Blog

Seguridad

Qué es SCA: Autenticación en dos pasos para el comercio online

11/08/2023

Si te preguntas qué es SCA, es un sistema de autenticación reforzada de cliente, con un doble control de seguridad, y obligatorio para compras online. Gracias a esta forma de autenticación en dos pasos, nuestras compras en línea son cada vez más seguras. 

Una nueva directiva de la UE, la Directiva de Servicios de Pago PSD2, garantiza esto con la normativa aprobada el 14 de septiembre de 2019. Desde ese momento, todos los servicios de pago online deben garantizar requisitos más estrictos para la verificación de identidad.

Tabla de contenidos
Example H2
Example H3
Example H3

Introducción a la SCA: normativa PSD2

Hasta ahora, cualquiera que comprara un ordenador personal en una tienda web podía pagarlo con los datos de la tarjeta de crédito y el número de seguridad que figura en el reverso.

Con la normativa PSD2, también es obligatorio un segundo factor de seguridad (lo que se conoce también como autenticación reforzada de cliente) para las transacciones de pago sin efectivo. Para poder realizar pagos online, el cliente debe acreditar dos de tres factores:

  • Posesión de un teléfono inteligente registrado, tarjeta bancaria, o token.
  • Conocimiento de una contraseña, PIN o una pregunta secreta.
  • Identificación biométrica.

Este proceso de autenticación reforzada no es un proceso completamente nuevo. La doble autenticación ya era obligatoria anteriormente para la banca por Internet. De hecho, para realizar cualquier transferencia, los clientes necesitan utilizar tanto el código PIN para iniciar sesión (factor de conocimiento), como un factor de posición.

La aplicación de la SCA y sus protocolos de seguridad debe ser realizados por los procesadores y emisores, es decir, las entidades bancarias, los emisores de tarjetas de crédito (VISA, MasterCard, etc.) y las plataformas de pago.

sca-que-es

¿Qué es SCA o Autenticación Reforzada de cliente exactamente?

Sobre todo los usuarios que no suelen realizar compras online de forma habitual, puede que todavía desconozcan qué es la autenticación SCA (Strong Customer Authentication), también conocida como autenticación reforzada de cliente, o autenticación en dos pasos. 

Simplemente es un requisito europeo para lograr pagos online más seguros, y reducir así el riesgo de fraude. Cada transacción en línea requiere que se realice una confirmación o comprobación adicional.

autenticacion-reforzada-clientes

Cómo hacer un pago con autenticación reforzada SCA

La nueva regulación PSD2 SCA requiere la implementación de autenticación reforzada SCA, que necesita uno de los siguientes factores de autenticación adicionales: 

  • Algo que el usuario sabe: El usuario debe ingresar una contraseña o pin.
  • Algo que tiene el usuario: Puede ser una tarjeta de crédito, un teléfono móvil o cualquier otro dispositivo que le permita realizar pagos.
  • Algo con lo que el usuario pueda identificarse: Esto podría ser biometría, reconocimiento facial o un escaneo de iris.

Estas operaciones SCA sólo son aplicables a los compradores. Los vendedores no tienen que preocuparse por este factor de autenticación adicional, ya que no afecta en nada a las operaciones realizadas. 

Una transacción iniciada por el comerciante es un pago realizado en un momento acordado, con el consentimiento del pagador y, como su nombre indica, lo inicia el comerciante que cobra el pago.

autenticacion-reforzada

Exenciones de la PSD2 SCA

A pesar de que la normativa PSD2 exige que todas las transacciones pasen por la autenticación en dos pasos SCA, existen algunas exenciones que se pueden solicitar al emisor y ser aplicables en función del tipo de pago. Siempre es el emisor el que tiene la última palabra a la hora de decidir si la exención es o no aplicable. 

  • Transacciones de escaso valor. Los pagos con tarjeta de menos de 30 € están exentos de la aplicación de la autenticación reforzada de cliente SCA. 
  • Transacciones de bajo riesgo. Los bancos emisores pueden considerar ciertas transacciones de bajo riesgo, por ejemplo, porque son operaciones habituales. Los compradores también pueden asignar determinados vendedores a su lista blanca de confianza, para que los pagos con tarjeta posteriores no requieran de autenticación SCA.

También pueden estar exentos de aplicar la normativa PSD2 relativa a la autenticación reforzada, los usuarios de tarjetas corporativas.

¿Por qué se ha convertido en obligatoria la Autenticación Reforzada de cliente SCA?

SCA se presenta como parte de la normativa PSD2 de Directiva de Servicios de Pago, y su intención es garantizar la protección del consumidor. El objetivo de esta normativa es reducir el fraude de pagos en línea y las devoluciones de cargo, que ya han alcanzado proporciones alarmantes en Europa, abriendo el mercado a nuevos competidores, y reduciendo así las comisiones por pagos online.

sca

Pagos recurrentes y SCA

Como comentábamos más arriba, en los casos de exención de autenticación SCA, un tipo importante de transacción que no está dentro del alcance son las de los negocios con ingresos recurrentes, por ejemplo por suscripción, o pagos que se realicen de manera frecuente, como las compras periódicas a un mismo vendedor.

Cumplir la autenticación reforzada de clientes SCA

Aunque PSD2 se adoptó por primera vez en 2015, y a pesar de que los estándares técnicos regulatorios para SCA no se finalizaron hasta noviembre de 2018, investigaciones indican que muchas empresas no están preparadas todavía para cumplir con la normativa.

Es responsabilidad de cada proveedor de servicios de pago aplicar la SCA. Sin embargo, algunas todavía pueden preguntarse qué es SCA. También pueden surgir dificultades cuando un proveedor de servicios de pago debe controlar las actividades, o el cumplimiento, de otro proveedor de servicios de pago.

cobros-online

Ahora ya sabes qué es SCA, el sistema de autenticación reforzada de cliente en dos pasos, no está de más conocer que la versión 3D Secure es el estándar de autenticación más común admitido por la mayoría de las tarjetas europeas. Este sistema seguro agrega un paso adicional al proceso de pagos seguros por internet, en el que se te pedirá que proporciones a tu banco información adicional para asegurar el pago, ya sea un código único enviado a tu teléfono móvil o email, o una huella digital a través de tu aplicación de banca móvil.

Conviértete en un experto en transacciones

Suscríbete a nuestra newsletter

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Publicaciones relacionadas

FAQ's sobre la SCA

¿Qué significa SCA y qué representa?

La SCA, o Strong Customer Authentication en inglés, es una regulación de seguridad que requiere que los usuarios realicen una autenticación adicional al realizar ciertas transacciones electrónicas. Su objetivo principal es aumentar la seguridad en los pagos en línea y reducir el riesgo de fraude.

¿Por qué se introdujo la SCA?

La SCA se introdujo en la Unión Europea como parte de la Directiva de Servicios de Pago Revisada (PSD2) para fortalecer la seguridad en las transacciones electrónicas y proteger a los consumidores de posibles fraudes y ataques cibernéticos.

¿Cómo funciona la SCA?

La SCA implica una autenticación en dos factores (2FA), lo que significa que se requieren al menos dos de los tres elementos de autenticación: algo que el usuario sabe (como una contraseña), algo que el usuario tiene (como un teléfono móvil) y algo que el usuario es (como una huella dactilar).

¿Hay excepciones a la SCA?

Sí, existen excepciones a la SCA, como transacciones de bajo riesgo, pagos recurrentes y transacciones realizadas con ciertos comerciantes de confianza. Sin embargo, estas excepciones están sujetas a ciertas condiciones y límites establecidos por la regulación.

Utilizamos Cookies propias y de terceros en nuestro sitio web para mejorar la experiencia de usuario. Nos ayudan a comprender mejor cómo se utiliza nuestro sitio para adaptar el contenido e incluir anuncios personalizados.
Configurar cookiesAceptar Cookies