Normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros

REGLAMENTO DELEGADO (UE) 2018/189 DE LA COMISIÓN. PDF

Los servicios de pago ofrecidos electrónicamente deben presentarse con la adecuada protección, gracias a la adopción de tecnologías que permitan garantizar una autenticación segura del usuario.

El procedimiento de autenticación debe asegurar que quien hace uso del servicio de pago es el usuario legítimo y está por lo tanto dando consentimiento a la transferencia de fondos y acceso a su información de cuenta mediante un uso normal de sus credenciales de seguridad personalizadas. 

Como los métodos de fraude cambian constantemente, los requisitos de autenticación reforzada de clientes deben permitir la innovación de las soluciones técnicas con objeto de hacer frente a la aparición de nuevas amenazas a la seguridad de los pagos electrónicos. 

En general, los códigos de autenticación deben basarse en soluciones como la generación y validación de contraseñas de un único uso, firmas digitales u otras declaraciones de validación de tipo criptográfico que ser sirvan de claves o material criptográfico almacenado en los elementos de autenticación, siempre que se cumplan los requisitos de seguridad. 

Por su propia naturaleza, los pagos efectuados a través de la utilización de instrumentos de pago anónimos no están sujetos a la obligación de autenticación reforzada de clientes. Cuando se levanta el anonimato de esos instrumentos por motivos contractuales o legislativos, los pagos están sujetos a los requisitos de seguridad que se derivan de la Directiva (UE) 2015/2366 y de las presentes normas técnicas de regulación, contenidas en el documento anterior. 

Los proveedores de servicios de pago que deseen beneficiarse de las exenciones de la autentificación reforzada de clientes, deben supervisar periódicamente, para cada tipo de operación de pago, el valor de las operaciones de pago fraudulentas o no autorizadas y los índices de fraude observados para todas sus operaciones de pago, ya hayan sido autenticadas a través de autenticación reforzada de clientes o ejecutadas al amparo de una exención aplicable, y deben poner esos datos a disposición de las autoridades competentes y de la Autoridad Bancaria Europea (ABE) cuando estas lo soliciten. 

https://eba.europa.eu/

Cada proveedor de servicios de pago gestor de cuenta que gestione cuentas de pago accesibles en línea debe ofrecer, como mínimo, una interfaz de acceso que permita una comunicación segura con los proveedores de servicios de información sobre cuentas, los proveedores de servicios de iniciación de pagos y los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas

La especificaciones técnicas de la interfaz deben estar debidamente documentadas y ser de acceso público. 

Para proteger la confidencialidad y la integridad de los datos, es necesario garantizar la seguridad de las sesiones de comunicación entre los proveedores de servicios de pago gestores de cuenta, los proveedores de servicios de información sobre cuentas, los proveedores de servicios de iniciación de pagos y los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas. En particular, es necesario exigir que se aplique un cifrado seguro, a la hora de intercambiar los datos. 

El REGLAMENTO DELEGADO (UE) 2018/189 DE LA COMISIÓN. PDF establece los requisitos que deben cumplir los proveedores de servicios de pago a efectos de la aplicación de medidas de seguridad que les permitan hacer lo siguiente: 

  1. aplicar el procedimiento de autenticación reforzada de clientes, de conformidad con el artículo 97 de la Directiva (UE) 2015/2366;
  2. eximir de la aplicación de los requisitos de seguridad de la autenticación reforzada de clientes, bajo determinadas condiciones limitadas y basadas en el nivel de riesgo, el importe de la operación de pago y la frecuencia con que se repite, y el canal de pago empleado para la ejecución de dicha operación;
  3. proteger la confidencialidad y la integridad de las credenciales de seguridad personalizadas del usuario de servicios de pago;
  4. establecer estándares abiertos comunes y seguros para la comunicación entre los proveedores de servicios de pago gestores de cuenta, los proveedores de servicios de iniciación de pagos, los proveedores de servicios de información sobre cuentas, los ordenantes, los beneficiarios y otros proveedores de servicios de pago en relación con la provisión y la utilización de servicios de pago en aplicación del título IV de la Directiva (UE)2015/2366.

Requisitos Generales de Autenticación

Los proveedores de servicios de pago dispondrán de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas a efectos de la aplicación de las medidas de seguridad a que se hace referencia en el artículo 1, letras a) y b). 

Dichos mecanismos se basarán en el análisis de las operaciones de pago teniendo en cuenta los elementos que caractericen al usuario de servicios de pago con el contexto de un uso normal de las credenciales de seguridad personalizadas.

Los proveedores de servicios de pago garantizarán que los mecanismos de supervisión de las operaciones tengan en cuenta, como mínimo, todos los factores basados en el riesgo siguientes: 

  1. listas de elementos de autenticación comprometidos o sustraídos;
  2. el importe de cada operación de pago;
  3. supuestos de fraude conocidos en la prestación de servicios de pago;
  4. señales de infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación;
  5. en caso de que el dispositivo o el programa informático de acceso sea facilitado por el proveedor de servicios de pago, un registro de la utilización del dispositivo o el programa informático de acceso facilitado al usuario de los servicios de pago y de su uso anormal. 

Código de autenticación

La autenticación se basará en dos o más elementos categorizados como conocimiento, posesión o inherencia y tendrá como resultado la generación de un código de autenticación

El código de autenticación únicamente será aceptado por el proveedor de servicios de pago una sola vez cuando el ordenante lo use para acceder a su cuenta de pago en línea, para iniciar una operación de pago electrónico o para llevar a cabo cualquier acción a través de un canal remoto que pueda entrañar un riesgo de fraude en el pago u otros abusos. 

El número de intentos fallidos de autenticación, no excederá de cinco dentro de un período de tiempo determinado. 

El tiempo máximo sin actividad del ordenante después de que éste haya procedido a su autenticación para acceder a su cuenta de pago en línea no excederá de cinco minutos

Los proveedores de servicios de pago adoptarán medidas para mitigar el riesgo de que los elementos de autenticación reforzada de clientes categorizados como conocimiento se revelen o se divulguen a terceros no autorizados

Fuente: https://eur-lex.europa.eu/

Share This

Compartir

Compartir información