Cargando...

Noticias del sector

Inicio / Noticias del sector / Noticia

La norma europea de pagos pone en peligro uno de los ganchos de Amazon: la compra en un clic

Martes, 5 de diciembre de 2017   Expansion.com   BANCOS

Bruselas da a los bancos la última palabra sobre el acceso a sus datos. Europa exigirá un proceso de autentificación reforzado con pocas excepciones.

El one-click de Amazon tal como lo conocemos podría no ser legal en Europa a partir de la segunda mitad de 2019. En realidad, la opción de llevar a cabo cualquier compra en cualquier tienda de comercio electrónico tan solo pulsando una vez el ratón o la pantalla del móvil tiene sus días contados. Al menos esta es la intención de Bruselas, que ha optado en su reforma financiera por generalizar un acceso reforzado a los datos bancarios de los usuarios.

Los estándares técnicos regulatorios (RTS, por sus siglas en inglés) hechos públicos por la Comisión Europea la pasada semana en relación con la nueva directiva comunitaria de servicios de pago (PSD2) no solo plantean prohibir prácticas hasta ahora legales como el screen scraping (acceso a la cuenta de un usuario a través de sus credenciales personales, cedidas voluntariamente). Otro de los pilares sobre los que se basará la regulación será la autentificación reforzada para cualquier pago electrónico.

Esta autentificación reforzada, que Bruselas plantea como el estándar general, significará en la práctica que para llevar a cabo cualquier pago online o para acceder a los datos bancarios de un usuario será necesario superar dos factores de seguridad. Estos factores tienen que ser una combinación de al menos dos de tres elementos: algo que el cliente sepa (como una contraseña), algo que tenga (una tarjeta, un móvil...) y algo que sea (reconocimiento facial, huella dactilar...).

A día de hoy, muchas compañías de comercio electrónico no cumplen estos estándares y tampoco las compras con un solo clic de Amazon, ya que no solicita doble autentificación porque directamente carga la compra contra los datos de la tarjeta de crédito guardados en la cuenta del usuario. En vez de reforzar los factores de seguridad, el gigante tecnológico asume como un coste el riesgo de fraude inherente porque no quiere penalizar la experiencia de compra. Para la Comisión Europea, al menos en un principio, la seguridad primará sobre la experiencia de compra de los usuarios.

Responsabilidad última del banco
«La RTS publicada esta semana cambia el escenario para las tecnológicas porque establece que la responsabilidad última de la autentificación recae en la entidad bancaria en la que está depositada la cuenta. Si hay fraude, es la entidad quien tiene que responder. Es decir, que aunque Amazon quisiera asumir el fraude, la ley no se lo va a permitir. Las entidades están obligadas a aplicar la autentificación reforzada por ley y si no se las sancionaría», señalan fuentes financieras conocedoras de la situación.

Pese a la intensa labor de lobby llevada a cabo durante estos últimos meses en Bruselas por parte del sector tecnológico para que el sistema de one-click fuera una de las excepciones que recoge las RTS, las tesis defendidas por la banca europea han prevalecido. Sí contemplan como excepción, no obstante, procedimientos de autentificación menos exigentes para compras por importes menores de 30 euros, por ejemplo.

Fuentes oficiales de Amazon han optado por no hacer ninguna declaración y se remiten a los comunicados de las dos asociaciones de comercio electrónico de las que es miembro. La patronal europea Emota considera que la autentificación reforzada no es necesaria porque introduce nuevas cargas a los comercios y tendrá un efecto mínimo en el fraude, cuyos bajos niveles actuales «no justifican estas medidas».

Por su parte, la asociación eCommerce se lamenta de que la normativa aprobada por la Comisión no recoja las excepciones que había solicitado la industria tecnológica. Esta asociación considera que las cibertiendas tienen información muy valiosa sobre los clientes, con la que puede identificar el fraude potencial sin necesidad de reforzar la autentificación en el proceso de pago.

Una oportunidad para diferenciarse
La nueva norma que desarrolla la directiva europea de pagos le quita la potestad de seguridad a las firmas de e-commerce y se la entrega al banco, que será el que tendrá que decidir en todo caso si se eliminan los procesos con seguridad reforzada o si se aplican excepciones. En cualquier caso, serán decisiones que tomarán y negociarán los bancos individualmente, según advierten fuentes del sector.

Esta nueva realidad no tendrá por qué ser necesariamente negativa para las compañías comercializadoras. «La autentificación fuerte será la opción que conllevará menos problemas de seguridad, pero el desafío será conseguir hacerlo sin fricciones en la experiencia de compra. No tiene por qué ser una experiencia tan mala, si se cuida y se desarrolla una tecnología con una buena experiencia de cliente», anticipa Manuel Romero, responsable de Banca Digital en Everis.

Desde el sector bancario esperan que en los meses que faltan hasta que entren en vigor los RTS surjan nuevas fórmulas de pago electrónico «que cumplan la regulación de la autentificación reforzada de una manera transparente para el consumidor», opina un alto responsable tecnológico de uno de los grandes bancos españoles, que advierte que «la capacidad tecnológica de comprobar los dos factores de seguridad en un paso y de forma sencilla para el usuario será una ventaja competitiva».

Sobre FINE
FINE - Federación Fuerza, Independencia y Empleo - Sindicato independiente líder del sector financiero que engloba a más de 30.000 empleados del sector financiero y 923 delegados.
Información