Autenticación reforzada del cliente
La autenticación reforzada del cliente (Strong Customer Authentication - SCA) es un requisito regulatorio europeo que impone una verificación de al menos dos factores para los pagos electrónicos y el acceso a cuentas en línea. Combina al menos dos elementos entre conocimiento, posesión e inherencia.
Introducida por la directiva PSD2 y detallada en las Normas Técnicas de Regulación (RTS) de la Autoridad Bancaria Europea (EBA), la SCA exige que toda operación de pago electrónico o acceso sensible a una cuenta se autentique mediante al menos dos de los tres factores siguientes: un elemento de conocimiento (contraseña, PIN), un elemento de posesión (teléfono, tarjeta inteligente) y un elemento de inherencia (huella dactilar, reconocimiento facial). Estos factores deben ser mutuamente independientes.
La SCA se aplica a los pagos iniciados por el ordenante, al acceso en línea a cuentas de pago y a las operaciones a distancia que presenten riesgo de fraude. Se prevén varias exenciones para mejorar la experiencia del usuario: transacciones recurrentes del mismo importe, operaciones de bajo valor (menos de 30 €, con un tope acumulativo), beneficiarios de confianza y transacciones de bajo riesgo según el análisis de riesgo en tiempo real (TRA).
Para los actores del KYC y la verificación de identidad, la SCA representa tanto un estándar de seguridad complementario como un punto de integración técnica. La verificación biométrica utilizada en el KYC (reconocimiento facial, detección de vida) puede servir como factor de inherencia para la SCA, creando una sinergia entre la incorporación del cliente y la seguridad de las transacciones posteriores.
Regulaciones
Ejemplos concretos
- 1Un cliente realiza una transferencia de 500 € desde su aplicación bancaria: el banco le pide confirmar la operación con su huella dactilar (inherencia) después de introducir su contraseña (conocimiento), cumpliendo así el requisito SCA.
- 2Un comercio electrónico integra el protocolo 3D Secure 2.0 para los pagos con tarjeta en línea: el cliente recibe una notificación push en su smartphone (posesión) y valida mediante reconocimiento facial (inherencia) para las transacciones superiores a 30 €.
- 3Una plataforma de leasing aplica la exención TRA para las cuotas mensuales recurrentes de sus clientes tras una autenticación reforzada inicial, reduciendo la fricción sin perder la conformidad con PSD2.