Seguro que esta escena le resulta familiar: hay una aplicación en iTunes o Google Play que nos interesa, y con sólo un click podemos descargarla gracias a que los datos de pago ya están en el sistema de nuestro proveedor. Lo mismo sucede en el caso de Amazon, cada vez son más los aficionados a ‘irse de compras’ por el portal de Jeff Bezos, y con el sistema ‘1-click’ se encuentra en pocos minutos con un largo listado de productos camino de su casa.

Se trata de operaciones sencillas, con escaso riesgo de fraude y -por lo general- de un importe muy bajo, por lo que ni el comercio, ni el emisor de la tarjeta de crédito, ni el banco, nos solicitan el pin o algún otro código de seguridad. Algo muy cómodo para el usuario pero que, en el medio plazo, puede tener sus días contados.

El Parlamento Europeo aprobará en las próximas semanas el reglamento técnico regirá la denominada “autenticación reforzada de cliente y comunicación segura”. Una normativa que se engloba dentro de la nueva Directiva PSD2. Una ley comunitaria que regula los pagos en Europa, y que busca incrementar la competencia -dando mayor protagonismo a nuevos actores como las fintech frente a la banca-; la innovación, la seguridad y eliminar algunos recargos.

Mayores requisitos

Una de las principales novedades que incluye es la puesta en marcha de un ‘Sistema de Autenticación Reforzado’, que engloba exigir a los clientes una prueba de identidad superior a lo que tenemos hasta ahora. Para ello, obligará a combinar dos mecanismos basados en estos tres criterios: algo que soy, algo que tengo y algo que sé.

Por poner un ejemplo, un código PIN y una pregunta de seguridad; un código PIN y un SMS de texto. O un reconocimiento de pupila o de huella dactilar y un SMS.  De este modo, se busca mayor seguridad en la autenticación de los pagos, y se hará siempre que se acceda a una cuenta corriente o que se haga una operación de pago electrónico o con tarjeta. En esos caso o cuando se efectúe cualquier acción que pueda generar algún tipo de fraude.

Esto afectará a todas aquellas operaciones que realicemos -bien con tarjeta física o a través de un comercio electrónico. Sin embargo, hay algunas excepciones a esa norma. Por ejemplo, en el tema de pagos, no nos solicitarán códigos si pagamos con contactless en compras inferiores a 50 euros. (excepto si las compras acumuladas no superan los 150 euros, o hayamos hecho cinco compras).

Tampoco habrá que autenticarse si pagamos en los parquímetros, peajes, pagos repetidos dentro de una cuenta corriente, etc. Sin embargo, hay una excepción que afecta de lleno al comercio electrónico: se podrán efectuar sin identificación pagos en comercios electrónicos menores de 30 euros, siempre y cuando las compras acumuladas no superen los 100 euros o hayamos hecho cinco compras. Y sin límite de tiempo. Si haces cinco compras por Navidad y en febrero quieres hacer la sexta, te tocará volver a autenticarte.

Aún queda

La norma PSD2 entrará en vigor el 13 de enero, aunque el reglamento técnico no empezará a funcionar hasta septiembre de 2019. Incluso así, los grandes ‘retailers’ europeos ya han puesto el grito en el cielo. ¿Por qué? Básicamente la última excepción que hemos comentado.

Volvamos al caso práctico. Navegamos tranquilamente por la web de Amazon con el sistema ‘1-click’ y, hasta ahora, podemos comprar todo aquello que nos apetezca. La tarjeta ya está en poder de la web y, por tanto, nos cobra sobre la marcha. Esto no dificulta la navegación ni las compras. Sin embargo, a partir de ahora, si superamos los 100 euros en productos, o efectuamos cinco transacciones, nos requerirán una autenticación reforzada. Para muchos servicios no es tan importante, pero para uno que se hace llamar ‘1-click’ sí puede serlo.

Lo mismo sucede con las apps o con las canciones en iTunes. Imagínese que cuestan 0,99 euros. Pues cuando vayamos a comprar la sexta, el sistema nos obligará a autenticarnos de forma mucho más fuerte. Aplíquese también a las compras de apps para el móvil.

Las quejas del sector

Cómo será que la patronal que engloba a muchos de los retailers electrónicos como Ecommerce Europe, considera que “esas restricciones no son razonables en un entorno online”. En concreto, dice en un comunicado emitido la semana pasada que “el régimen de proporcionalidad del ‘Sistema de Autenticación Reforzada es cuestionable”.

Mucho más críticos se muestran desde EMOTA (European eCommerce & Omni-Channel Trade Association), quienes aseguran estar “preocupados” por ese umbral de los 30 euros.Recuerda que los retailers han “invertido en numerosas soluciones para combatir el fraude en los pagos online dando una gran experiencia al cliente, y se ha conseguido que los niveles de fraude caigan”. Considera que esos nuevos requisitos de autenticación “no son necesarios e introducirán nuevas cargas sobre los vendedores que no ayudarán a evitar el fraude”.

Ambas patronales confían en que se pueda encontrar una solución a este tema en las próximas semanas, pero fuentes del sector se muestran convencidas de que la normativa ya no se va a modificar. Se abre, eso sí, una ventana de apertura pasados 18 meses de la puesta en marcha de la normativa. Es decir, a partir de enero de 2021. Un mundo para un sector tan dinámico como el del comercio electrónico.

Es cierto que se podrían plantear algunas excepciones, pero estas pasarían por negociar directamente con los bancos. ¿El motivo? Que es a estos a los que traslada, en último lugar, la responsabilidad de que el fraude no se dispare. Por tanto, no parece simple que las entidades financieras vayan a suavizar esos umbrales.