La Autenticación Reforzada de Clientes, también conocida como “Strong Customer Authentication” o “SCA” por sus siglas en inglés, consiste en la aplicación de medidas de seguridad reforzadas para que los pagos con tarjeta sean aún más seguros.

Hasta este 2021, la autenticación de los clientes en los comercios seguros se hacía pidiéndole al cliente la introducción del número de la tarjeta, la fecha de caducidad, su CVV, y la clave de un solo uso de 4 dígitos que le mandamos a su móvil por sms.

A partir del momento en que se solicite SCA, cuando un cliente compre en tu comercio virtual, le pedirás que introduzca el número de la tarjeta y la fecha de caducidad. Además, el banco emisor de la tarjeta que use para comprar, le pedirá 2 de los siguientes 3 tipos de factores de autenticación:

• Conocimiento: algo que sabe, por ejemplo, su contraseña de acceso a la banca electrónica, o determinadas posiciones del PIN de su tarjeta.

• Posesión: algo que posee, por ejemplo, la app del banco vinculada a su smartphone, o el móvil en el que recibe las contraseñas de un solo uso por SMS.

• Inherencia: algo que "es", por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.

Como banco emisor, a los clientes titulares de nuestras tarjetas vamos a pedirles los factores de autenticación que les resulten más cómodos y fáciles de usar ajustándonos a sus preferencias en cuanto al uso de la tecnología y a la forma en la que se relacionan con nosotros.

No obstante, no siempre vamos a pedir los mismos factores de autenticación, dependerá del dispositivo que use el cliente para hacer la compra online.

Además, hay que tener en cuenta que todos los bancos del Espacio Económico Europeo estamos sujetos a la PSD2 y, por lo tanto, todos tenemos que implementar estas medidas de seguridad. Cada banco decide los factores de autenticación que va a pedir a sus clientes, por lo tanto, es posible que la experiencia de compra de un mismo cliente en tu comercio sea distinta dependiendo del banco que haya emitido la tarjeta que use para pagar.

Encuentra más información sobre la directiva PSD2 en nuestro blog. 

No todos los pagos de tus clientes deben realizar en la modalidad de Autentificación Reforzada de Clientes. Existen una serie de exenciones y excepciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.

Así, hay varios tipos de pagos que, por su propia naturaleza, la PSD2 exceptúa del requisito de solicitar autenticación reforzada:

• Pagos con tarjetas prepago anónimas, ya que al ser anónimas no es posible verificar la identidad del titular.
• Las llamadas transacciones MIT (Merchant Initiated Transactions). La normativa exige aplicación de SCA a los pagos electrónicos iniciados por el ordenante. Las operaciones MIT son pagos de productos o servicios sobre los que existe un acuerdo previo entre el comercio y el titular de la tarjeta que permite al comercio realizar los cargos sin que el titular tenga que realizar una acción anterior que los desencadene, y requieren SCA en la primera compra pero no en las siguientes (por ejemplo, pago de suscripciones, de suministros, o cargos extras en el alquiler de un coche o de una reserva hotelera). Son como operaciones de adeudo contra tarjetas.
• Operaciones MO/TO (Mail Order/Telephone Order), es decir, ordenadas por teléfono o por correo.
• Pagos realizados en redes limitadas.
• Operaciones en las que el banco emisor o el adquirente está fuera del Espacio Económico Europeo.

Además, legalmente se prevén una serie de exenciones en las cuales se permite que los bancos emisores de tarjetas no apliquen SCA por considerarse operaciones de menor riesgo. Estas exenciones son:

• Pagos por un importe inferior a 30€, hasta un máximo de 5 operaciones o un importe acumulado de 100€.
• Pagos recurrentes, por la misma cuantía y al mismo comercio, se requiere autenticación en la primera transacción. Las suscripciones iniciadas con anterioridad al 14 de septiembre de 2019 no tendrán que ser autenticadas salvo si existe una modificación de la misma.
• Pagos a los comercios de confianza del titular indicados como tal al banco emisor, también conocida como 'listas blancas'.
• Algunos pagos corporativos.
• Pagos con bajo riesgo de fraude. 

Con carácter general, antes de solicitar SCA al cliente, ABANCA y el resto de bancos europeos intentaremos aplicar una exención o una excepción de las descritas anteriormente, por lo que la experiencia de compra en muchos casos será idéntica a la actual.

Encuentra más información sobre la directiva PSD2 en nuestro blog. 

Un usuario puede identificar aquellos comercios en los que compra habitualmente de tal forma que no sea necesario utilizar de forma recurrente un sistema Autenticación Reforzada de Clientes (SCA), lo que hará que su experiencia de compra sea un poco más sencilla.

ABANCA se encarga de mantener esa lista blanca, pero es el cliente quien la crea, y solo él puede modificarla. Los bancos tampoco podemos hacer sugerencias de nuevas entradas o modificaciones de comercios a los clientes. Nada impide, sin embargo, que el comercio informe de esta posibilidad a sus clientes, e incluso que se la sugiera.

Encuentra más información sobre la directiva PSD2 en nuestro blog. 

Lo hacemos por tu seguridad, y porque así lo que exige la legislación europea que lo regula. La directiva PSD2 amplió el uso de medidas de autenticación reforzada o doble autenticación (que utilizamos desde hace tiempo en ABANCA) en algunos casos concretos con el objetivo de aumentar la seguridad. Uno de esos casos es cuando llevas tiempo sin autenticar tu identidad o cuando quieres ver información de más de 90 días de antigüedad. Desde la entrada en vigor de la norma es necesario teclear una clave que enviaremos a tu móvil.

Siempre te pediremos una clave de seguridad -que te enviaremos a tu móvil- para realizar una transferencia, excepto en los siguientes casos:

• Cuando hagas un traspaso entre cuentas del mismo titular.
• Si la cuenta destino está en tu lista de 'Beneficiarios de confianza'. 
• Si la operación está en tu lista de 'Operaciones favoritas'.
• En transferencias de menos de 500 euros.
• En pagos de menos de 30 euros, aunque te la podremos pedir si haces varios pagos continuados de pequeño importe.

Si estás pagando una compra por internet y no recibes la notificación en tu banca móvil para confirmarla, no te preocupes. Tan solo deberás hacer clic en "¿No has recibido la notificación en tu Banca Móvil?" y te daremos una alternativa.

Además, te recomendamos que revises si tienes las notificaciones activadas en tu móvil para que tus compras sean lo más sencillas posible. 

La clave de validación es un código de un solo uso que utilizamos para confirmar tu identidad, de acuerdo con la legislación y las mejores prácticas.  En algunas operaciones no te solicitaremos ninguna clave para finalizar la operación. Esto sucede siempre que la normativa lo permite y sólo si nuestras medidas de seguridad nos indican que la operación está exenta de riesgos, haciéndote la operación más cómoda. Por ejemplo, si usas la app de ABANCA no necesitarás una clave cada 90 días para consultar tus cuentas en la banca electrónica; en transferencias de bajo importe solo te pediremos la clave para finalizar la operación cuando realices varias de forma continuada; tampoco la necesitarás si haces transferencias a tus ‘Beneficiarios de confianza’.

Sí te la pediremos en la consulta de movimientos cuando los solicites con una antigüedad mayor de 90 días. También en operaciones de ABANCA Cash, creación de tarjetas virtuales, recarga de móviles o envío de ficheros de pagos.

Desde tu banca electrónica nos podrás indicar las cuentas de tus amigos, proveedores, clientes habituales… Estos serán tus ‘Beneficiarios de confianza’, por lo que no necesitarás una clave de seguridad cuando les envíes dinero. Además, también podrás definir tus ‘Operaciones frecuentes’ para ejecutarlas con un solo clic y sin necesidad de introducir claves adicionales.

Puedes gestionarlos en tu banca electrónica, en ‘Mi perfil’ > ‘Open Banking’.

¡Es muy fácil! Accede a tu perfil de banca electrónica y entra en la sección ‘Open Banking’. Aquí podrás gestionar y dar de alta y de baja a tus beneficiarios de confianza y tus operaciones frecuentes. Además, también podrás consultar las aplicaciones de terceros a las que les has dado acceso a tus datos bancarios.

La normativa europea que regula estos aspectos de seguridad relacionados con tu información financiera (PSD2) determina en qué casos es necesario emplear medidas de autenticación reforzada o doble autenticación para reducir el fraude y aumentar la seguridad. Esto significa que a veces necesitaremos que emplees al menos dos de estos métodos:

• Algo que tienes (el móvil donde se reciben los mensajes con las claves de seguridad)
• Algo que sabes (el PIN de tu banca electrónica)
• Algo que eres (huella dactilar o reconocimiento facial en el móvil)

Como estas medidas de control son independientes entre sí, en el caso de que una de ellas esté comprometida a efectos de ciberseguridad, el riesgo de amenaza disminuye dado que va a ser necesario pasar un doble filtro de control. Esto, sin duda, suma un motivo de tranquilidad para los usuarios en cuanto a la protección de sus datos y actividades financieras.

Debes registrar tu teléfono móvil. Si dispones de un token antiguo lo puedes registrar a través de un aviso, que se muestra cuando te conectas. Podrás registrar el móvil y prescindir del uso del token. Esta operación también se puede realizar en cualquier oficina.

Siguiendo los estándares de seguridad de la normativa europea PSD2, los usuarios consultivos tendrán que introducir una clave de seguridad para verificar su identidad cuando se conecten a su banca electrónica.

Si eres usuario consultivo necesitarás un número de teléfono móvil actualizado en tu contrato de banca electrónica, que será utilizado como sistema para recibir claves. Puedes registrarlo en cualquier oficina o llamándonos al 981 910 522.

Para gestionar los usuarios online de tu contrato o para dar de alta nuevos usuarios, pide en tu oficina que te habiliten esta posibilidad. Esta nueva funcionalidad te permite que puedas administrar los permisos de otros compañeros sin necesidad de acudir a la oficina.

Y si quieres que los usuarios de tu contrato continúen dando de alta operaciones para que posteriormente las firmes, puedes descargarte la app Firma Empresas. Recibirás un aviso en tu móvil cada vez que necesites firmar una operación, que podrás hacer al momento desde la app.