¿Qué es la Autentificación Reforzada del Cliente o SCA?

Alicio

Alicio

El aumento de la ciberdelincuencia y los casos de fraude requieren cada vez mayores medidas de protección. 

Por eso, como habrás notado, en los últimos tiempos hemos tenido que adaptarnos a algunos cambios, en materia de seguridad y autenticación, cuando navegamos por internet.  

En este contexto, surge el marco SCA o Autenticación Reforzada de Cliente (en inglés, Strong Customer Authentication), que se corresponde con un conjunto de directrices de la Comisión Europea.

La SCA también es más complicada de lo que parece, ya que se aplican ciertas excepciones y exclusiones a algunos tipos de negocios. En este artículo exploramos el marco SCA con más detalle, ya que se corresponde con la base para comprender las diversas herramientas que engloba.

¿Qué es SCA o Autenticación Reforzada de Cliente?

La normativa SCA pretende mejorar la seguridad del comercio electrónico y dificultar que los estafadores roben contenido digital, dinero y datos. 

Se trata de la nueva forma de garantizar que la información financiera de negocios y usuarios operando en internet está segura. El objetivo de este marco normativo es evitar el acceso no autorizado a cuentas o tarjetas de crédito. 

La SCA funciona mediante el uso de una combinación de tres factores para verificar la identidad de los usuarios que realizan compras:

  • Algo que sabe el usuario (pin, contraseña, etc.)
  • Algo que tiene el usuario (teléfono inteligente pre-registrado, tarjeta de crédito o débito, etc.)
  • Algo que le define y es único (huella digital, escaneo de iris, etc.)

Este sistema garantiza que nadie más que el dueño de una determinada cuenta pueda acceder a sus cuentas. 

El SCA evita que los ciberdelincuentes roben o alteren la información de las tarjetas de sus víctimas. 

¿Qué es la autenticación de dos factores (2FA)?

Las contraseñas son vulnerables, por eso, la autenticación de dos factores para su cuenta brinda seguridad adicional para iniciar sesión. 

La 2FA permite acceder a una cuenta con dos formas de identificación: una contraseña y un teléfono móvil. Debe ingresar un código único enviado por mensaje de texto a su teléfono.

2FA hace que sea mucho más difícil para alguien ingresar a su cuenta sin permiso. La mejor parte de la autenticación de dos factores es lo fácil que es configurarla. Dependiendo del sitio o servicio que esté usando, ¡puede que solo tome 30 segundos! Puede hacer esto en cualquier momento; no hay necesidad de esperar hasta que ocurra un problema.

¿Qué nuevas herramientas están disponibles para ayudar a los clientes a garantizar que cumplen con SCA?

Existen diversas herramientas disponibles para que las empresas cumplan con el SCA, como por ejemplo, el SCA Exemption Engine y el 3DS Flex.

SCA Exemption Engine 

Esta herramienta permite que las empresas identifiquen qué transacciones quedan fuera de la normativa SCA en función de su bajo riesgo. De este modo, podrán: 

  • Reducir costes de procesamiento
  • Proteger su negocio y la formación de cuentas de sus clientes
  • Evitar la necesidad de almacenar información confidencial a largo plazo

3DS Flex

La necesidad de pagos seguros con tarjeta está evolucionando. 3DS Flex es una red de seguridad que ayuda a asegurar las transacciones y a prevenir el fraude. También incluye todas las últimas versiones de los estándares de autenticación 3D Secure. Con esta herramienta, las empresas pueden:

  • Mantenerse al día con los cambios en la industria
  • Cumplir con las regulaciones sin necesidad de pasar horas examinando jerga confusa

Exenciones y exclusiones de la SCA

Como comentábamos, es posible excluir o eximir ciertos pagos de SCA en ciertas circunstancias.

Exclusiones de SCA

Las transacciones que no están dentro del alcance de PSD2 son:

  • Si el banco emisor de la tarjeta o el banco comercial tiene su sede en un país fuera del EEE, no debería necesitar SCA
  • En pagos recurrentes. Cuando el usuario está suscrito a un producto o servicio, no se requerirá SCA en los pagos siguientes a la aceptación inicial 
  • SCA no se aplica a las transacciones de pedido por correo/pedido por teléfono (MOTO).

Exenciones de la SCA

Las exenciones de SCA son situaciones en las que no es necesario que se verifique como titular de la tarjeta.

Las transacciones de bajo riesgo: Transaction Risk Analysis (TRA) es un protocolo de seguridad. Permite a los bancos y comerciantes evaluar el nivel de riesgo de una transacción en particular. La exención TRA se basa en información como:

  • La cuantía de la transacción
  • La ubicación de la dirección IP del cliente

Las transacciones de bajo valor: El titular de la tarjeta no está obligado a autenticar los pagos electrónicos a distancia inferiores a 30€. El importe acumulado desde la última SCA debe ser inferior a 100€.

Transacciones corporativas exentas: no se requiere SCA para pagos B2B realizados mediante un proceso dedicado seguro. Incluye tarjetas corporativas no utilizadas por personas, p. tarjetas alojadas y tarjetas virtuales.

Transacciones exentas en la lista blanca: los clientes pueden agregar un comerciante a una «lista blanca» que tiene su banco. Un cliente necesitaría hacer SCA en la primera transacción de pagos recurrentes. No es necesario hacer SCA sobre el resto de pagos recurrentes.

Si te ha gustado, comparte en