La regulación europea en la industria de los pagos sigue siendo cada vez más agresiva en la persecución del fraude y el incremento de la seguridad. Normativas como la PSD2 y la autenticación reforzada SCA (acrónimo de las siglas en inglés de Strong Customer Authentication) son un claro ejemplo y aunque a día de hoy los responsables en el ecosistema de garantizar la seguridad ya están aplicando estas regulaciones y todo pareciera resuelto, el debate sobre cómo llevar a cabo la autenticación sigue abierto.
La usabilidad y experiencia de usuario como factor clave
Al amparo de las normativas europeas nuevos actores, nuevos servicios y más usuarios finales ingresan cada día en el ecosistema digital. Confianza y seguridad es la piedra angular para una experiencia de banca online eficiente. Esto obliga a los proveedores de servicios digitales a disponer de soluciones SCA que se caracterizan por incorporar un mecanismo de autenticación multifactor, que incluye :
- Algo que se posee: el dispositivo móvil, por ejemplo.
- Algo que se conoce: un PIN, por ejemplo.
- Algo que se es: una identificación biométrica (huella dactilar p.e.)
Las soluciones de SCA deben de utilizar al menos dos de los factores anteriores y lo más importante, hay que buscar el mejor equilibrio entre facilidad de uso y seguridad con objeto de impactar lo mínimo posible en la tasa de conversión, es decir en que las ventas finalmente lleguen a concretarse. Esto es precisamente lo que explica que la problemática de la autenticación siga abierta y en constante evolución. Mecanismos que ayudarían a minimizar el impacto de la autenticación reforzada son los que permiten determinar el nivel de autenticación necesario para cada transacción en función del scoring de riesgo asociado a la misma, y hacer una adecuada gestión de excepciones.
SCA no es solo aplicable al pago
Por otro lado, no debemos olvidar que la autenticación reforzada tiene sentido no solo para los casos de uso asociados al pago en entornos eCommerce (3D Secure) y en general a cualquier tipo de pago online, sino también para infinidad de otros casos de uso que impliquen el acceso a información sensible y en los que es fundamental asegurar que quien accede es realmente el propietario de los datos, por ejemplo, para el acceso a cuentas AIS (por sus siglas en inglés, Account Information Services) , la verificación de la identidad digital y el acceso a datos sanitarios.
Por razones de usabilidad y globalidad, parecería conveniente que su implantación se hiciera lo más universal posible con independencia del canal a través del cual operamos y del tipo de servicio digital que estemos solicitando. Las soluciones SCA requieren habitualmente de un dispositivo móvil para realizar el proceso de autenticación, que en el caso de los bancos que disponen ya de una aplicación de banca móvil se integra dentro de la misma. A través de su banca online, el usuario inscribe su móvil como factor de posesión para convertirlo en su dispositivo de autenticación y en él va a recibir las notificaciones para realizarla. Pero no todos los usuarios finales utilizan el dispositivo móvil de manera habitual si no que operan con un ordenador personal. El tener la posibilidad de habilitar la autenticación también en este dispositivo ampliaría el universo de usuarios a los que solicitar SCA en su operatoria sensible. En este caso, a diferencia de inscribir el dispositivo móvil, se registra el “browser” (navegador) del ordenador como factor de posesión. Adicionalmente en ambos casos para cumplir con SCA hay que incorporar al menos un segundo factor, tradicionalmente una password temporal (OTP) ó la password de banca electrónica o un PIN. Es precisamente este segundo factor el que hoy en día presenta puntos claros de mejora.
Hacia la eliminación de las password
El uso de passwords, que deben ser introducidas en cada caso, perjudica una buena usabilidad e impacta en la tasa de conversión. La tendencia claramente va en la línea de aplicar mecanismos biométricos, utilizándose ya en la actualidad las capacidades de los dispositivos, y progresivamente otras capacidades externas más sofisticadas para eliminar completamente las passwords y los códigos PIN. La biometría está demostrando ser extremadamente útil, proporcionando a los clientes la mejor experiencia en un entorno en línea totalmente seguro para realizar sus transacciones. El uso de la autenticación en navegador sería también un buen complemento y un reemplazo perfecto de la password OTP que se envía por SMS para aquellos consumidores que no utilizan smartphones. A día de hoy y con el nuevo estándar de autenticación FIDO2 (Fast Identity Online) creado por la alianza FIDO, es ya posible utilizar las capacidades biométricas del dispositivo (smartphone, ordenador) para eliminar completamente las passwords y los códigos PIN.
Worldline (perteneciente a la alianza FIDO), propone a los diferentes actores del ecosistema digital una solución universal de SCA llamada WL Trusted Authentication (WL TA), facilitando autenticación multifactor (factores de posesión, biométricos y de comportamiento) que ofrece una solución complementaria utilizable tanto en dispositivo smartphone como en navegadores con un alto nivel de seguridad y una excelente experiencia de usuario cumpliendo todos los requerimientos de SCA de la normativa PSD2.
Alberto Cerrada
Director de Financial Services de Worldline Iberia