La Autoridad Bancaria Europea (EBA) rechaza la biometría de los dispositivos móviles como método para la autenticación robusta de los clientes (SCA)
La Autoridad Bancaria Europea (ABE) exige la autenticación fuerte del cliente (SCA) para los pagos electrónicos con el fin de mejorar la seguridad. Sin embargo, la biometría en el dispositivo ya no se considera un método válido a utilizar como segundo factor de autenticación, según dictaminó la EBA el 31 de enero de 2023.
Si bien, no todos los usos de la biometría para verificar la identidad son iguales. En este artículo veremos por qué no se considera seguro el uso del dispositivo móvil como sistema de identificación biométrica y los métodos alternativos que sí los son.
¿Qué es la autenticación fuerte de cliente (SCA) en la Directiva sobre Servicios de Pago 2 (PSD2)?
La autenticación robusta de clientes (SCA) se trata de un requisito de seguridad establecido por la Autoridad Bancaria Europea (EBA) para la autenticación de clientes en el Espacio Económico Europeo (EEE). Este requerimiento consiste en cumplir con un proceso de autenticación que requiere dos o más factores de autenticación independientes para que un cliente pueda acceder de forma segura a sus cuentas en línea o completar una transacción de pago en línea.
SCA requiere que los clientes proporcionen dos o más de los siguientes factores de autenticación:
- Algo que el cliente conoce (por ejemplo, una contraseña o PIN),
- Algo que el cliente posee (por ejemplo, un teléfono móvil o un token de seguridad), y
- Algo que el cliente es (por ejemplo, datos biométricos como la cara, la huella dactilar o el reconocimiento de voz).
La SCA es una iniciativa dirigida a reducir el fraude y el acceso no autorizado a las cuentas de los clientes. Al implantar la SCA, los bancos y los Proveedores de Servicios de Pago (PSP) pueden ofrecer a los clientes un mayor nivel de seguridad y protegerlos de pérdidas financieras debidas a actividades fraudulentas. Además, el cumplimiento de la SCA es un requisito legal, y su incumplimiento puede acarrear sanciones y la pérdida de la confianza de los clientes.
¿Cómo afecta la SCA a las empresas del sector bancario?
Las entidades bancarias y financieras del EEE y el Reino Unido deben seguir la normativa SCA para evitar sanciones. Con la SCA se pretende reducir el fraude y mejorar la seguridad de los pagos electrónicos, fomentando la confianza y la fidelidad de los clientes. Esto puede implicar fricción adicional en el proceso de compra, y, por tanto, existe una oportunidad de innovación: ofrecer una experiencia de cliente sencilla a la par que segura.
¿Qué dice la EBA sobre la autenticación biométrica en los dispositivos?
El 31 de enero de 2023, la EBA, en su sección de preguntas y respuestas, habla sobre cuestiones relativas al uso de biometría en dispositivos móviles. Aclarando cómo debe añadirse la información de la tarjeta de pago a un monedero digital en un dispositivo móvil conforme a la PSD2.
Aclaran que el uso de una tarjeta de pago digital para realizar pagos requiere medidas de seguridad adicionales de la SCA a menos que haya razones específicas por las que sea innecesario. Además, el desbloquear de un teléfono mediante datos biométricos (como una huella dactilar o la cara), no puede considerarse una buena forma de verificar la identidad para añadir una tarjeta de pago a un monedero digital si el emisor de la tarjeta de pago no controla el mecanismo de bloqueo de la pantalla del teléfono.
Es decir, la EBA afirma que los métodos de autenticación móvil solo son seguros si el emisor puede controlarlos o asegurarse de que el usuario es legítimo.
¿En qué se diferencia la biometría en el dispositivo de la autenticación biométrica basada en la nube de Alice Biometrics?
Usar la biometría presente en los dispositivos móviles, como la huella dactilar o el reconocimiento facial para desbloquear el dispositivo, consiste en una sustitución de la contraseña de acceso al dispositivo, pero no comprueba la identidad del mismo. Es decir, la huella que introduces como sustituto de la contraseña podría ser perfectamente la de tu hermano o un amigo, y, por tanto, no se puede asegurar la identidad del usuario.
La EBA recomienda que una solución biométrica sea controlada por el emisor de la tarjeta y asociada a la identidad oficial del cliente, para ser utilizada como elemento de Autenticación Fuerte del Cliente (SCA). Sería el banco emisor de la tarjeta, con el uso de servicios de verificación de identidad remota como Alice, el que podría revisar la identidad del cliente en el momento de asociar una tarjeta al móvil.
Es decir, el uso de la biometría del dispositivo móvil no se puede asociar a algo que el cliente es, ya que no existe ningún control en el proceso de registro que valide que efectivamente es la persona autorizada. Sin embargo, con la verificación biométrica de Alice, se verifica la identidad de forma única y unívoca contra un elemento externo (documento de identidad) y es el emisor el que tiene el control sobre el proceso de verificación
Aumenta la seguridad y reduce el fraude de identidad con la tecnología de Alice
El servicio en la nube de autenticación biométrica de Alice, valida la identidad oficial de una persona antes de registrar sus datos biométricos, lo que garantiza que la persona que presenta el documento de identidad es auténtica y está presente en el proceso, validándolo además a través del mecanismo de prueba de vida.
Una vez que se completa el proceso de verificación, se puede emplear varios métodos de autenticación biométrica, como el reconocimiento facial para acceder al área privada de cliente, gestionar trámites, o hacer uso del dispositivo móvil como método de pago.
Alice garantiza que solo accede el usuario autorizado. De este modo, como bancos u entidad de servicios financieros puedes cumplir los requisitos que marca la PSD2 en materia de SCA. Además, podrás hacerlo al tiempo que proporcionas una experiencia sin fricciones, a diferencia de otros procesos de verificación que añaden pasos intermedios o tiempos de espera.
