Customer Authentication (SCA), según la cual cualquier sitio debe autenticar de tres maneras diferentes a una persona que realiza un pago en su plataforma, de las cuales debe asegurar dos. Es lo que se conoce como "verificación
Made with FlippingBook
RkJQdWJsaXNoZXIy MzA3NDY=