La AEPD recomienda ciertas precauciones con la identificación en servicios de pago online

11-01-2021 — AR/2021/002

La Agencia Española de Protección de Datos, en una nota informativa, recuerda los riesgos de una identificación poco robusta en los pagos online y recomienda varias medidas de precaución para reducirlos.

La pandemia de la COVID-19 ha aumentado considerablemente los pagos online y, con ellos, los riesgos inherentes para la protección de los datos personales.

La Agencia Española de Protección de Datos (AEPD) ha publicado en su blog, el 29-12-2020, una nota informativa en la que recuerda los riesgos derivados de los pagos online y lanza una serie de recomendaciones para contrarrestarlos.

Recordatorios

La AEPD recuerda que el uso de un único factor de autenticación (usuario y contraseña) ha demostrado ser muy vulnerable a los ataques de los ciberdelincuentes.

Por eso, la segunda directiva de pagos1 (PSD 2, en siglas inglesas) y el Real Decreto Ley 19/2018,2 que la transpone en España, destacan la necesidad de introducir una autenticación más robusta basada en, al menos, un doble factor (es la que se conoce como autenticación reforzada de clientes o SCA, en siglas inglesas), sin especificar mecanismos técnicos concretos.

Para conocer una lista de ejemplos válidos se debe acudir a las directrices de la Autoridad Bancaria Europea, que los divide en algo que se sabe, algo que se tiene y algo que se es. 

La mayoría de las entidades que tienen que identificar a sus clientes usando el doble factor de autenticación ha optado por soluciones como la de enviar en un SMS un código de un solo uso (OTP, de one-time password) que se introduce en el proceso del pago o del servicio bancario.

Hoy, esa forma de identificarse muestra algunas deficiencias que pueden terminar en fraude, por ejemplo, con el duplicado de la tarjeta SIM (conocido en ingles como suscriber identity module). Por eso, las entidades están implantando métodos alternativos que reducen los riesgos, como el envío del OTP directamente a la aplicación instalada o la posesión de un certificado digital o un determinado token.

La AEPD recuerda que las aplicaciones móviles que quieran añadir nuevos tratamientos de datos han de contar con el consentimiento expreso del usuario, y que dicho tratamiento adicional no puede ser, en ningún caso, una condición para poder acceder al servicio de banca online.

Recomendaciones

La AEPD detalla una serie de recomendaciones para los usuarios:

  1. No reutilizar las mismas contraseñas para servicios distintos.
  2. Evitar contraseñas poco robustas.
  3. Evitar el acceso a la banca online a través de enlaces de correos electrónicos o SMS.
  4. Limitar la información que se publica en internet, como el número de teléfono móvil en redes sociales.
  5. Mantener siempre actualizado el sistema operativo a la última versión del dispositivo cuando se realicen operaciones financieras.
  6. Instalar siempre aplicaciones oficiales
  7. En el caso de que el dispositivo se quede sin cobertura, mientras otros dispositivos cercanos la mantengan, se debe poder en contacto de manera inmediata con el operador telefónico: es posible que haya sido víctima de una ataque de duplicado de tarjeta SIM.
  8. En caso de materializarse un fraude, se debe denunciar inmediatamente ante la Policía Nacional o la Guardia Civil.

1 Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE.
2 Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.