Desde el pasado 1 de enero los bancos emisores de tarjetas y las empresas proveedoras de servicios de pago han debido implementar el sistema de autenticación reforzada (SCA), tal como recoge la Directiva UE 2015/2366 (PSD2) para garantizar la seguridad en las transacciones de pago realizadas por medios electrónicos y en entornos online (eCommerce). Ello implica la adaptación, por parte de aquellas organizaciones y de los comercios, de sus sistemas al protocolo de autenticación “3D-Secure 2.0”, el cual supone un avance importante sobre el anterior 3DS, lanzado en 1999.

Con el 3DS, las entidades emisoras han podido impedir y reducir el fraude comprobando que el usuario que pretende realizar un pago online con tarjeta sea el titular real. Ello ha permitido añadir una capa de seguridad adicional para evitar las devoluciones e incidencias por substracción de datos o suplantación de titularidad, y trasladar parte de la responsabilidad a la entidad que autorizó el pago.

La tecnología ha avanzado exponencialmente en las últimas dos décadas, siendo necesario adaptar la seguridad a los nuevos dispositivos y plataformas de eCommerce, por lo que la aparición de la 3DS2 hace unos años ha significado ampliar las opciones de autenticación y preparar las plataformas para generar más datos desde el vendedor a la entidad emisora; esto refuerza la verificación dinámica del titular mediante métodos de análisis inteligentes que evalúan el riesgo de la transacción para decidir qué nivel de comprobación hay que aplicar. Ello redunda en la posibilidad de personalizar las opciones de autenticación con alternativas como la biometría o la generación de códigos de un solo uso, lo que mejorará la experiencia de usuario, haciendo más simple el proceso y reduciendo el riesgo de abandono durante el proceso de compra.

Aunque la 3DS y la 3DS2 han convivido algún tiempo, es desde la entrada en vigor de la directiva europea PSD2 cuando el segundo método se hace más necesario para aplicar la autenticación reforzada del cliente (SCA) en todo el Espacio Económico Europeo. La SCA introduce tres métodos o factores de verificación adicionales a los habituales de fecha de caducidad y CVV, de los cuales dos deben usarse de manera independiente, aunque sucesivas, para acreditar la identidad el titular del medio de pago. Estos factores son de conocimiento (algo que el cliente conoce, por ejemplo su PIN), de posesión (algo que titular tiene, por ejemplo su móvil) y de inherencia (algo que es particular del usuario, por ejemplo su huella dactilar).

En el primer trimestre de este año, la Autoridad Bancaria Europea (EBA) emitirá un informe sobre el estado de cumplimiento de la aplicación de la SCA por parte de entidades emisoras, proveedores de servicios de pago, entidades de dinero electrónico, pasarelas de pago, etc., a partir de la información proporcionada por las autoridades nacionales competentes, lo que aportará una imagen real de las capacidades de adaptación y resolución de estas empresas a la nueva normativa.

Esta información será relevante para justificar o repensar las sospechas de incremento de fraude que se han producido como consecuencia de la aceleración digital ocasionada durante 2020 debido al confinamiento y al crecimiento de las compras en canales online. Según el informe «Visa Back to Business Study – 2021«, el 82% de las pymes encuestadas se ha tenido que adaptar digitalmente para satisfacer los cambios en el comportamiento de los consumidores y prevén adoptar mejoras en el software de gestión de seguridad y fraude (47%), aceptar pagos móviles y NFC (44%), introducir nuevos sistemas de pago aplazado (36%) e impulsar envíos de dinero inmediato, por suscripción o recurrentes (31%).

Este panorama invita a prepararse frente a la proliferación de actos fraudulentos, como los descritos por Experian en su informe Future of Fraud Forecast, en el que destaca cinco amenazas que pueden presentarse en 2021.

  • ID Frankenstein, o identidad sintética, se produce cuando se usa parte de información real y parte falsa para crear una identidad nueva. Está siendo muy común en la composición de rostros aparentes en la generación del alta de un perfil de cliente inexistente que pueda ser utilizado en los sistemas de reconocimiento facial.
  • Oferta de vacunas contra la COVID-19, como las advertidas por las autoridades sanitarias en la que se usan plataformas de venta para captar consumidores vulnerables y sustraer datos de sus medios de pago.
  • Robo de subvenciones y fondos de estímulo para personas que han sufrido la crisis económica de la pandemia, mediante la suplantación de identidad para interceptar pagos.
  • Automatización de métodos de fraude a través de bots y scripts que, a partir del robo de las credenciales, pueden usar para crear cuentas falsas de usuario para lanzar ataques a empresas o entidades.
  • Mayor vulnerabilidad de las empresas con sistemas de prevención de fraude mediocres o insuficientes, que suelen ser las que han tenido que adaptarse rápidamente al eCommerce para sobrevivir durante el prologando confinamiento y cierre de establecimientos físicos.

Aunque estas predicciones se han hecho para el mercado USA, pueden ser aplicables a nivel global ya que la situación ha afectado a toda la industria de pagos que, en general, debe seguir manteniendo la confianza del consumidor en los sistemas sin contacto y en una identidad digital que realmente sea segura y unificada universalmente. La diversidad de soluciones dependiendo de sistemas, plataformas, entidades y países hacen que el usuario siga siendo vulnerable y que la revolución de los pagos digitales continúe posponiéndose hasta que no se brinde una identificación y una verificación únicas y sencillas, de manera que el usuario tenga mayor sensación de seguridad y su experiencia de uso sea inmejorable y la misma para todos los procesos de pago.

Los emisores de tarjetas tienen el desafío de innovar en su producto para añadir nuevos sistemas, como sensores biométricos, o abordar nuevos conceptos, como el de tarjeta inteligente, para compensar el avance de los pagos electrónicos en dispositivos móviles, y adelantarse a soluciones de envío de dinero inmediato (transferencias y adeudos directos) que pueden prescindir de intermediarios financieros, moviendo el dinero del comprador al vendedor en una sola transacción. En cualquier caso, la directiva europea de servicios de pago (PSD2) y la regulación bancaria están ampliando las posibilidades para que el mercado de pagos sea versátil e innovador, pero también exigen que sea altamente seguro para el usuario, lo cual pasa por el cumplimiento de los requerimientos de autenticación (SCA) y el uso del estándar de seguridad 3DS2 para garantizar la identificación digital.

No obstante, estos requerimientos pueden tener un impacto negativo sobre el mercado de pagos, ya que, según se desprende del informe Evaluación del Impacto Económico de la SCA realizado por CMSPI, un 59% de las transacciones podrían ser abandonadas por el usuario durante el proceso de autenticación por varios motivos: la complejidad para verificar la identidad, errores técnicos en las transacciones o deficiente adaptación del 3DS al 3DS2 por parte de entidades (solo el 7% en España puede realizarlo con garantías) y comercios (no hay % cierto).

El verdadero reto que sería necesario abordar radica en evolucionar el 3DS2 hacia un sistema que permita la creación de una identidad que sea propiedad del usuario, que pueda ser administrada y controlada por éste en cualquier transacción y dispositivo, y que sea universal, tanto para los agentes que intervienen desde la iniciación del pago como para los medios que el usuario decida usar.

 

José Manuel Navarro Llena

CMO en MOMO Group.

Publicado en el Nº 64 de IT USER (págs. 77-79)