Las exenciones de autenticación de clientes fuertes pueden ayudar a su experiencia como cliente

OneSpan Team,

"Desafiante"

Esta debe ser la palabra más popular en cuanto a la aplicación de todos los requisitos de la Directiva revisada sobre servicios de pago (PSD2).

Lo hemos oído todo: recursos dedicados a ajustar la tecnología a los requisitos legales; dificultad para navegar por el reino de las reglas incluidas en la directiva y las normas técnicas; preocupación por no poder cumplir los plazos fijados por los reguladores; preocupación por el impacto potencial en la experiencia del cliente y, en consecuencia, en el negocio.

Este último reto ha dado lugar a muchas conversaciones interesantes. La PSD2 tiene ciertamente un impacto en la experiencia del cliente debido a los requisitos de autenticación segura y autorización de transacciones. Para cumplir con estos requisitos, las instituciones financieras (IF) necesitan aplicar la Autenticación Fuerte de Clientes (SCA) por defecto para una multitud de acciones de los usuarios en los canales remotos. Dependiendo de cómo se implemente, esto puede añadir fricción a la experiencia del usuario, lo que a su vez puede provocar el abandono del cliente.

Al enfrentarse a los plazos de implantación de las SCA, algunas IF pueden haberse centrado inicialmente en el cumplimiento, posponiendo la conversación sobre la experiencia del cliente. Esta conversación está ganando en importancia a medida que las IF buscan mejoras en el recorrido del usuario, es decir, limitar la fricción al mínimo necesario. En este blog, analizamos el papel que pueden desempeñar las exenciones de la Ley de Comercio Exterior.

Experiencia positiva del cliente

En primer lugar, definamos lo que significa una experiencia positiva para el cliente. Los canales bancarios digitales no pueden compararse con la experiencia en las sucursales. En su lugar, las instituciones financieras compiten con otros actores en el espacio digital: plataformas de venta al por menor, gigantes de las redes sociales, neobancos, nuevas empresas de tecnología financiera, etc. Parte del reto para las instituciones financieras es la necesidad de desarrollar rápidamente su experiencia en el ámbito de las aplicaciones móviles: reducir el número de clics, repensar los flujos de usuarios o encontrar nuevas formas de relacionarse con el cliente.

Las instituciones financieras entienden que los clientes tienen una baja tolerancia a la fricción. Atraer y retener a los clientes significa ofrecer una experiencia digital fluida e intuitiva, que incluya un proceso de autenticación simplificado. Un cliente que pasa por el flujo de pago sólo debería experimentar un desafío de autenticación cuando el riesgo es superior a un determinado umbral. En muchos casos, como el de las transferencias de dinero de alto valor, los retos de autenticación generan la confianza del cliente en la existencia de medidas de seguridad de protección. Sin embargo, en el caso de las operaciones rutinarias de bajo valor, que se le pida la autenticación multifactor (MFA) puede llegar a ser frustrante.

El tiempo y la facilidad de uso son más importantes que nunca. Los flujos de autenticación excesivamente complicados y rígidos generan frustración, especialmente a medida que el canal móvil se convierte en una parte esencial de la experiencia bancaria. En muchas regiones, la banca móvil ya lo es. Según Forrester en The State of Digital Banking, 2021, el 68% de los adultos online del Reino Unido utilizan su teléfono al menos mensualmente para realizar operaciones bancarias, mientras que en Asia, "la banca móvil es el punto de contacto bancario más popular."

Orange Money Rumanía: Cómo añadimos la autenticación basada en el riesgo a nuestra experiencia móvil

Orange Money Rumanía: Cómo añadimos la autenticación basada en el riesgo a nuestra experiencia móvil

"La PSD2 trae consigo una gran cantidad de requisitos de seguridad que, si no se aplican correctamente, pueden añadir fricción a la experiencia del cliente. Esto es algo que no queríamos hacer en el entorno de la banca móvil".

Mircea Spinei, Director de Transacciones y Pagos de Orange Money Rumanía

Leer más

Revolución PSD2

La PSD2, con sus estrictos requisitos en torno a la SCA y la seguridad de las transacciones, llegó como una revolución para los servicios financieros y, en particular, para el comercio electrónico y los pagos. Aunque mejoraba la seguridad, era obvio desde el principio que afectaría a la experiencia del cliente, añadiendo pasos y comprobaciones adicionales al flujo de pagos. La preocupación es que, en general, estos requisitos conducirían a un aumento del abandono de las transacciones y de la pérdida de clientes.

Para entender el impacto de la PSD2, hagamos un rápido repaso de los cambios más significativos para los consumidores. En primer lugar, la Directiva de Servicios de Pago revisada ofrece a los ciudadanos la posibilidad de conocer sus datos financieros al permitir el intercambio seguro de información entre las entidades financieras. Al sentar las bases de la Banca Abierta, permite el intercambio de datos entre diferentes operadores bancarios, lo que significa que, en algunos casos, los consumidores pueden gestionar todas sus cuentas bancarias desde una sola aplicación móvil. Se trata de un gran avance hacia una mejor experiencia bancaria.

En segundo lugar, la PSD2 establece ciertas normas de seguridad para proteger las interacciones financieras en línea. Entre otras cosas, la SCA se introdujo en las Normas Técnicas de Regulación (NTR) de la PSD2 para mejorar la seguridad de los pagos y reducir el fraude. Exige a las IF que autentifiquen a los clientes utilizando al menos dos factores de autenticación independientes entre sí. Esto eleva el listón para los defraudadores: incluso si consiguen piratear la contraseña, tendrán que averiguar el otro factor, lo que disminuye la posibilidad de fraude.

Exenciones de autenticación fuerte de clientes

El SCA es obligatorio para la mayoría de los métodos de pago en línea en el Espacio Económico Europeo. Puede ser un reto ya que introduce más pasos en ciertos escenarios de autenticación. Aunque es demasiado pronto para evaluar el impacto (el plazo para la aplicación del alcance total de la SCA era el 31 de diciembre de 2020), un estudio estima que el negocio del comercio electrónico en Europa podría perder 57.000 millones de euros en el primer año tras la aplicación de la SCA debido a la fricción añadida en la caja.

Por otro lado, los comerciantes que no sigan los requisitos de la SCA tendrán también graves problemas, ya que los bancos tendrán que rechazar esas transacciones. Según la reciente actualización de la CMSPI, casi 89.000 millones de euros en el comercio minorista están "en riesgo de que las transacciones fallen, se produzcan errores técnicos y, en última instancia, los buenos clientes se vean obligados a cancelar sus compras"

¿Significa esto que las entidades financieras y los comerciantes están obligados a incluir la SCA en todos los escenarios? ¿Necesitan los consumidores pasar siempre por una autentificación de varios pasos (como introducir el PIN al comprar un café)? Por suerte no.

El capítulo III de las Normas Técnicas de Regulación introduce la palabra mágica: exenciones de la SCA. Estas exenciones se crearon para compensar el impacto negativo previsto en la tasa de transacciones procesadas con éxito. En general, se aplican ciertos criterios para que se autorice una exención del SCA. Si bien la supervisión de las transacciones es obligatoria para todas ellas, la elegibilidad de ciertos casos de exención está sujeta a la aplicación de una mayor supervisión y notificación del fraude.

Algunos ejemplos de casos de uso de exenciones son:

  • Transacciones recurrentes: Pueden estar exentas de SCA si el valor, el destinatario y el ciclo recurrente son los mismos, como en el caso de las suscripciones.
  • Transacciones de bajo valor: Se puede aplicar una exención a un determinado número de transacciones de bajo valor (menos de 30 euros), o a las transacciones sin contacto, como las realizadas en los terminales de aparcamiento.
  • Beneficiarios de confianza (payees): Es interesante para la banca online, cuando el cliente pone en una lista de seguridad a un destinatario específico. También es interesante para el comercio electrónico que el cliente, tras autentificar su pago, solicite al banco emisor que marque a un determinado comerciante como de confianza. En tal caso, el SCA no será obligatorio para las transacciones posteriores si el banco acepta aplicar esta exención.
  • Transacciones de bajo riesgo: Otro ejemplo son las transacciones de bajo riesgo, cuya etiqueta de "bajo riesgo" la determina el banco basándose en un análisis de riesgo de transacciones en tiempo real de múltiples puntos de datos (como el patrón de gasto, la ubicación anormal del pagador, etc.). Esta exención es la más complicada, ya que requiere un análisis adicional, además de los requisitos generales de control de las transacciones. Por ejemplo:
    • El índice de fraude debe ser equivalente o inferior al índice de fraude de referencia.
    • El importe de la transacción no puede superar el Valor Umbral de Exención.
    • Se han cumplido las normas del Análisis de Riesgo de Transacciones (TRA), lo que significa que el TRA en tiempo real debe ser capaz de identificar los siguientes factores: gasto o comportamiento anormal, acceso a dispositivos y software, malware o escenarios de fraude conocidos, ubicación anormal del pagador y nivel de riesgo de la ubicación del beneficiario.

Una descripción detallada de los requisitos, junto con las características de un sistema de supervisión del fraude que puede ayudar a cumplir estos requisitos, está disponible en nuestro libro blanco: Enabling PSD2-Compliant Fraud Monitoring.

Mejora de la seguridad y de la experiencia del cliente mediante exenciones de la SCA

Aplicar con éxito las exenciones de la SCA a los flujos de autenticación flexibles y adaptables es una de las soluciones para reducir la fricción y resolver el reto de la experiencia del cliente. Al leer la lista de exenciones, observará que todas se basan en el análisis de datos, aunque el rango de datos difiere de un caso de exención a otro.
Es importante tener en cuenta lo siguiente a la hora de planificar los flujos basados en las exenciones:

  • Datos de calidad suficientes: Los canales digitales dotan a los equipos de analistas de fraude de un arma poderosa: los datos. Esto abarca desde los datos recogidos del dispositivo del usuario hasta los datos contextuales relacionados con el usuario y su cuenta (incluidas las acciones históricas y los patrones de gasto). El objetivo es crear una imagen completa y precisa del contexto que rodea la transacción.

    Es obligatorio un cierto alcance de la supervisión de las transacciones para todos los pagos (según el artículo 2 de las RTS). Por eso, al recopilar los datos, las IF no pueden fijarse únicamente en el ámbito de aplicación que figura en una exención específica. Necesitan datos para poder evaluar el riesgo de fraude de una transacción en cualquier momento
  • Análisis de datos fiables: es necesario contar con una solución fiable de control del fraude para todas las transacciones, tanto las exentas como las no exentas. Idealmente, para proporcionar un resultado correcto, combinará políticas basadas en el negocio y en el riesgo impulsadas por un motor de reglas y el aprendizaje automático. Por ejemplo, en el caso de la exención del "beneficiario de confianza", un sistema de control del fraude no sólo vinculará el nivel de confianza del beneficiario con los requisitos de la SCA asociados a él. Mediante el aprendizaje automático, también debería evaluar el nivel de riesgo de cada transacción, incluso para los beneficiarios "de confianza". El banco será notificado en tiempo real si el nivel de riesgo asociado a una transacción a un determinado destinatario, cambia.
  • Acciones y flujos de trabajo adecuados basados en los resultados del análisis: La recopilación y el análisis de datos proporcionan un resultado que puede incorporarse a flujos de trabajo de autenticación avanzados y flexibles. La operación se liberará si su nivel de riesgo es suficientemente bajo. En estos flujos de trabajo flexibles pueden incluirse exenciones de la SCA, y el motor de riesgos analiza constantemente los datos en segundo plano y en tiempo real. Este proceso no retrasa la ejecución de la transacción. Además, beneficia la experiencia del cliente de otras maneras. Si se cumplen los criterios para la exención, el cliente pasará por el proceso en un abrir y cerrar de ojos. Si el motor antifraude señala una transacción con una puntuación de riesgo superior a un umbral definido, se aplicará un flujo de trabajo diferente, intensificando el desafío de autenticación para que sea proporcional al riesgo.
  • Presentación de informes: La presentación de informes sobre los índices de fraude es un requisito para las exenciones basadas en el riesgo. Por lo tanto, es esencial implementar una herramienta de información completa que detecte tanto un nivel de riesgo de transacción mayor como cuándo es necesario aplicar cambios en la política de exención. Lo ideal es que dicha herramienta incluya un conjunto de plantillas de informes predefinidas que cubran los requisitos del RTS y las directrices sobre notificación de fraudes en el marco de la PSD2.

Reflexiones finales

Aunque todavía no hemos visto cómo la autenticación fuerte de clientes cambiará el mundo de los pagos, esperamos que más IF y comerciantes electrónicos implementen flujos de trabajo de autenticación flexibles e inteligentes que guíen al cliente a través de la transacción de forma fluida.

Como socio de seguridad de confianza de los principales bancos del mundo, OneSpan proporciona orientación técnica y del sector experta para el cumplimiento de PSD2 SCA. Ayudamos a las IF a comprender el valor de las soluciones de autenticación adaptativa basadas en el análisis de riesgos, que ayudan al cumplimiento de la PSD2 al tiempo que eliminan la fricción de la experiencia del cliente.

Habilitando el monitoreo de fraude conforme con el PSD2 con la analísis de riesgos de OneSpan
DOCUMENTO TÉCNICO

Habilitando el monitoreo de fraude conforme con el PSD2 con la analísis de riesgos de OneSpan

Los nuevos requisitos de la PSD2 exigen que las organizaciones de servicios financieros realicen un seguimiento de las transacciones. Conozca los requisitos específicos y cómo OneSpan Risk Analytics puede ayudarle a cumplir con la normativa en este libro blanco.

Descargar ahora

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.

Popup default