La Strong Customer Authentication, SCA o, en español, Autenticación Reforzada de Cliente, ARC, es uno de los requisitos fundamentales para que las empresas puedan operar online. Su foco se centra en desarrollar unos procedimientos seguros en relación a los pagos electrónicos.

La verificación de identidad juega un papel clave en este concepto y resuelve muchos de los problemas que existían anteriormente a la hora de que tanto empresas como consumidores enfrenten las transacciones online con confianza y total tranquilidad.

Qué es realmente SCA

SCA, acrónimo de Strong Customer Authentication, es un concepto nacido de la necesidad de reforzar la seguridad en determinados procesos online. El foco de este término está en reducir el fraude en los pagos. SCA es entendido como el proceso de autenticación que debe llevarse a cabo para corroborar la identidad real de un cliente en remoto.

La diferencia principal entre el proceso tradicional de autenticación de un cliente para un pago en internet y el proceso SCA es la introducción del concepto de doble factor de autenticación. De esta forma, se reduce al mínimo el riesgo de fraude online

Así entendemos el Customer Authentication como aquel método de identificación de un cliente a través de un único factor (introducción de datos simples de registro) y la Strong Customer Authentication o Autenticación Reforzada como el que requiere más de un factor para verificar la identidad de un cliente.

Existen tres categorías de factores de autenticación para comprobar la identidad de un cliente:

  • De conocimiento: Son aquellos que sólo debería conocer el cliente, como una contraseña, un PIN, un número de cuenta, los datos de la tarjeta bancaria (CVV), la dirección…
  • De posesión: Son aquellos que sólo debería poseer el pagador, como el acceso a un teléfono móvil (para enviar una OTP), un documento de identidad físico, una tarjeta NFC (token)…
  • De inherencia: Son aquellos que el pagador es en sí mismo, es decir, las asociadas a la biometría. Por ejemplo, su iris, un patrón de voz o su patrón biométrico facial.

Cuando solicitamos para nuestro proceso de autenticación de cliente dos o más factores pertenecientes a dos o más de estas categorías podemos hablar entonces de un proceso SCA, de autenticación reforzada.

Contacta con eID a través de este formulario y te asesoraremos sobre métodos de autenticación para cumplir con el estándar SCA.

Si bien el concepto puede entenderse de forma aislada y se aplica en todo el mundo, este ha tomado cuerpo y se ha estandarizado gracias a su introducción de forma oficializada en las regulaciones. SCA es el eje central de la nueva normativa PSD2. 

Su papel dentro de PSD2

La PSD2 es la Directiva Europea sobre servicios de pago que estandariza los procedimientos para realizar transacciones online. Amplía significativamente el alcance y la obligatoriedad que ya venía introduciendo su predecesora PSD además de incorporar nuevos derechos para los consumidores.

PSD2 modifica los accesos a la información de pagos, simplifica los procedimientos eliminando intermediarios, transforma la forma de actuar de las entidades financieras e incluye la SCA.

Conoce en profundidad en este artículo todos los detalles sobre la normativa PSD2 (Payment Services Directive 2) 

PSD2 viene a convertir en obligatorios los procesos de Strong Customer Authentication. Así, la SCA se presenta como un conjunto de requisitos para que cualquier empresa con presencia online pueda operar.

Esta normativa aplica directamente a las entidades financieras y TTPs, transformando las pasarelas de pago y obligando a cumplir los mismos estándares que las tradicionales. Cualquier transacción de pago electrónico, actividad remota que pueda tener riesgo de fraude o el acceso de un pagador accede a su cuenta digital de pagos debe incluir un proceso SCA de autenticación reforzada de cliente.

La biometría facial en la SCA

De entre los tres tipos de factores de autenticación usables para un proceso SCA, el de inherencia es aquel más complicado de falsificar, modificar o sustraer. Hemos podido comprobar cómo las contraseñas, PINs, accesos a los datos del teléfono móvil o duplicado de tarjetas NFC de baja seguridad han sido falseados y robados.

Sin embargo, factores de identificación tales como el iris o el patrón biométrico facial en tiempo real suponen un método de alta seguridad impracticable para los potenciales ofensores, incluso pese a los deepfakes u otros métodos de replicación de rostro.

El reconocimiento facial biométrico es uno de los métodos más seguros para crear un factor de verificación de identidad dentro de un proceso Strong Customer Authentication.

Esta tecnología es capaz de verificar de forma eficaz y segura la identidad de un sujeto a través de un vídeo en streaming. Gracias a los avances en inteligencia artificial y machine learning, algunas tecnologías como SmileID y VideoID crean un patrón matemático dinámico inequívoco no sólo del rostro sino también de la sonrisa en movimiento y gestuales para corroborar la identidad de una persona.

La elección del reconocimiento facial biométrico dentro de una estrategia de múltiples factores de autenticación como segundo factor de autenticación (2FA) es fundamental para desarrollar un proceso SCA con garantías y cumpliendo con PSD2.

Strong Customer Authentication y KYC

El proceso KYC (Know Your Customer), bien conocido en el sector bancario y financiero, centra su foco en verificar la identidad del cliente de tal modo que se corrobore legítimamente que es quien dice ser. Es un proceso estandarizado y obligatorio

Cuando realizamos este proceso en el plano online y en remoto hablamos entonces del proeso eKYC (electronic Know Your Customer). Este verifica, sin lugar a dudas y con una serie de controles AML precisos y avanzados, de forma legítima la identidad del cliente para que pueda realizar procesos de todo tipo online.

Gracias al eKYC, es posible la apertura de cuentas bancarias en remoto, el onboarding digital de cliente o los pagos de grandes cuantías con un proceso ágil, sencillo y en menos de 3 minutos. Junto a los procesos SCA, los clientes pueden realizar todas las actividades online con garantías y seguridad.

El proceso eKYC debe cumplir con los estándares regulatorios AML5 (Anti-Money Laundering Directive 5) y eIDAS (electronic IDentification, Authentication and trust Services) para poder ser fiable y seguro. 

De esta forma, AML5, eIDAS y PSD2 componen el marco regulatorio para que las empresas puedan operar internet y los usuarios estén seguros frente al fraude online no sólo en Europa sino en todo el mundo, puesto que sus estándares se adaptan a regulaciones de otros estados.

Descarga en este enlace nuestro whitepaper completo sobre eIDAS y AML5. 

eID, proveedor de soluciones de autenticación reforzada de cliente

Electronic IDentification, eID, ha desarrollado herramientas específicas para cumplir con los procedimientos SCA dentro de cualquier tipo de actividad online, tanto para negocios obligados a cumplir con PSD2 como aquellos que deben integrar procesos seguros para sus actividades online.

Como partner RegTech y de transformación digital, desarrolla soluciones a medida para las necesidades de empresas de todos los sectores en sus relaciones usuario-empresa.

Solicita aquí una prueba gratuita de nuestros productos de autenticación e identificación para procesos SCA.