La banca es refia del mòbil

La nova normativa sobre pagaments electrònics obliga a autenticar per duplicat els usuaris per millorar la seguretat El telèfon serà imprescindible per a la consulta en línia dels comptes o per realitzar gran part de les compres a internet

david navarro

21·09·19 | 00:34

0
Notícia guardada al teu perfil
Veure notícies guardades

Un usuari fa un pagament amb targeta a través de l'ordinador.

L'entrada en vigor dissabte passat de la nova directiva europea sobre sistemes de pagament -coneguda com a PSD2 a l'argot financer- permetrà millorar notablement la seguretat de les transaccions i de l'operativa en línia, en un intent per tallar els nombrosos casos de frau que es registren diàriament amb la clonació de targetes o el robatori de dades a través de tècniques com el phising. Per a això, la normativa exigirà a partir d'ara una doble autenticació dels usuaris a l'hora de realitzar bona part de les operacions que es desenvolupen a través de mitjans electrònics, per al que tindran encara una importància més grans els telèfons mòbils com a mitjà per a demostrar la identitat real de qui ordena una transferència o realitza una compra a internet.

Els primers a comprovar-ho seran els que utilitzin la banca electrònica per consultar els seus comptes o realitzar una transferència. A partir d'ara ja no serà suficient amb introduir l'usuari i la contrasenya o l'empremta dactilar. Ara serà necessari un segon factor d'autenticació, una clau que, depenent del banc, s'enviarà per SMS o bé a través d'una notificació de l'app, de manera que, encara que s'accedeixi per l'ordinador de sobretaula, serà indispensable tenir a mà el telèfon, com explica Javier Mezcua, de HelpMyCash.

Sabadell, Santander, BBVA o les caixes rurals han optat pel missatge de text, mentre que ING ha preferit les notificacions, el que obliga els seus clients a descarregar-se l'aplicació, segons explica Mezcua.

En aquest sentit, la nova normativa obliga a que l'esmentada doble autenticació o SCA (Strong Customer Authentication) es realitzi sempre mitjançant la combinació de dos dels tres tipus de factors que s'han establert, i que poden ser de coneixement -quelcom que l'usuari sap, com el pin; de possessió -com la pròpia targeta, en el cas dels pagaments físics, o una clau que enviï per SMS-; o d'«inherència», on s'inclouen els paràmetres biomètrics, com l'empremta dactilar o el reconeixement facial. En cas de la banca en línia, per exemple, es combinarà un factor de coneixement (contrasenya) o inherència (empremta dactilar), amb un de possessió (la clau que s'enviï per SMS).

També a botigues físiques

Juntament amb la banca electrònica, la nova legislació també s'ha començat a aplicar als comerços físics, on només afectarà els pagaments contactless de menys de 20 euros, ja que a la resta ja es compleix la combinació de factors (la targeta física i el PIN). A partir d'ara caldrà introduir també els quatre dígits associats a la nostra targeta en una de cada cinc operacions per sota d'aquest import o quan es duguin acumulats 150 euros, segons expliquen des de la xarxa Euro6000.

On trigarà més a arribar la normativa és en el comerç electrònic. Davant la complexitat de la seva aplicació, ja que també inclou canvis en els protocols de seguretat interns dels llocs web, el Banc d'Espanya ha establert un «període de migració» durant el qual no sancionarà l'incompliment de la norma. Una mena de pròrroga o període de gràcia la durada dels quals encara no està determinada però que al sector financer calculen que durarà de nou a divuit mesos.

En qualsevol cas, el principal canvi per a l'usuari serà que ja no podrà realitzar compres simplement amb el número de la targeta, la data de caducitat i el CVV, el codi al revers. Ara caldrà incloure un segon paràmetre, que pot ser des d'una clau enviada per SMS, fins a una autenticació mitjançant empremta dactilar a través del mòbil, unes mesures que ja adopten algunes pàgines però que s'hauran de generalitzar.

Ni subscripcions ni autopises

Per evitar que la doble autenticació s'acabi convertint en una nosa per als usuaris, també s'han previst una sèrie d'excepcions i de normes d'aplicació. Per exemple, en el cas de la banca en línia, es permet que les entitats només sol·licitin la introducció d'una clau cada 90 dies. Igualment, en els pagaments als comerços electrònics només s'exigirà la verificació en una de cada cinc compres menors de 30 euros o quan s'arribi a un import acumulat de 100 euros. De la mateixa manera, tampoc es requerirà amb les subscripcions -en el pagament de plataformes com Netflix o HBO, només caldrà la primera vegada, no en cada ocasió que es carregui la mensualitat-, ni a les casetes de pagament automatitzat de les autopistes o els pàrquings. Fins i tot l'usuari podrà comunicar a la seva entitat una llista de comerços de confiança en què no es tindran en compte aquestes mesures de seguretat, segons les fonts consultades.

Abonaments directes

La directiva europea també regula les noves companyies de serveis financers que han sorgit en els últims anys, les conegudes com a fintech, i crea dos nous actors en el sector. D'una banda, els agregadors o AISP, que permeten gestionar en una sola aplicació tots els comptes de l'usuari i als quals, ara, les entitats estan obligades a facilitar tota la informació de l'usuari, sempre que aquest ho hagi autoritzat. I, d'altra banda, els anomenats serveis d'iniciació de pagaments, que permetran que els comerços puguin sol·licitar directament a un banc que els pagui la factura autoritzada per un usuari sense necessitat de passar un operador de targetes.