Circulars

#725

Les empreses estaran obligades a reforçar la verificació dels pagaments realitzats a través d’Internet

El pròxim 14 de setembre serà efectiva la normativa europea de serveis de pagament en línia, (anomenada PSD2), un sistema que facilita els serveis de pagament en línia en tot el territori comunitari amb més seguretat i adaptat a les noves tecnologies. El seu negoci en línia està preparat per a aquests canvis?

En el BOE del dia 24 de novembre del 2018, es va publicar el Reial decret llei 19/2018, de serveis de pagament i altres mesures urgents en matèria financera, que trasllada la Directiva UE 2015/2366 (denominada PSD2) sobre serveis de pagament en el mercat interior i que pretén avançar en l’adaptació de la regulació als nous canvis tecnològics que permetin als usuaris disposar d’una forma més fiable de nous serveis de pagament.

Quan paguem en un comerç físic o en línia, existeixen una sèrie de mesures de seguretat per a demostrar que som realment nosaltres els qui estem realitzant la compra. PIN, contrasenya, targeta… Són moltes les maneres d’autenticar-nos quan comprem, però des d’Europa s’ha volgut fer un pas més enllà, en honor de la seguretat en les transaccions i l’accés a dades sensibles, com poden ser els del nostre compte bancari.

Canvis a partir del 14 de setembre del 2019

Entre les normes que complementen a PSD2 es troba el Reglament delegat 2018/389, relatiu a les normes tècniques de regulació per a l’autenticació reforçada de clients. Estableix l’autenticació reforçada del client o SCA, és a dir, el nou marc regulador europeu per a reduir el frau i realitzar pagaments en línia de forma més segura.

Aquesta norma afectarà qualsevol pagament en línia iniciat per l’usuari dins d’Europa. És a dir, s’aplicarà a transaccions en línia on el comerciant i el banc del titular de la targeta estan situats a Europa.

Aquesta obligació d’autenticació reforçada del client o SCA entra en vigor el 14 de setembre del 2019, que modificarà aquests últims passos que donem quan fem una compra, i sobretot en línia, i suposarà que des d’aquesta data qualsevol pagament en línia que requereixi SCA i no compleixi els seus criteris, serà rebutjat pel banc.

Per tant, qualsevol prestador de serveis de pagament, però també qualsevol servei en línia que els usi (un e-commerce, serveis de subscripció, per a llogar vehicle, compartir un viatge o fer micromecenatge, entre altres) haurà d’haver revisat els seus processos de pagament per a assegurar que tot està en ordre.

L’autenticació reforçada del client o SCA no serà necessària en pagaments recurrents iniciats pel comerciant, ni en operacions iniciades per un comerç en línia prèviament autoritzat pel client (els comerços de confiança) i tampoc en pagaments amb targeta realitzats en persona (menys els contactless), entre altres excepcions.

La particularitat de l’autenticació reforçada del client o SCA és que afegeix als pagaments en línia un pas intermedi. Ara, a més de l’autorització del pagament i del seu càrrec, s’inclou l’autenticació del pagament.

Per a reforçar la seguretat en les nostres compres i reforçar precisament aquesta autenticació, a l’hora de realitzar el pagament se’ns exigirà complir amb 2 dels 3 requisits següents (que cada banc establirà segons el seu criteri):

  • El primer és el del coneixement, alguna cosa que sabem. Això ja se’ns sol·licitava, com un número PIN o una contrasenya.
  • La segona opció és la de la possessió, alguna cosa que tenim i que és impossible de duplicar. També és una altra de les opcions més utilitzades fins al moment, com una targeta de crèdit o dèbit, o el propi telèfon mòbil.
  • L’última de les opcions és la de la inherència, alguna cosa que som. En aquest aspecte, la biometria juga un paper fonamental, a través d’elements com l’empremta dactilar o el reconeixement facial.

Així mateix, aquests elements han de ser:

  • Independents, de manera que el compromís d’un no impliqui el dels altres. Per exemple, encara que un hacker pugui robar mitjançant un enregistrador de teclat una contrasenya (alguna cosa que l’usuari sap), això no hauria de donar-li accés a altres elements físics com el telèfon mòbil.
  • Almenys un dels elements ha d’estar dissenyat per a preservar la confidencialitat de les dades d’autenticació.
  • Almenys un dels elements ha de ser no replicable i no reutilitzable.
  • Almenys un dels elements no ha de ser susceptible de ser robat a través d’Internet.

A més, aquest procés d’autenticació tindrà com a resultat la generació d’un codi d’autenticació únic en relació a la transacció. És a dir, un codi d’un sol ús obtingut a partir dels elements d’autenticació i que haurà de complir amb els següents requisits:

  • Si es divulgués el codi, a partir d’ell no s’ha de poder obtenir informació sobre els elements d’autenticació.
  • No ha de ser possible crear un nou codi a partir d’un anterior.
  • Ha de ser impossible falsificar el codi.

Quins processos ha de seguir el seu negoci en línia?

S’ha de posar en contacte amb el seu proveïdor de serveis de pagament per a verificar que compleix amb la normativa. Fet això, comprovar que la usabilitat i l’experiència d’usuari en les transaccions en línia no es veuran afectades, augmentant les taxes d’abandó de processos de compra.

També ha de determinar si escau si és possible que algunes de les excepcions a l’autenticació reforçada del client o SCA resultin aplicables.

En el seu cas, també haurà de revisar els seus termes i condicions i posar-los al dia, principalment les seves condicions de contractació i la seva política de privacitat.

Es poden posar en contacte amb aquest despatx professional per qualsevol dubte o aclariment que puguin tenir sobre aquest tema.

Compartir a