Europa y la regulación de la autenticación reforzada de clientes en pagos electrónicos.

A partir del 14 de septiembre del presente año, entra en vigor el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (en adelante, el Reglamento).  

El objeto del presente artículo es dotar al lector de una visión más aproximada acerca de las cuestiones que plantea el citado Reglamento, el cual, y a la vista está, no ha gozado de tanto reconocimiento ni repercusión como el ya conocido Reglamento General de Protección de Datos (en adelante, RGPD).

No son baladíes las cuestiones que se recogen, tanto en la Directiva (UE) 2015/2366 (en adelante, la Directiva), como en el Reglamento que la complementa, al entrar a regular y desarrollar ambas normativas las cuestiones relativas a la autenticación reforzada del cliente en lo referido a aquellos servicios de pago ofrecidos electrónicamente.

Con el avance de la tecnología, los riesgos en la seguridad relativa a los pagos electrónicos se han visto notoriamente incrementados. Anterior a la entrada en vigor del Reglamento, la legislación europea relativa a los sectores del mercado de pagos, que comprendía los pagos realizados con tarjeta, por internet, y los pagos móviles, no se encontraba lo suficientemente armonizada, generando tal inseguridad jurídica y desprotección de los consumidores, que la necesidad de una regulación común y una aplicación uniforme del marco regulación en la Unión era acuciante.

Debemos recalcar la importancia de la seguridad de los pagos electrónicos con el fin de establecer en la práctica, las medidas necesarias enfocadas a garantizar la protección de los usuarios dentro del comercio electrónico. Todos estos servicios ofrecidos de manera electrónica deben gozar de una adecuada protección, de manera que permitan garantizar una autenticación segura por parte del usuario, minimizando así el riesgo de fraude en el pago, u otro tipo de abusos que puedan llegar a producirse a la hora de realizar transacciones por internet.

Es por ello, que la Directiva, procede a definir, en su artículo 4, el concepto de “autenticación reforzada de cliente”, que hace referencia a la autenticación basada en dos o más elementos, de carácter independiente, entre los que encontramos los siguientes:

  • Conocimiento (algo que solamente conoce el usuario, como pudiera ser una contraseña).
  • Posesión (algo que solo posee el usuario, como un smartphone o una Tablet).
  • Inherencia (algo que es del usuario, por ejemplo, sensores biométricos, como puede ser su huella dactilar o reconocimiento facial).

La última cuestión relativa a la inherencia del usuario puede plantear interesantes cuestiones en lo que se refiere a la determinación de las obligaciones de los proveedores que realicen el tratamiento de los datos biométricos, catalogados en el RGPD como datos personales de carácter sensible, y que gozan de una especial atención a la hora de su tratamiento. 

El Reglamento consagra la segura autenticación del usuario en aras de minimizar el riesgo de fraude, y para ello determina que el procedimiento de autenticación deberá incluir:

  1. Mecanismos de supervisión de las operaciones con el fin de evitar el fraude, robo, o apropiación indebida de credenciales.
  2. Precisar la autenticación del usuario que hace uso del servicio de pago.
  3. Generación de un código de autenticación.

Ahora bien, la pregunta que ahora debemos plantearnos es ¿en qué supuestos se deberán aplicar los requisitos de autenticación reforzada del cliente?

El Reglamento deriva esta cuestión al artículo 97.1 de la Directiva, señalando así que los Estados miembros serán los encargados de velar por que los proveedores de servicios de pago apliquen la autenticación reforzada cuando el ordenante:

  1. Acceda a su cuenta de pago en línea.
  2. Inicie una operación de pago electrónico.
  3. Realice mediante medios remotos cualquier acción que pueda suponer un riesgo de fraude u otros tipos de abusos, a la hora del pago, al estar sujetas dichas operaciones remotas de pago a un mayor riesgo de fraude.

En todo caso, los Estados miembros deberán garantizar que los proveedores de servicios de pago cumplen con las medidas de seguridad encaminadas a proteger la confidencialidad e integridad de las credenciales de los usuarios de los servicios de pago.

La definición del concepto de “proveedores de servicios de pago”  que recoge la Directiva, engloba las siguientes entidades:

  • Entidades de crédito cuya actividad consista en recibir del público depósitos u otros fondos reembolsables, así como en la concesión de créditos por cuenta propia.
  • Entidades de dinero electrónico.
  • Instituciones de giro postal facultadas a tal efecto.
  • Entidades de pago.
  • Banco Central Europeo, bancos centrales nacionales, Estados miembros, autoridades regionales y locales cuando no actúen en condición de autoridad monetaria.

Por consiguiente, debemos señalar que la autenticación reforzada de clientes no se aplicará en todo caso, puesto que el Reglamento recoge en su Capítulo III una serie de exenciones, que se han definido, y de conformidad con la Directiva, sobre la base de los siguientes elementos:

  • El nivel de riesgo.
  • El importe la operación.
  • La frecuencia.
  • El canal de pago empleado para la ejecución de la operación de pago.

Los pagos efectuados mediante el uso de instrumentos de pago anónimos tampoco estarán sujetos a la obligación de autenticación reforzada.

Con todo, y en aras de mejorar la confianza y garantizar la autenticación reforzada de los usuarios, debemos hacer especial mención al Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, y por el que se deroga la Directiva 1999/93/CE, el cual recoge las disposiciones que aplican a los sistemas de identificación electrónica notificados por los Estados miembros, con el objetivo de garantizar el correcto funcionamiento del mercado interior, aspirando al mismo tiempo a un nivel de seguridad adecuado de los medios de identificación electrónica y los servicios de confianza.”  

Para concluir, debemos insistir en la importancia de implementación de estos sistemas de autenticación reforzada, puesto que, si bien es cierto que se está produciendo una disminución del fraude en las operaciones con tarjeta desde los últimos años hasta ahora, como consecuencia de la implementación de medidas de seguridad, tal y como la adopción del “Chip y PIN”, o la implementación de la autenticación mediante el sistema de “doble factor”, el Banco Central Europeo nos advierte que no debemos olvidarnos de que los fraudes en los pagos siguen estando a la orden del día, y cada vez sistemas más sofisticados son utilizados por los delincuentes digitales, pudiendo aparecer nuevas tipologías de fraude en los sistemas de pago.