La Autoridad Bancaria Europea, también conocida como EBA en sus siglas en inglés (European Banking Authority), acaba de sentar precedente en lo que a la utilización de la biometría del dispositivo como elemento de autenticación reforzada se refiere. En el siguiente artículo, repasaremos en qué consiste dicha resolución y qué implicaciones tiene para el sector financiero y para la correcta aplicación de la Directiva de Servicios de Pago (PSD2).
¿Qué es la PSD2 y por qué es tan importante?
La Directiva sobre Servicios de Pago, también conocida como PSD2, es una directiva de la UE que regula los servicios de pago y sus proveedores dentro del marco de la Unión Europea. Su principal objetivo es aumentar la competencia, la innovación y la seguridad en el sector de los servicios de pago, protegiendo al mismo tiempo los derechos e intereses de los consumidores.
La PSD2 obliga a los proveedores de servicios de pago a seguir nuevas normas, como la Autenticación Reforzada de Clientes (Strong Customer Authentication o SCA en sus siglas en inglés) para los pagos electrónicos, y abre el mercado a nuevos agentes, como las fintech, al permitirles acceder a la información de las cuentas bancarias con el consentimiento del cliente. La directiva se ha aplicado en todos los Estados Miembros de la UE.
Así, la Autenticación Reforzada de Clientes implica que, para completar una transacción en línea, los clientes deben proporcionar dos o más formas de autenticación de diferentes categorías, siendo estas categorías:
- Factores de conocimiento: algo que el usuario “sabe”, como una contraseña, una respuesta a una pregunta secreta o un código PIN.
- Factores de posesión: algo que el usuario “tiene”, como una tarjeta de crédito, una tarjeta de coordenadas o un mensaje a un teléfono móvil.
- Factores de inherencia: algo que el cliente “es”, como la cara, la voz, el iris o la huella dactilar.
El objetivo de la SCA es reducir el riesgo de fraude y garantizar que el cliente es quien dice ser antes de efectuar un pago. En términos sencillos, SCA es una capa adicional de seguridad para proteger la información de pago de los clientes y evitar transacciones no autorizadas.
¿Cuál es el papel que desempeña la Autoridad Bancaria Europa?
La Autoridad Bancaria Europea (EBA) es una agencia independiente de la UE encargada de mejorar la regulación del sector bancario en toda la Unión Europea. Entre sus principales tareas figuran la elaboración y adopción de normas técnicas y directrices, así como la realización de evaluaciones para garantizar una regulación y supervisión prudencial, eficaz y coherente en todo el sector bancario europeo.
A este respecto, el considerando 17 del Reglamento (UE) nº 1093/2010 de la EBA establece que “La finalidad y las funciones de la Autoridad -asistir a las autoridades nacionales de supervisión competentes en la interpretación y aplicación coherentes de las normas de la Unión y contribuir a la estabilidad financiera necesaria para la integración financiera- están estrechamente vinculadas a los objetivos del acervo de la Unión en relación con el mercado interior de servicios financieros.“
La EBA actúa en el ámbito de diferentes textos legislativos aplicables al sector bancario. Uno de estos textos legislativos es la Directiva sobre Servicios de Pago (PSD2) antes mencionada. Todos los días la EBA publica comunicados de prensa, consultas, respuestas a preguntas presentadas por distintos agentes , etc.
¿En qué sentido se ha pronunciado la EBA respecto al uso de la biometría del dispositivo (Q&A 6145)?
El 31 de enero de 2023, la EBA dio respuesta a una pregunta presentada por una entidad de crédito, sobre el uso de la biometría de los dispositivos móviles.
La pregunta era la siguiente: “¿Cuenta la autenticación para desbloquear el dispositivo móvil como uno de los elementos de la autenticación reforzada del cliente cuando un usuario de servicios de pago está tokenizando una tarjeta en una solución de monedero electrónico como Apple Pay?” (…) ¿Se cumpliría el requisito de SCA si un elemento de SCA (posesión) está presente durante la emisión del token y el otro elemento (conocimiento (introducción de un PIN) o inherencia (huella dactilar o reconocimiento facial) se hubiera aplicado cuando el usuario de servicios de pago desbloqueó su dispositivo móvil?”.
Y la respuesta dada por la EBA al respecto supone un antes y un después en la utilización de biometría del dispositivo como elemento de autenticación reforzada, formulada de la siguiente manera: “El desbloqueo de un teléfono móvil con datos biométricos (por ejemplo, una huella dactilar), o con un PIN/contraseña, no debe considerarse un elemento SCA válido a efectos de añadir una tarjeta de pago a un monedero digital si el mecanismo de bloqueo de la pantalla del dispositivo móvil no está bajo el control del emisor o si el pagador no ha sido asociado previamente a través de un SCA con la credencial utilizada para desbloquear el teléfono”.
Lo que en otras palabras significa que no puede considerarse seguro la utilización de mecanismos de autenticación móvil (huella dactilar, patrón de contraseña, biometría facial…) si la entidad encargada de garantizar la verificación de la identidad del usuario no controla esos mecanismos de autenticación, o no puede garantizar que esos mecanismos de autenticación están siendo utilizados por el usuario legítimo.
¿Qué diferencias existen entre la biometría del dispositivo (FaceID, TouchID, etc.) y la biometría propulsada por Veridas?
Los procesos de autenticación de empresas como Apple (FaceID, TouchID, etc.) se basan en la tecnología de autenticación biométrica sobre la cual los usuarios pueden autenticarse mediante su huella dactilar o reconocimiento facial.
Para poder activar este método de autenticación biométrica solo es necesario registrar los diferentes factores biométricos una vez adquirido el dispositivo, sin que sea necesario establecer ningún tipo de vinculación entre la identidad oficial del usuario que lo registra y el componente biométrico.
Además, en cada dispositivo se permite registrar más de un factor biométrico, lo que posibilita que diferentes personas puedan utilizar su biometría para desbloquear un mismo terminal. Esto, ligado al hecho de que las empresas que hacen uso de estos métodos para facilitar el acceso a sus aplicaciones o para cualquier otra operativa no tienen visibilidad alguna sobre los procesos ejecutados en el dispositivo, conlleva que cualquier persona con su biometría registrada en el dispositivo podría operar con él.
Es por ello que la EBA insiste en que una biometría no controlada por el emisor de tarjetas o que no haya sido previamente asociada a la identidad oficial del cliente no puede ser utilizada como elemento de autenticación reforzada. Es absolutamente imposible que una entidad financiera, o cualquier otro tipo de empresa, pueda tener certeza de que realmente la persona dueña de esa cuenta es quien está haciendo uso de ese servicio si se apoya en sistemas biométricos que no cumplan tales requisitos.
Contrariamente, la tecnología de autenticación biométrica de Veridas parte siempre de un proceso inicial de verificación de la identidad previo, donde se valida la identidad oficial de la persona. Veridas cuenta con soluciones punteras que permiten certificar que el documento de identidad presentado es real y no ha sido manipulado o falsificado, que la persona que lo presenta es la misma persona que aparece en el documento y que está genuinamente presente en el proceso. Todo ello lo hace con tecnología certificada por los organismos internacionales más prestigiosos, como lo es el National Institute of Standards and Technology (NIST), o por iBeta en relación a la prueba de vida.
Una vez verificada esa identidad, nuestros clientes pueden desplegar multitud de casos de uso de autenticación sustentados en los motores de biometría facial y de voz. Desde el acceso a áreas privadas de cliente o aplicaciones móviles, hasta el acceso físico a entornos corporativos o espacios deportivos.
En todos estos procesos, nuestros clientes tienen el absoluto control de los mismos, tanto en su configuración inicial como en su posterior puesta en producción, por lo que pueden verificar que la persona que accede u opera gracias a la autenticación biométrica es el dueño de la cuenta. De esta forma, cumplen estrictamente con lo establecido por la EBA en su respuesta previamente citada.
Aumenta la seguridad y reduce el fraude de identidad con la tecnología de Veridas
Desde Veridas siempre velamos por la transparencia, el cumplimiento, y la confiabilidad de sus soluciones biométricas. Y lo hace apoyándose en tecnología propietaria y completamente automatizada para verificar identidades de forma remota y autenticarlas tanto en el espacio físico como en el digital.
Nuestras soluciones son críticas para prevenir el fraude, reducir los costes operativos, mejorar la experiencia de cliente (aumentando con ello la tasa de adquisición de nuevos clientes) y, por supuesto, asegurar el máximo cumplimiento de toda normativa vigente.
No dudes en ponerte en contacto con nosotros si quieres conocer más sobre la tecnología biométrica que está revolucionando el sector de los pagos.
![[DEMO GRATUITA]: Descubre cómo funciona nuestra tecnología en vivo](https://no-cache.hubspot.com/cta/default/19918211/f0ff3583-e225-40f1-9e82-8cdc59dfbf9c.png)
