Índice
El mejor contenido en tu bandeja de entrada
El estándar SCA (Strong Customer Authentication) está siendo implantado en negocios de todos los sectores para impulsar los customer journey de las empresas líderes. Si bien, como veremos más adelante en profundidad, tendemos a vincular este término únicamente con los pagos, la autenticación reforzada de cliente (ARC), se aplica e impacta de lleno en operaciones de todo tipo.
La SCA se ha convertido en un procedimiento de autenticación que otorga seguridad y confianza a las relaciones entre los clientes, las empresas y los intermediarios en caso de haberlos. En determinados casos de uso, implantar estándares SCA no es sólo beneficioso, sino obligatorio, ya que hay multitud de normas en prácticamente todos los mercados que regulan determinadas operaciones y que recurren a los procedimientos Strong Customer Authentication para hacerlos posible.
Onboarding o autenticación: diferencias y aspectos en común
Si bien los más expertos son capaces de discernir entre lo que conocemos como registro o verificación de identidad y autenticación o, también, autentificación, es normal que muchos se pregunten cuál es realmente la diferencia entre estos dos términos.
La autenticación es referida generalmente a un proceso que se realiza de forma posterior a la incorporación de un cliente. Es decir, cuando un cliente ya está registrado en la base de datos de la compañía como ya, este debe autenticarse para acceder a su cuenta y sus datos se despliegan.
Mientras que en la verificación de identidad o el onboarding digital de cliente, se da un primer paso en las relaciones entre la organización y el aún no cliente para realizar una serie de controles que verifiquen y confirmen su identidad para crear un perfil por primera vez.
Una vez el cliente ya ha sido asociado a un perfil con una identidad digital confirmada, este puede acceder para rectificar, modificar, ampliar o cancelar sus productos y servicios contratados. También para realizar operaciones de diversa índole haciendo uso de sus productos y servicios, y contratar o adquirir otros nuevos.
¿Qué es la Autenticación Reforzada SCA?
El término SCA, Strong Customer Authentication, es utilizado para referirnos a los controles y protocolos de autenticación segura realizados por las empresas a la hora de verificar la identidad de sus clientes, especialmente en entornos online y remotos.
Si bien la autenticación reforzada de clientes se utiliza en ubicaciones físicas como oficinas comerciales o tiendas, su sentido y nacimiento viene precedido por el aumento de las transacciones online. Es aquí, en este tipo de canales, en los que es más complejo tanto a nivel técnico como legal, certificar que una persona es quien dice ser.
Como veníamos avanzando, la autenticación se basa en un registro previo del cliente. En el primer registro, conocido como el proceso Know Your Customer (KYC), los controles son muy exhaustivos y requieren de una serie de pasos concretos. Una vez hecho esto, habiendo dado de alta al cliente, el acceso de este a lo contratado es más ágil que el registro inicial.
En futuras interacciones entre la empresa y el cliente, este ya dispone de una serie de credenciales para acceder a su área de gestión, o, por ejemplo ser identificado legítimamente a través de una llamada de soporte telefónico. Si bien estas deberían ser única y exclusivamente conocidas por el cliente en cuestión, en la actualidad se considera que pueden ser robadas o falseadas.
Existen métodos de autenticación, como el reconocimiento facial, que son infranqueables. Sin embargo, la mayoría de empresas utilizan actualmente como usuario el número de documento de identidad de la persona o correo electrónico y una contraseña numérica o alfanumérica con símbolos que, en ocasiones, puede ser utilizada con fines ilícitos.
La SCA viene a resolver este problema con procedimientos de autenticación reforzada que utilizan más factores de identificación más allá del usuario y contraseña.
PSD2 y SCA: Servicios de pago más seguros
PSD2, o DSP2, es la Segunda Directiva de Servicios de Pago. Su predecesora, aprobada en 2007, ya introdujo una serie de normas para establecer las dinámicas en las transacciones online. Ahora, la nueva norma avanza en el alcance de casos de uso y en los resquicios normativos para, finalmente, ser obligatoria.
PSD2 no sólo avanza en su dureza y obligatoriedad, sino que modifica los criterios y requisitos para las transacciones online, modernizando su propuesta de manera que se prescinda de intermediarios.
La nueva directiva de servicios de pago incluye por primera vez los criterios SCA, antes sólo aplicados por aquellas empresas líderes que querían ofrecer a sus usuarios la mejor experiencia sin renunciar a la seguridad.
Estos modelos, que venían siendo ya aplicados, ahora se convierten en obligatorios para todas aquellas compañías que deseen permitir a sus usuarios realizar procesos delicados en remoto como por ejemplo la contratación de nuevos servicios o transacciones por importes elevados.
Las normas SCA de PSD2 afectan directamente a todas las entidades financieras y empresas relacionadas (FinTechs, trading, aseguradoras…). Además, compañías de otros sectores en las que los clientes realicen operaciones similares a través de sus portales de gestión online, también están obligadas a cumplir con la normativa.
Es decir, cualquier empresa que realice pagos electrónicos, actividades remotas que puedan acarrear riesgos de fraude y las que ofrezcan servicios de cuentas digitales de pagos (carteras de fondos para pagos), están obligadas a establecer procesos SCA.
El papel del reconocimiento facial en la autenticación
Un factor de autenticación es un elemento en diferentes formatos que sólo puede ser utilizado, conocido o estar en posesión de una persona concreta, y que está asociado a su identidad legal.
De entre los distintos tipos de factores de autenticación, la biometría facial es uno de los más destacados por su singularidad y absoluta originalidad. Cada persona tiene un rostro diferente, con un patrón biométrico facial concreto con medidas matemáticas únicas que sólo se encuentran en un sujeto. Incluso en los gemelos, hay grandes diferencias, aunque quizá a veces imperceptibles para los ojos humanos, que los software de reconocimiento facial son capaces de notificar.
Este método de identificación ha jugado un papel fundamental en los últimos años, siendo no sólo una forma de desbloquear los teléfonos móviles, si no parte de los muy conocidos procesos KYC y respaldados por las regulaciones más exigentes en todos los mercados. El cruce entre el rostro de la persona y la imagen en los documentos de identidad es la mejor garantía en cualquier proceso de incorporación y autenticación de clientes.
Estrategia de múltiples factores MFA
Como veníamos avanzando, el acceso a un sistema en el que usar productos y servicios o en el que se contiene información especialmente delicada debe producirse ahora, por imperativo legal, bajo los estándares SCA.
Estos consideran que una única credencial de usuario y contraseña es franqueable y falseable, por lo que proponen la combinación de varios tipos de factores de autenticación. Estos pueden ser de:
- Información base: Datos de cualquier tipo que sólo el cliente conoce, como una contraseña alfanumérica o un pin.
- Posesión: Un objeto o característica que el cliente posee. Por ejemplo, un número de teléfono sólo accesible por el usuario al que enviar un SMS o un documento de identidad.
- Inherencia: Algo que el usuario per sé es. Por ejemplo, el rostro o el iris.
Si bien podríamos considerar las tarjetas de coordenadas como un factor de autenticación reforzada de posesión, este se puede perder, extraviar o ser robado. Gracias a la implementación de factores como la biometría o la implementación de procesos de seguridad para evitar el SIM Swapping, las tarjetas de coordenadas son parte del pasado.