Acceder a una cuenta online será más seguro (y más complicado) desde el día 14

Hasta el próximo día 14 de septiembre, para acceder a una cuenta corriente por Internet basta con poseer un usuario y una contraseña o, en su defecto, alguna clase de autenticación biométrica (huella dactilar, reconocimiento del iris, etc.). Sin embargo, a partir de esa fecha entra en vigor la Directiva europea PSD2, que amplía las modalidades de pago online y refuerza la seguridad para los clientes, pero también introduce nuevas obligaciones para los usuarios de banca. Unos cambios de los que la mayoría de las entidades están informando a sus clientes, entre ellos, Santander, BBVA o ING, que ya han advertido de que "el móvil será imprescindible para acceder a los canales digitales".

Desde el día 14, efectuar pagos electrónicos y operar con las cuentas online será más seguro, gracias al nuevo sistema de autenticación reforzada (Strong Customer Authentication, por sus siglas inglesas, SCA), cuyo objetivo es reducir el fraude. Pero, según avanzan en un informe los expertos del comparador bancario HelpMyCash.com (@InfoHelpMyCash), en la práctica, "cuando entre en vigor la PSD2, si quieres acceder a tu cuenta online, necesitarás disponer de un smartphone y, en algunos casos, tener instalada la app de tu banco". Ello se debe a que dicha autenticación reforzada combina dos elementos independientes para verificar la identidad del cliente que entra en la cuenta o realiza operaciones de comercio electrónico.

Tal y como detalla el número 35 de la Revista de Estabilidad Financiera del Banco de España (@BancoDeEspana), la nueva normativa de ámbito europeo obligará a usar al menos dos de los siguientes factores: algo que solo conozca el usuario, como, por ejemplo, una contraseña; algo que tenga el usuario, como un teléfono móvil o un tarjeta; y algo que forme parte de él, como su huella dactilar (ver tabla inferior).

Código por SMS, clave de firma, descarga de app...

A pocos días de que entre en vigor la normativa PSD2, algunos bancos ya han decidido cómo la pondrán en práctica y así se lo están comunicando a los clientes afectados. "La mayoría ha optado por combinar una clave personal con un código temporal recibido por SMS, de manera que será necesario tener a mano el smartphone no solo para operar, sino también para entrar en la banca online", advierten fuentes de HelpMyCash.

Más en detalle: los clientes del Santander (@santander_es) y de Openbank (@openbank_es) necesitarán su clave de acceso más un código recibido por SMS para acceder a la banca online. Por su parte, BBVA (@bbva) ya ha notificado a sus clientes que a partir de septiembre "el móvil será imprescindible para acceder a los canales digitales", concretan desde el comparador bancario. Las cajas rurales combinarán los datos de acceso habituales (usuario, NIF y contraseña o bien huella y reconocimiento facial) con un código recibido por SMS. Y otras entidades están eliminando la anterior tarjeta de coordenadas; así Laboral Kutxa ha avisado que “la actual tarjeta de firmas para operar en banca online será sustituida por claves que recibirás por SMS”.

Ahora bien, los bancos podrán dar una tregua de 90 días a sus clientes durante los cuales estarán exentos de usar la doble autenticación. Así lo contempla el Reglamento Delegado 2018/389, que regula la autenticación reforzada: solo será necesario introducir el segundo factor de seguridad la primera vez que se acceda a una cuenta online y cuando hayan transcurrido más de 90 días desde la última vez que se solicitara la autenticación reforzada. 

ING, empeñado en que descarguemos su app

El decano de la banca online en España, ING (@ING_es),  pretende prescindir de su tradicional tarjeta de coordenadas y obligar a sus clientes a descargarse la app en el móvil. De acuerdo a los avisos que está haciendo llegar a los afectados, antes del 10 de septiembre será necesario cumplir estos tres requisitos: descargar la app o actualizarla a la versión 2.5 o superior, activar las notificaciones y dar de alta la validación móvil, que sustituirá a la tarjeta de coordenadas.

A la hora de acceder a una cuenta de ING a través del ordenador (se podrá seguir operando por la web, aunque la app sea obligatoria), el cliente recibirá una notificación en su móvil para verificar su identidad. La app también será necesaria para validar operaciones realizadas desde el ordenador. En esos casos, el cliente recibirá una notificación en su smartphone que deberá aceptar y luego introducir una contraseña.

"ING no es el único banco que quiere que todos sus clientes tengan su app instalada. Targobank también quiere sustituir los mensajes de texto", especifican en su informe los expertos de HelpMyCash, para quienes "obligar al cliente a operar a través de una notificación integrada en una app en lugar de enviarle un SMS implica que solo podrá operar cuando el smartphone tenga acceso a Internet. Asimismo, será necesario disponer de un terminal que soporte las últimas versiones de las aplicaciones bancarias y que tenga espacio suficiente para instalarlas", alertan.

Previsible prórroga para comercio electrónico

La autenticación reforzada no solo afecta al acceso a la banca online, sino también a los pagos electrónicos (compras online, por ejemplo), y la Autoridad Bancaria Europea (EBA @EBA_News) ya advirtió el pasado mes de junio de los importantes “desafíos” para los comercios electrónicos, lo que puede derivar en que “algunos actores de la cadena de pagos no estén listos para el 14 de septiembre de 2019”.

En nuestro país, el Banco de España, que sigue el dictamen de la EBA, está abierto a dar un tiempo extra a todos los proveedores de servicios de pago (PSP), de acuerdo a un documento emitido por Ecommerce Europe. Al parecer, en España se estaría hablando de una prórroga de 14 meses más un tiempo extra de cuatro meses para la implementación total.