3DS2: solución y reto

Desde el pasado 1 de enero los bancos emisores de tarjetas y las empresas proveedoras de servicios de pago han debido implementar el sistema de autenticación reforzada (SCA), tal como recoge la Directiva UE 2015/2366 (PSD2) para garantizar la seguridad en las transacciones de pago realizadas por medios electrónicos y en entornos online (eCommerce). Ello implica la adaptación, por parte de aquellas organizaciones y de los comercios, de sus sistemas al protocolo de autenticación “3D-Secure 2.0”, el cual supone un avance importante sobre el anterior 3DS, lanzado en 1999.

Con el 3DS, las entidades emisoras han podido impedir y reducir el fraude comprobando que el usuario que pretende realizar un pago online con tarjeta sea el titular real. Ello ha permitido añadir una capa de seguridad adicional para evitar las devoluciones e incidencias por substracción de datos o suplantación de titularidad, y trasladar parte de la responsabilidad a la entidad que autorizó el pago.

La tecnología ha avanzado exponencialmente en las últimas dos décadas, siendo necesario adaptar la seguridad a los nuevos dispositivos y plataformas de eCommerce, por lo que la aparición de la 3DS2 hace unos años ha significado ampliar las opciones de autenticación y preparar las plataformas para generar más datos desde el vendedor a la entidad emisora; esto refuerza la verificación dinámica del titular mediante métodos de análisis inteligentes que evalúan el riesgo de la transacción para decidir qué nivel de comprobación hay que aplicar. Ello redunda en la posibilidad de personalizar las opciones de autenticación con alternativas como la biometría o la generación de códigos de un solo uso, lo que mejorará la experiencia de usuario, haciendo más simple el proceso y reduciendo el riesgo de abandono durante el proceso de compra.

Aunque la 3DS y la 3DS2 han convivido algún tiempo, es desde la entrada en vigor de la directiva europea PSD2 cuando el segundo método se hace más necesario para aplicar la autenticación reforzada del cliente (SCA) en todo el Espacio Económico Europeo. La SCA introduce tres métodos o factores de verificación adicionales a los habituales de fecha de caducidad y CVV, de los cuales dos deben usarse de manera independiente, aunque sucesivas, para acreditar la identidad el titular del medio de pago. Estos factores son de conocimiento (algo que el cliente conoce, por ejemplo su PIN), de posesión (algo que titular tiene, por ejemplo su móvil) y de inherencia (algo que es particular del usuario, por ejemplo su huella dactilar).

En el primer trimestre de este año, la Autoridad Bancaria Europea (EBA) emitirá un informe sobre el estado de cumplimiento de la aplicación de la SCA por parte de entidades emisoras, proveedores de servicios de pago, entidades de dinero electrónico, pasarelas de pago, etc., a partir de la información proporcionada por las autoridades nacionales competentes, lo que aportará una imagen real de las capacidades de adaptación y resolución de estas empresas a la nueva normativa.

Esta información será relevante para justificar o repensar las sospechas de incremento de fraude que se han producido como consecuencia de la aceleración digital ocasionada durante 2020 debido al confinamiento y al crecimiento de las compras en canales online. Según el informe «Visa Back to Business Study – 2021«, el 82% de las pymes encuestadas se ha tenido que adaptar digitalmente para satisfacer los cambios en el comportamiento de los consumidores y prevén adoptar mejoras en el software de gestión de seguridad y fraude (47%), aceptar pagos móviles y NFC (44%), introducir nuevos sistemas de pago aplazado (36%) e impulsar envíos de dinero inmediato, por suscripción o recurrentes (31%).

Este panorama invita a prepararse frente a la proliferación de actos fraudulentos, como los descritos por Experian en su informe Future of Fraud Forecast, en el que destaca cinco amenazas que pueden presentarse en 2021.

  • ID Frankenstein, o identidad sintética, se produce cuando se usa parte de información real y parte falsa para crear una identidad nueva. Está siendo muy común en la composición de rostros aparentes en la generación del alta de un perfil de cliente inexistente que pueda ser utilizado en los sistemas de reconocimiento facial.
  • Oferta de vacunas contra la COVID-19, como las advertidas por las autoridades sanitarias en la que se usan plataformas de venta para captar consumidores vulnerables y sustraer datos de sus medios de pago.
  • Robo de subvenciones y fondos de estímulo para personas que han sufrido la crisis económica de la pandemia, mediante la suplantación de identidad para interceptar pagos.
  • Automatización de métodos de fraude a través de bots y scripts que, a partir del robo de las credenciales, pueden usar para crear cuentas falsas de usuario para lanzar ataques a empresas o entidades.
  • Mayor vulnerabilidad de las empresas con sistemas de prevención de fraude mediocres o insuficientes, que suelen ser las que han tenido que adaptarse rápidamente al eCommerce para sobrevivir durante el prologando confinamiento y cierre de establecimientos físicos.

Aunque estas predicciones se han hecho para el mercado USA, pueden ser aplicables a nivel global ya que la situación ha afectado a toda la industria de pagos que, en general, debe seguir manteniendo la confianza del consumidor en los sistemas sin contacto y en una identidad digital que realmente sea segura y unificada universalmente. La diversidad de soluciones dependiendo de sistemas, plataformas, entidades y países hacen que el usuario siga siendo vulnerable y que la revolución de los pagos digitales continúe posponiéndose hasta que no se brinde una identificación y una verificación únicas y sencillas, de manera que el usuario tenga mayor sensación de seguridad y su experiencia de uso sea inmejorable y la misma para todos los procesos de pago.

Los emisores de tarjetas tienen el desafío de innovar en su producto para añadir nuevos sistemas, como sensores biométricos, o abordar nuevos conceptos, como el de tarjeta inteligente, para compensar el avance de los pagos electrónicos en dispositivos móviles, y adelantarse a soluciones de envío de dinero inmediato (transferencias y adeudos directos) que pueden prescindir de intermediarios financieros, moviendo el dinero del comprador al vendedor en una sola transacción. En cualquier caso, la directiva europea de servicios de pago (PSD2) y la regulación bancaria están ampliando las posibilidades para que el mercado de pagos sea versátil e innovador, pero también exigen que sea altamente seguro para el usuario, lo cual pasa por el cumplimiento de los requerimientos de autenticación (SCA) y el uso del estándar de seguridad 3DS2 para garantizar la identificación digital.

No obstante, estos requerimientos pueden tener un impacto negativo sobre el mercado de pagos, ya que, según se desprende del informe Evaluación del Impacto Económico de la SCA realizado por CMSPI, un 59% de las transacciones podrían ser abandonadas por el usuario durante el proceso de autenticación por varios motivos: la complejidad para verificar la identidad, errores técnicos en las transacciones o deficiente adaptación del 3DS al 3DS2 por parte de entidades (solo el 7% en España puede realizarlo con garantías) y comercios (no hay % cierto).

El verdadero reto que sería necesario abordar radica en evolucionar el 3DS2 hacia un sistema que permita la creación de una identidad que sea propiedad del usuario, que pueda ser administrada y controlada por éste en cualquier transacción y dispositivo, y que sea universal, tanto para los agentes que intervienen desde la iniciación del pago como para los medios que el usuario decida usar.

 

José Manuel Navarro Llena

CMO en MOMO Group.

Publicado en el Nº 64 de IT USER (págs. 77-79)

 

Los datos impulsarán los medios de pago

En el reciente informe realizado por Nielsen, “2018 Trends from Mobile Payments in Chinese Outbound Tourism”, se analizan las tendencias del mercado de consumo en China y se sugieren los recursos que los países receptores del turismo chino deberían priorizar para incrementar sus ventas en 2019. De las 10 tendencias apuntadas, la última hace referencia a la gestión de los datos como factor clave para integrar personas, productos y lugares.

Resultado de imagen de datos y medios de pago

El desarrollo de las tecnologías de la comunicación ha favorecido un crecimiento paralelo de la conciencia del consumidor respecto de su papel en la relación comercio-cliente, de manera que éste ha tomado el control no solo de sus decisiones sino, y más importante, de la repercusión de sus acciones mediante una comunicación más amplia y precisa en redes sociales. Ahora tiene unas capacidades de decisión y de influencia más selectivas y poderosas.

Las características del complejo mercado minorista chino, por su número (3.2 millones) y extensa área de distribución (2.200 ciudades), han provocado históricamente una intensa rotación de los comercios (en algunas regiones de hasta el 48% anual). Este hecho lo están afrontando mediante la integración de los datos de personas, productos y zonas geográficas para facilitar la comprensión de la conducta del consumidor, de sus necesidades y demandas. La gestión del “big data” la han direccionado hacia la predicción del potencial de consumo y del desarrollo de tendencias del mismo. Por lo que están siendo más precisos en la oferta personalizada, con el consiguiente éxito de ventas.

Por otro lado, Nielsen fue invitado a presentar en el World Economic Forum de 2019 la  plataforma de colaboración de datos para el desarrollo sostenible “Project 8”, creada por la Fundación de Naciones Unidas y The Demand Institute para desarrollar una comunidad global de información digital orientada a compartir, comparar y discutir sobre qué datos analizar para compatibilizar el desarrollo sostenible con la evolución de las necesidades humanas mediante modelos predictivos capaces de minimizar incertidumbres. Un ejemplo de ello ha sido, a petición del Programa Mundial de Alimentos, la elaboración de algoritmos para pronosticar hambrunas en cualquier parte del mundo, mediante el uso de bases de datos e indicadores suficientes para construir un complejo marco analítico que contribuya a acabar con el hambre.

La administración de datos (públicos) por parte de la comunidad internacional puede, y debe, conducir también a la elaboración de estadísticas oficiales que permitan la creación de indicadores más fiables que tengan impacto sobre las decisiones que adoptan las personas, las empresas y los gobiernos (como son los económicos que afectan a la evolución de la balanza de pagos, de los niveles de ocupación, de los tipos de interés o de los precios al consumo).

Como vemos, el manejo de bases de datos privadas y públicas de forma consistente tendrá grandes ventajas predictivas. Máxime si se hace de forma conjunta como ha revelado el informe de Tendencias de Medios de Pago 2018 realizado por Minsait, en el que se sugiere que las empresas procesadoras de pagos deben ser Data Driven Companies, ya que son entidades reguladas en un entorno competitivo complejo, caracterizadas por un marcado carácter innovador.

La reciente legislación europea sobre protección de datos (RGPD) y sobre servicios de pago (PSD2) ha definido con claridad el camino a seguir hacia un modelo real de Open Banking que diferenciará dos líneas de soluciones: las protagonizadas por el cash-back y el uso de QR y, por otro lado, el conjunto formado por wallets digitales, transacciones de pago inmediato e identidad digital basada en blockchain.

Así, la economía digital camina hacia una nueva economía del dato en la que lo más importante será la exploración de nuevas oportunidades para la creación y comercialización de productos y servicios de valor que integren los canales tradicionales con el eCommerce y mCommerce mediante programas personalizados que impulsen itinerarios de pago adaptados al comportamiento de compra de cada usuario, para cada necesidad concreta y en cada entorno particular.

 

José Manuel Navarro Llena

CMO MOMO Group.

 

Publicado en el Nº 43 de IT USER (págs. 94-95)

Ir a Arriba