La EBA publica su opinión sobre los elementos de la autenticación reforzada en PSD 2

La Autoridad Bancaria Europea (EBA, siglas de la denominación inglesa, como las demás de esta alerta) publicó, el 21-6-2019, una opinión sobre los tres elementos que componen la autenticación reforzada del cliente (SCA) dentro de la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior (PSD 2).

La EBA emite  esta opinión para  resolver las consultas  sobre la aplicación de la SCA, y, en particular, sobre el procedimiento o la combinación de elementos de autenticación que pueden constituir o no una SCA válida y segura.

La opinión está dirigida en especial a las autoridades competentes, pero, dadas las sugerencias de supervisión que transmite, también resulta de relevante utilidad para el resto de los participantes, sobre todo para los proveedores de servicios de pago (PSP).

El documento se centra en los diferentes factores (inherencia, posesión y conocimiento) que constituyen la SCA, pero también resuelve otras dudas sobre otros requisitos. Además, la EBA admite que, como excepción y para evitar experiencias de usuario negativas después de la entrada en vigor de la aplicación de la SCA a partir del 14-9-2019, las autoridades competentes podrán trabajar con los PSP, los consumidores y los comerciantes en dar un tiempo adicional limitado para migrar a los métodos de autenticación que cumplan con los requisitos de la SCA.

A continuación, se resumen los aspectos más relevantes de la mencionada opinión.

Elemento de inherencia

La EBA considera que la inherencia, que incluye la biometría biológica y de comportamiento, se refiere a las propiedades físicas de las partes del cuerpo, las características fisiológicas y los procesos de comportamiento creados por el cuerpo, y cualquier combinación de estos. Por lo tanto, sin ser exhaustivo, califica una lista de posibles elementos de inherencia de la SCA:

• Escaneo de huellas dactilares (Sí)
• Reconocimiento de voz (Sí)
• Reconocimiento de venas (Sí)
• Geometría de la mano y de la cara (Sí)
• Escaneo de retina e iris (Sí)
• Dinámica de las teclas (Sí)
• Frecuencia cardíaca u otro patrón de movimiento corporal (Sí)
• Ángulo en el que se sujeta el dispositivo (Sí)
• Información transmitida utilizando un protocolo de comunicación, como, por ejemplo, EMV® 3-D Seguro (No)
• Patrón (trayectoria táctil memorizada) (No)

Elemento de posesión

Según esta opinión,  existe un elemento de posesión cuando se trata de algo que únicamente el usuario posee, sea físico o no. Por lo tanto, una lista no exhaustiva de elementos que pueden o no  constituir la SCA es la siguiente:

• Dispositivo acreditado con contraseña de un solo uso (OTP), generada o recibida por un dispositivo (hardware o software) generador de token, SMS o notificación push con OTP. (Sí)
• Dispositivo acreditado por una firma generada por un dispositivo (hardware o software) generador de tokens (Sí)
• Tarjeta o dispositivo acreditado con un código QR (o foto TAN) escaneado desde un dispositivo externo (Sí)
• La unión de dispositivos, como como un chip de seguridad incrustado en un dispositivo o clave privada que enlaza una aplicación a un dispositivo, o el registro del navegador web que enlaza un navegador a un dispositivo (Sí)
• Tarjeta acreditada por un lector de tarjetas (Sí)
• Tarjeta acreditada por un código de seguridad dinámico de la tarjeta (Sí)
• Aplicación instalada en el dispositivo (No)
• Tarjeta cuya posesión queda acreditada por los datos de la tarjeta (impresos en la tarjeta) (No)
• Tarjeta cuya posesión queda acreditada por un elemento impreso (como una lista de OTP) (No)

Elemento de conocimiento

La EBA considera que existe un elemento de conocimiento cuando se trata de algo que únicamente el usuario pueda conocer. Por lo tanto, sin ser exhaustivo, considera una lista de posibles elementos de conocimiento para constituir la  SCA:

• Contraseña (Sí)
• PIN (Sí)
• Preguntas de desafío basadas en el conocimiento (Sí)
• Frase de contraseña (Sí)
• Patrón (trayectoria de deslizamiento memorizada) (Sí)
• Dirección de correo electrónico o nombre de usuario (No)
• Datos de la tarjeta (impresos en la tarjeta) (No)
• OTP generada por un dispositivo o recibida en él (generador de tokens, SMS con OTP, push) (No)
• Tarjeta de coordenadas impresa o lista de OTP (No)

Vinculación dinámica e independencia de los elementos de la SCA

Además de tener que aplicar (al menos) dos elementos, de categorías diferentes, los RTS incluyen otros requisitos, como  la vinculación dinámica en transacciones que se realizan por un canal remoto (esto no podría  aplicarse, por ejemplo, a las transferencias en cajeros automáticos, puesto que se entiende que no es un canal remoto).

La EBA observa que hoy la vinculación dinámica está típicamente basada en el elemento de posesión y anima a las autoridades competentes a garantizar que las nuevas soluciones para la SCA puedan permitir una vinculación dinámica.

En relación con el requisito de independencia, la EBA considera que el uso de un lector de tarjetas en el que se inserta por primera vez un PIN para acceder y luego se genera una OTP, tras la lectura del chip de la tarjeta, podría considerarse como  dos elementos, siempre que se hayan adoptado medidas para garantizar que la infracción de uno de ellos no compromete la fiabilidad del otro elemento. Lo mismo se aplicaría a una firma numérica generada por una clave, si para acceder a esta se  requiere un elemento de conocimiento.

La autoridad europea  también señala que un elemento utilizado para la SCA puede ser reutilizado dentro de la misma sesión para aplicar la SCA en el inicio del pago, siempre que el otro elemento necesario para la SCA se lleve a cabo en ese mismo momento de iniciación del pago y que el elemento de vinculación dinámica esté presente y vinculado a ese segundo elemento .

Combinación de dos elementos

Según lo anterior, hoy existen varias formas de aplicar la SCA en  comercio electrónico, que se ajustan a los requisitos normativos, ya que combinan dos elementos. Por el contrario, hay una serie de aplicaciones utilizadas en el comercio electrónico que no serían compatibles con la SCA, en particular para los pagos con tarjeta, dado que se usan los datos impresos en la tarjeta como elemento autónomo o en combinación con un solo elemento compatible con la SCA (SMS con una OTP, por ejemplo), que no sería suficiente con los requisitos indicados.