Autenticación en la banca europea

La norma europea PSD2 (Segunda Directiva de Servicios de Pago), en vigor desde 2019, recoge la obligatoriedad para las empresas proveedoras de servicios de pago de la autenticación reforzada de sus clientes. Esta norma se aplica a los distintos servicios de pagos y operaciones financieras, que incluyen inicios de sesión en aplicaciones móviles y sitios web. 

La autenticación reforzada implica que el cliente utilice al menos dos medios o sistemas distintos para verificar su identidad cuando realice un servicio de pago. Estos datos son conocidos como factores de autenticación y pueden ser de tres tipos: 

  1. Basado en el conocimiento: algo que sólo el usuario conoce. Por ejemplo, una contraseña alfanumérica o una respuesta a una pregunta que él mismo ha configurado con anterioridad.  
  1. Basado en la posesión: algo que el usuario posee. Por ejemplo, el teléfono móvil al que llega un sms con una clave que debemos activar, lo que demuestra que poseemos el dispositivo móvil de forma física. 
  1. Autenticación inherente: atributo físico que el usuario demuestra como propio. Por ejemplo, su huella digital o rostro a través de la tecnología biométrica 

 

La autenticación comienza en la aplicación 

La Autoridad Bancaria Europea (EBA) fue consultada sobre si la autenticación para desbloquear el dispositivo móvil contaba como uno de estos factores, tal es el caso de un usuario de servicios de pago que utiliza una tarjeta en una billetera electrónica como Apple Pay. 

La cuestión que se planteó era que, si cuando desbloqueamos un dispositivo móvil, al haber un elemento de SCA (posesión) que está presente durante la emisión de tokens con la activación del PIN o la inherencia de la huella digital o reconocimiento facial, se considera un requisito de autenticación reforzada. 

La contestación de la EBA fue clara: no considera que el desbloqueo de un teléfono móvil con datos biométricos, un pin o password, es un elemento válido de autenticación reforzada.  

La Autoridad Bancaria Europea argumentó que este procedimiento no confirma el control de la entidad bancaria del mecanismo de bloqueo de la pantalla del dispositivo móvil, por lo que no puede verificar la identidad del usuario. Al no poder asegurar que el usuario es el que está utilizando esos mecanismos de forma legítima, desestimó incluirlos como factores de autenticación.