Estamos a menos de un mes de la entrada en vigor de la nueva normativa de pagos, cuyas siglas en inglés “PSD2” (Payment Service Directive 2) quizás hayas visto en alguna comunicación reciente de tu entidad financiera. Y probablemente te preguntes, ¿y esto realmente qué es y en qué me va a afectar a mí? Es una directiva europea que tiene como objetivo reducir el fraude y hacer nuestras compras por Internet más seguras, y nos afecta a todos desde el 1 de enero de 2021.

La Comisión Europea publicó hace unos años la segunda directiva europea de pagos en la que incorporó la necesidad de incrementar la seguridad de todas las transacciones electrónica, obligando a identificarnos de una forma más robusta, tanto para acceder a nuestra entidad bancaria como para realizar pagos y compras online.

Por ese motivo introdujo la autenticación reforzada que utiliza dos factores diferentes de identificación (algo que tienes, algo que sabes o algo que “eres”, como la huella dactilar o el iris). Con el uso de dos factores se incrementa la seguridad sensiblemente, ya que alguien que quisiera suplantarnos tendría que disponer de dichos dos factores.

Esto es algo que ya estamos haciendo en nuestro día a día cuando pagamos con nuestra tarjeta física, ya que usamos algo que solo nosotros tenemos: la tarjeta, que no se puede clonar, y el PIN, algo que solo nosotros sabemos. Gracias a este proceso, el fraude en pagos presenciales ha desaparecido. 

La novedad de esta norma reside en que ahora, para nuestras compras por Internet o en nuestro acceso a la banca online, también tendremos que hacer uso de esa autenticación reforzada, salvo en algunas excepciones que luego comentaremos.

Algunos bancos usarán la huella dactilar o el reconocimiento facial, que muchos de nuestros teléfonos móviles ya llevan incorporados como factor de “algo que somos”.

¿Y qué significa tener que utilizar dos factores de autenticación? En la práctica significa que nuestro teléfono móvil se convierte en una de las “llaves” para poder comprar en internet, pasando a convertirse en ese “algo que yo solo tengo”, independientemente de que estemos comprando a través de él o en nuestro ordenador o tableta.

Nuestro teléfono móvil nos identificará de forma fehaciente como los dueños de la tarjeta que estemos usando para comprar en Internet. Algunas entidades financieras nos enviarán un código de identificación por SMS (como hasta ahora), pero la gran mayoría utilizarán la app bancaria que tenemos instalada en nuestro móvil, recibiendo en este caso una notificación en nuestro dispositivo.

El segundo factor lo definirá nuestra entidad financiera, pudiendo ser una clave que hayamos definido para las compras online, la propia clave de acceso a nuestra banca online o alguna pregunta relacionada con el PIN de nuestra tarjeta. Algunos bancos, sin embargo, usarán la huella dactilar o el reconocimiento facial, que muchos de nuestros teléfonos móviles ya llevan incorporados como factor de “algo que somos”.

Entonces, ¿qué es lo que tengo que hacer para estar listo?

A modo de resumen, y sin intentar ser exhaustivo, lo más importante que tenemos que tener en cuenta es lo siguiente:

- Asegurarnos de que nuestra entidad financiera tiene nuestro número actual de móvil.

- Descargarnos la última versión de la aplicación bancaria y mantenerla actualizada.

- Seguir los pasos que nuestra entidad financiera nos haya indicado para activar la “validación móvil” o la “compra por internet” (cada entidad lo denomina de una manera diferente). En muchos casos no habrá que hacer nada, ya que nuestra entidad nos habrá activado el servicio por defecto sin necesidad de ningún paso adicional. En caso de duda, consulta directamente en la página de tu entidad, donde encontrarás información al respecto (a veces referenciada con las siglas que indicaba al principio, PSD2).

- Tener cerca nuestro móvil cuando hagamos una compra online.

¿Cómo va a cambiar la forma en la que compramos en Internet debido a la nueva regulación?

En la mayoría de los casos las compras no van a cambiar. Normalmente compramos en los mismos comercios, con la misma tarjeta, desde el mismo dispositivo (ordenador personal, móvil o tableta), desde la misma ubicación y por unos importes dentro de un rango.

En estos casos, tanto los comercios como los emisores analizarán en tiempo real toda la información de la transacción para decidir si es necesario identificar al usuario o no. Como digo, muchas veces “sabrán” que eres tú quien realiza la compra y nos dejarán completarla sin ningún paso adicional.

Sin embargo, otras veces veremos cómo, tras la compra en la página del comercio, tendremos que identificarnos. En la página de identificación nos indicarán los pasos a seguir, que seguirán uno de estos dos procesos:

- Introducir un código que recibiremos por SMS en el móvil (como hasta ahora) y añadir una clave adicional que se nos pedirá en la misma página.

- Identificarnos en nuestro móvil usando la app bancaria. Para ello recibiremos una notificación en el móvil informándonos de la compra y pidiendo confirmación. Al pulsar sobre ella se nos abrirá la aplicación del banco, donde tendremos que identificarnos siguiendo los pasos que nos indiquen.

Tanto los comercios como los emisores analizarán en tiempo real toda la información de la transacción para decidir si es necesario identificar al usuario o no.

De esta manera estaremos garantizando que la persona que está utilizando la tarjeta es la propietaria de la misma.

Es muy posible que ya muchos de vosotros hayáis tenido que pasar por los pasos que aquí indicaba para autorizar una compra por Internet, y es que cada vez más entidades financieras están listas para cumplir con la nueva regulación y ya lo están poniendo en marcha. Así garantizan la mayor seguridad posible en nuestras compras online, interfiriendo lo menos posible en el proceso de compra.

En cualquier caso, a partir de 1 de enero, esta nueva forma de comprar está ya desplegada y lista para todos en las compras que hagamos dentro de la Unión Europea, así que no os sorprendáis si recibís una notificación de vuestra entidad en el móvil para validar una compra, porque estaremos contribuyendo a reducir el fraude en Internet.

*** Alberto López González es director de Ciberseguridad y Soluciones Digitales de Mastercard.