Mercados españoles cerrados en 2 hrs 26 min

Entra en vigor la PSD2: así accederás a la banca online

Acceso a la banca online.

A partir de este sábado 14 de septiembre, acceder a la banca online será más complicado pero más seguro. La culpa hay que achacársela a la entrada en vigor de la autenticación reforzada del cliente (SCA), una de las medidas más famosas de la PSD2.

Europa se ha propuesto reducir el fraude en las transacciones electrónicas y, para ello, ha propuesto un sistema de doble autenticación para verificar la identidad de los usuarios que realicen pagos electrónicos y que acceden a una cuenta en línea. A partir del sábado, entrará en vigor el uso de la autenticación reforzada en el acceso a la banca online, mientras que los pagos electrónicos no se verán afectados hasta más adelante (el Banco de España concederá una prórroga de entre 14 y 18 meses para la implementación de la SCA en los pagos).

La directiva europea PSD2 obliga a los proveedores de servicios de pago (PSP) a verificar la identidad de los usuarios combinando al menos dos elementos de seguridad de los tres que propone la norma: elementos de conocimiento (algo que solo sepa el cliente), elementos de posesión (algo que solo tenga el cliente) y elementos de inherencia (algo que sea el cliente). Es decir, que para cumplir con la SCA, los PSP, entre ellos los bancos, tendrán que usar al menos dos elementos, pertenecientes a categorías distintas, para validar el acceso a la banca online. Ya no bastará con entrar en la web de la entidad e introducir un nombre de usuario y una contraseña. A partir del 14 de septiembre será necesario un segundo paso de verificación que afectará, sobre todo, a los accesos a la banca online a través del ordenador o de la tablet. La pregunta es: ¿qué va a hacer cada banco?

El móvil, elemento obligatorio

Los bancos españoles han optado por mantener las credenciales habituales (usuario y contraseña o reconocimiento facial o huella dactilar) y combinarlas con un elemento de posesión (el teléfono móvil). En resumen: a partir del sábado será indispensable tener un smartphone para poder acceder a la banca online, aunque se entre a través del ordenador.

Banco Sabadell, Banco Santander, Bankia, BBVA, Colonya, Caja Rural, Laboral Kutxa, MyInvestor, Openbank y Triodos Bank verificarán la identidad del cliente enviándole un SMS con un código OTP (contraseña de un solo uso), que deberá introducir en el momento de acceder a la banca online junto con sus credenciales habituales. De esta forma, los bancos cumplirán con la autenticación reforzada de la PSD2, al combinar un elemento de conocimiento o de inherencia con un elemento de posesión.

Eso sí, debido a esta medida, será indispensable que los clientes hayan informado al banco de su número de teléfono correcto.

ING y Targobank han seguido una estrategia distinta. También usarán el móvil como elemento de verificación, pero en su caso no enviarán SMS, sino que remitirán notificaciones emergentes a través de sus propias apps. En la práctica, esto se traduce en que sus clientes estarán obligados a descargar la aplicación del banco para acceder a la banca online y operar por canales digitales.

Abanca, Cajamar y N26 se han decantado por un sistema mixto. Los clientes de Abanca y de Cajamar que se hayan descargado la aplicación del banco recibirán notificaciones que deberán confirmar para operar por la banca online. Los que no tengan la app, recibirán códigos de un solo uso por mensaje de texto. N26, por su parte, usará su propia aplicación para verificar la identidad del cliente, pero también permitirá solicitar códigos por mensaje de texto.

SMS o aplicación, ¿qué es mejor?

La medida de obligar a descargar una aplicación para cumplir con la normativa PSD2 ha levantado ampollas entre muchos clientes y es que se trata de una medida más intrusiva que el envío de mensajes de texto.

Además, no todos los clientes disponen de smartphones capaces de soportar las últimas versiones de las aplicaciones bancarias o, sencillamente, puede que los dispositivos no tengan espacio suficiente para descargar una app más. Asimismo, las aplicaciones consumen datos y requieren conexión a Internet para funcionar.

Por el contrario, cualquier móvil puede recibir un SMS y sin necesidad de tener conexión a Internet.

Adiós a las tarjetas de coordenadas

A día de hoy, algunos bancos seguían usando la tarjeta de coordenadas para validar transacciones como transferencias. La PSD2 también acaba con esto. De acuerdo con la Autoridad Bancaria Europea, las tarjetas de coordenadas ya no contarán como un sistema de verificación, por lo que quedarán fuera de juego. Varias entidades ya han anunciado que en breve dejarán de estar operativas, al menos para operar por canales digitales.

Tampoco los datos impresos en las propias tarjetas de débito y de crédito servirán como factor de verificación. Ahora mismo, cuando pagamos una compra por Internet, primero introducimos los datos de nuestra tarjeta y, a veces, completamos la operación con un código recibido por SMS. Sin embargo, cuando la SCA se aplique también sobre los pagos electrónicos (estos disfrutan de una prórroga de varios meses), la tarjeta no servirá como sistema de verificación, por lo que está por ver cómo se cumplirá el sistema de autenticación en dos pasos.