¿Qué es la Autenticación Reforzada de Cliente?

¿Qué es la Autenticación Reforzada de Cliente?

La Autenticación Reforzada de Cliente, conocida habitualmente como SCA (Strong Customer Authentication), es un requisito de seguridad introducido por la Directiva revisada de servicios de pago de la Unión Europea (PSD2). Exige que los pagos electrónicos se verifiquen con al menos dos factores de autenticación independientes, lo que hace mucho más difícil que los delincuentes realicen transacciones fraudulentas con datos de tarjeta robados.

En la práctica, la SCA significa que cuando un cliente hace un pago, tiene que demostrar su identidad usando dos de las tres categorías de prueba posibles. Atrás quedaron los días en los que el número de tarjeta y la fecha de caducidad bastaban para completar una transacción en línea o por teléfono.

Los tres factores de autenticación

La SCA exige dos de las tres categorías siguientes:

• Algo que el cliente sabe: una contraseña, un PIN o la respuesta a una pregunta de seguridad. Es la forma más tradicional de autenticación.
• Algo que el cliente tiene: un teléfono móvil, un token físico, una tarjeta inteligente u otro dispositivo. La verificación suele llegar mediante un código de un solo uso enviado al dispositivo o generado por una aplicación de autenticación.
• Algo que el cliente es: un identificador biométrico como la huella dactilar, el reconocimiento facial o el reconocimiento de voz.

Los dos factores deben venir de categorías distintas. Usar dos contraseñas, por ejemplo, no cumpliría el requisito, porque ambas pertenecen a "algo que se sabe". La idea es que, aunque uno de los factores se vea comprometido (una contraseña robada, por ejemplo), el atacante no pueda completar la transacción sin el segundo factor, de otra categoría.

Cuándo se aplica la SCA

La SCA se aplica a los pagos electrónicos iniciados por el cliente dentro del Espacio Económico Europeo. Incluye pagos en línea con tarjeta, transferencias bancarias y muchos tipos de pagos contactless. No obstante, hay varias exenciones importantes:

• Transacciones de bajo valor: los pagos por debajo de 30 euros pueden estar exentos, aunque con un tope tras una serie de pagos de bajo valor consecutivos.
• Pagos recurrentes: tras autenticar el primer pago de una suscripción o serie recurrente, los pagos posteriores del mismo importe al mismo comercio pueden estar exentos.
• Beneficiarios de confianza: los clientes pueden añadir comercios a una lista de "confianza" en su banco, exentando los pagos futuros a ese comercio.
• Análisis de riesgo de la transacción: los proveedores de pago con bajas tasas de fraude pueden solicitar exenciones basadas en una evaluación de riesgo en tiempo real de cada transacción.
• Transacciones iniciadas por el comercio: los pagos iniciados por el comercio (como cobros de facturas de suministros) en lugar del cliente pueden quedar fuera de los requisitos de SCA.

Por qué la SCA importa a las empresas

La SCA tiene implicaciones importantes para cualquier negocio que acepte pagos electrónicos de clientes europeos. El impacto más inmediato está en la experiencia de pago. Añadir un paso extra de autenticación introduce fricción, y la fricción puede provocar abandonos.

Las empresas deben implementar la SCA de forma que satisfaga el requisito regulatorio sin ahuyentar a los clientes. Esto implica trabajar con proveedores de pago que admitan métodos modernos como 3D Secure 2 (3DS2), diseñado para ofrecer una experiencia de autenticación más fluida y menos intrusiva que los métodos anteriores.

El incumplimiento de la SCA no solo es un riesgo regulatorio: las transacciones que deberían autenticarse y no lo hacen pueden ser rechazadas por el banco del cliente, afectando directamente a los ingresos.

SCA y pagos por teléfono

Los pagos por teléfono plantean retos interesantes para la SCA. Un pago telefónico tradicional, en el que el cliente dicta los datos de su tarjeta a un agente, es difícil de autenticar con dos factores porque el único canal disponible es la propia llamada de voz.

Bajo la PSD2, las transacciones por correo o por teléfono (MOTO) están técnicamente exentas de los requisitos de SCA, porque la regulación se centra en las transacciones de pago electrónicas. Sin embargo, la clasificación exacta de un pago por teléfono puede depender de cómo se procese y de si lo inicia el cliente o el comercio.

A pesar de la exención MOTO, muchas empresas están añadiendo autenticación a los pagos por teléfono como medida antifraude. Las soluciones modernas de pago telefónico pueden integrarse con la autenticación 3DS2 enviando al cliente un enlace por SMS o correo durante la llamada, lo que le permite completar la autenticación en su móvil mientras el agente permanece en línea.

Este enfoque combina la comodidad de los pagos telefónicos asistidos por agente con la seguridad de la SCA, reduciendo el fraude sin que el cliente tenga que colgar y completar el pago por otro canal.

Consideraciones prácticas

• Trabaje con su proveedor de pagos para saber qué transacciones suyas requieren SCA y cuáles están exentas.
• Implemente 3DS2 para los pagos en línea: ofrece mejor experiencia de cliente que las versiones anteriores y admite más métodos de autenticación.
• Vigile sus tasas de rechazo tras implementar la SCA. Un repunte en los rechazos puede indicar que su flujo de autenticación necesita ajustes.
• En los pagos por teléfono, comprenda cómo clasifica su procesador la transacción. Las exenciones MOTO se aplican en la mayoría de los casos, pero las reglas pueden tener matices.
• Considere cómo interactúa la SCA con su estrategia antifraude. Las exenciones basadas en análisis de riesgo pueden reducir fricción en pagos de bajo riesgo, pero requieren que su proveedor mantenga bajas tasas de fraude.