PSD2: ¿en qué punto se encuentra?


PSD2 son las siglas en inglés de la Segunda Directiva de Servicios de Pago de la Unión Europea. Este reglamento se centra principalmente en la protección de los consumidores y su objetivo es aumentar la seguridad y el alcance de la innovación entre los servicios de pago, mediante tres vías:

Esto lo consigue mediante tres vías:

  • Ampliando los derechos de los clientes,
  • Mejorando la seguridad a través de la autenticación reforzada de clientes ("strong customer authentication", SCA),
  • Permitiendo el acceso de terceros a la información de las cuentas para fomentar la aparición de nuevos operadores en un panorama bancario abierto.

Pese a que la mayor parte del reglamento ya ha entrado en vigor, la plena ejecución de la segunda parte de la directiva (la mejora de la seguridad mediante la SCA), se ha retrasado hasta el 31 de diciembre de 2020.

Además, como era de esperar, la pandemia global no ha contribuido a acelerar el ya de por sí lento avance de la plena ejecución de la PSD2.

Los cambios en el comportamiento de los consumidores han afectado gravemente al sector de los pagos, y la Autoridad de Conducta Financiera (FCA) del Reino Unido ya ha retrasado la implantación obligatoria de la SCA nueve meses más, hasta el 14 de septiembre de 2021, mientras que los miembros de la Federación Europea de Instituciones de Pago (EPIF) han firmado una carta dirigida a la Autoridad Bancaria Europea (EBA) solicitando una ampliación similar.

psd2-sca-customer-experience-01

 

¿Qué es la SCA y por qué es tan importante?

La autenticación reforzada de clientes o SCA es un sistema que se requiere, por mandato de la PSD2, cada vez que alguien intenta realizar pagos o acceder a sus servicios de banca online.

El proveedor del servicio de pago ("payment service provider", PSP) es el que debe llevar a cabo la autenticación, que debe realizarse, como mínimo, a través de dos factores distintos que cumplan dos de las siguientes tres categorías:

  • Posesión: algo que el usuario posea, como, por ejemplo, su dispositivo.
  • Conocimiento: algo que el usuario sepa, como, por ejemplo, una contraseña o un PIN.
  • Inherencia: algo que el usuario es, como, por ejemplo, su biometría física (su huella dactilar) o su biometría del comportamiento.

Una autenticación multifactor, en la que se superponen distintos métodos de autenticación, conlleva inevitablemente que la transacción o la sesión de banca online sean más seguras, puesto que al vulnerarse un factor no se pone en peligro la fiabilidad de otro factor, ya que cada uno es independiente.

Durante la pandemia, que ha reducido la capacidad del sector de implantar la SCA, se ha podido comprobar cómo, al mismo tiempo, aumentaba de golpe el fraude en la banca online, en concreto con ataques de "phishing" que han querido aprovecharse de la propia pandemia.

Por este motivo, tanto desde la perspectiva de los pagos como del fraude en la banca online, se observa con preocupación que se siga retrasando la implantación de la SCA: los consumidores necesitan esta protección ya.

psd2-sca-customer-experience-02

 

El efecto de la SCA sobre la experiencia de usuario final

Para los PSP, el problema es que el hecho de que la PSD2, y la SCA en concreto, se centren en la protección del consumidor va a conllevar un cambio en el sector que virará hacia una mayor ciberseguridad y priorizará menos la creación de una experiencia positiva para el usuario final.

Tener que implementar la SCA y, por lo tanto, multiplicar la autenticación de los clientes mediante distintos factores no hará sino añadir más fricción a su experiencia.

 

¿Qué es el análisis de riesgo de las operaciones (TRA) y cómo puede ayudar a los bancos?

Existe una disposición dentro de la PSD2 para ayudar a los bancos a encontrar el equilibrio entre la reducción del fraude y una experiencia positiva de usuario final: el análisis de riesgo de las operaciones ("transaction risk analysis", TRA).

En algunos casos, el TRA puede utilizarse para asegurar los pagos (siempre que los PSP mantengan unos índices de fraude lo suficientemente reducidos). El TRA es un método para identificar el riesgo de fraude mediante la observación del comportamiento de las partes que intervienen en una operación.

La ventaja del TRA es que ese análisis se produce en tiempo real, pero resulta invisible para el usuario. Eso significa que no provoca ninguna fricción añadida en el viaje del usuario, pese a que se está produciendo un segundo factor de autenticación, que cumple tanto con la SCA como con la PSD2.

psd2-sca-customer-experience-03

Cómo mitigar el efecto de la SCA sobre la experiencia de usuario final

Los bancos y otros proveedores de servicios de pago tendrán que cumplir con la SCA, ya sea ahora o bien el próximo año, y deben encontrar una forma de equilibrar esa seguridad añadida con ofrecer una experiencia de usuario final positiva. Esto significa autenticar a los clientes de la forma más rápida y menos molesta posible.

Por suerte, existe una solución que puede cumplir tanto los criterios de la SCA como del TRA, pero si añadir ninguna fricción adicional a la experiencia de usuario final.

Una solución que incorpore la biometría del comportamiento puede realizar un análisis continuo de miles de parámetros relacionados con los clientes de la banca. Luego, utiliza esos parámetros, que pueden ser el modo habitual en el que un usuario mueve el ratón o teclea o incluso el ángulo desde el cual suele sostener su teléfono móvil, y con ellos crea unos "perfiles" únicos para todos y cada uno de los usuarios.


Su comportamiento durante cada sesión, junto con otra información contextual, como los dispositivos, geolocalizaciones y redes que suelen usar, pueden compararse con su perfil online habitual y detectar así la más mínima anomalía que pueda sugerir la presencia de un fraude.



De este modo, puede generarse un "score" de riesgo, que informe a los analistas del banco en tiempo real del riesgo de que se produzca un fraude de banca online: es decir, un análisis de riesgo de las operaciones.

Al combinar este tipo de análisis con la tecnología del "deep learning", se crea una solución que puede autenticar al usuario de forma invisible a lo largo de toda la sesión de banca online, lo que supone que se cumple uno de los factores de autenticación (en este caso, el de inherencia) recogido en la SCA sin que pedir al usuario que realice ninguna acción.

La biometría del comportamiento es la clave para garantizar a los clientes una protección integral contra el fraude, así como el cumplimiento de la SCA y la PSD2, consiguiendo además una experiencia de usuario online sin fricciones.

Publicado por Juan David Castañeda

Over 10 years, Juan David has gained experience in the information security field, both in service provision roles, working for firms such as PwC, and with overall responsibility for the security model in organisations of the likes of Liberty Seguros Colombia and the Sanitas International Organisation. In 2018, he joined buguroo in the region of Latin America and the Caribbean to lead presales tasks that leverage business closures and company growth.


¿Te ha gustado? Comparte en tus comunidades sociales

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo