Cumplimiento de los requisitos de SCA de la PSD2 con SEON

Los nuevos requisitos de autenticación reforzada de clientes (SCA) de la UE pueden ser preocupantes para las empresas.

La Unión Europea creó la normativa PSD2 para fomentar la competencia positiva y la innovación en el sector de los pagos, así como para aumentar la seguridad de las transacciones.

Vamos a repasar lo que tu equipo de gestión de riesgos operacionales debe vigilar, cómo funcionan los diferentes elementos, incluyendo 3DS2 y cómo SEON puede ayudarte a garantizar el cumplimiento.

Segunda Directiva sobre servicios de pago

Se trata de la última directiva de la Unión Europea. Esta Segunda Directiva de Servicios de Pago obliga a los bancos a compartir los datos que recogen de sus usuarios. Si tú como cliente autorizas que se compartan los datos, los servicios de terceros podrán utilizarlos para una serie de servicios y productos financieros.

La directiva también impulsa los Servicios de Iniciación de Pagos (SIP). Estos servicios en línea pueden acceder a la cuenta de pago de un usuario para iniciar el pago directamente, siempre que se compruebe la autenticación y se dé el consentimiento.

¿Cuál es el objetivo de la PSD2?

Los productos y servicios financieros varían mucho en Europa, tanto en calidad como en precio. La Directiva PSD2 de la UE pretende reducir los marcos nacionales y armonizar las normativas locales. Esto ayudará a que los servicios financieros de terceros se extiendan por todo el continente, fomentará el comercio electrónico internacional y atraerá a nuevas empresas que deseen acceder a un mercado más amplio y unificado.

La PSD2 también simplifica la actual cadena de pagos. El PIS reducirá los intermediarios al eliminar potencialmente las empresas de tarjetas bancarias, los adquirentes y las pasarelas de pago, lo que permitirá a los bancos tratar directamente con los comerciantes. Esto reducirá significativamente los costos de transacción.

Debemos mencionar que la UE está actualmente en proceso de crear la nueva versión de la PSD2, denominada PSD3, tras las consultas del verano de 2022. La PSD3 tratará de ampliar la PSD2, actualizándola y teniendo en cuenta consideraciones adicionales.

En el momento de escribir estas líneas no se conoce un calendario de aplicación, aunque será un proceso largo. En última instancia, no es probable que la PSD3 entre plenamente en vigor antes de 2026.

¿Qué dice la PSD2 sobre la SCA?

«Los proveedores de servicios de pago dispondrán de mecanismos de monitoreo de operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas.»

Todos los pagos en línea realizados por clientes de la UE deben estar protegidos mediante la tecnología adecuada. En la PSD2, se denomina autenticación fuerte del cliente (SCA).

El artículo 2, apartado 1, de la PSD2 estipula claramente que: «los proveedores de servicios de pago dispondrán de mecanismos de seguimiento de operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas».

Los requisitos mínimos para el análisis de las operaciones de pago se explican con más detalle en el artículo 2, apartado 2. Entre ellos figuran:

• comprobaciones frente a listas con elementos de autenticación comprometidos o robados
• cotejo con escenarios de fraude conocidos
• detección de infección por malware del dispositivo de autenticación
• desviaciones en el importe de la transacción
• análisis del dispositivo/software, cuando lo proporcione el PSP

¿Cómo encaja 3-D Secure 2.0 en todo esto?

3-D Secure es la norma diseñada por EMVCo y los principales sistemas de tarjetas de crédito. 3-D Secure 1.0 normalmente requería un token estático (como una contraseña) para completar un pago con tarjeta, pero 3-D Secure 2.0 aumenta el número de comprobaciones de puntos de datos para mejorar la seguridad del pago.

La versión anterior era notoriamente torpe. Los comerciantes de EE.UU informaron de un descenso de las tasas de conversión de hasta el 45% debido a la fricción que crea para los usuarios. Así que sí, podría ayudar a reducir el fraude por contracargo pero también los beneficios globales.

La versión 2.0 permitirá un método de pago sin fricciones gracias a la 2FA dinámica, que proporciona múltiples puntos de datos del comerciante al emisor. Así, estos puntos de datos pueden reducir el fraude en los pagos basados en la PSD2, al tiempo que se cumplen los requisitos.

Sin embargo, en contra de la creencia popular, 3-D Secure no es obligatorio para cumplir con los requisitos de la PSD2. En primer lugar, hay una serie de exenciones (transacciones de bajo valor o bajo riesgo, suscripciones, comerciantes en lista blanca, etc.).

En segundo lugar, la herramienta de autenticación antifraude adecuada puede ayudarte a conseguir lo mismo -si no más- que 3-D Secure para cumplir las normas de autenticación de PSD2 sin tener que realizar revisiones manuales.

A continuación presentamos un desglose de los requisitos de SCA y cómo una herramienta de gestión de riesgos como SEON puede cumplirlos.

Cómo puede ayudarte SEON a cumplir con PSD2 SCA

Comprobaciones contra listas con elementos de autenticación comprometidos o robados.

¿Qué significa?

Los robos de identidad deben detectarse para garantizar que ni las credenciales de los clientes ni otros puntos de datos se hayan visto comprometidos.

Cómo lo cubre SEON:

• Reglas de comportamiento del usuario: Nuestro motor de scoring establece reglas relevantes para mitigar el riesgo de robos de cuentas. Las reglas de comportamiento del usuario permiten a los gestores de fraudes y riesgos alterar la clasificación en caso de que un usuario intente realizar una transacción con un elemento de autenticación desconocido (por ejemplo, nuevo ISP, nuevo dispositivo, nueva dirección IP).
• API de proxy de SEON: Genera una puntuación de riesgo asociada a una única dirección IP, revelando anomalías relacionadas con la suplantación/enmascaramiento de IP. La dirección IP también es validada por el proceso de comprobación de la lista negra de spam para identificar anomalías anteriores de una conexión específica.
• La herramienta de huella digital del dispositivo de SEON recopila información sobre los dispositivos asociados a un usuario. Los robos de identidad y diversas anomalías pueden evitarse fácilmente implementando el módulo de Huella del Dispositivo.
• Por último, nuestro proceso de enriquecimiento de datos toma la dirección de correo electrónico del usuario y la coteja con una base de datos de intrusiones o filtraciones de datos conocidas.

Comprobaciones contra escenarios de fraude conocidos

¿Qué significa?

Los escenarios de fraude conocidos deben configurarse en una herramienta de monitoreo del fraude como reglas preestablecidas. Además, el machine learning puede ayudar a definir escenarios de fraude imprevistos.

Cómo lo cubre SEON:

• Motor de puntuación totalmente personalizable: los administradores pueden crear reglas basadas en cualquier lógica relevante. Todas las reglas existentes aparecen en una página con la opción de modificarlas o eliminarlas. Los escenarios de fraude conocidos pueden definirse fácilmente utilizando el motor de puntuación y los patrones de fraude no detectados son marcados por el módulo automático de machine learning. El ML genera por sí solo sugerencias de reglas complejas.

Detección de infección por malware del dispositivo de autenticación

¿Qué significa?

Hay que detectar malware o botnets que intenten suplantar la identidad del cliente (robo de identidad).

Cómo lo cubre SEON:

• El módulo de Huella del Dispositivo puede identificar máquinas virtuales, emuladores o herramientas avanzadas de fraude (por ejemplo, AntiDetect, FraudFox, Multiloginapp).
• Mediante la herramienta de análisis de proxy, se hace ping r a los puertos abiertos de la dirección IP para mejorar la identificación del uso de proxy, VPN o Tor y ver si el router se está comunicando con otros servidores.
• Machine learning: genera automáticamente reglas que mejoran la precisión de la detección de robos de cuentas.

Desviaciones en el importe de la transacción.

¿Qué significa?

Si el cliente está intentando realizar una transacción fuera de lo normal, hay que detectar la anomalía.

Cómo lo cubre SEON:

• En el motor de scoring, los gestores pueden utilizar parámetros de reglas para comparar el valor de los campos de entrada pasados y presentes dentro de un marco temporal determinado. Los campos pasados se vinculan a través de un punto de datos coincidente, que también puede seleccionarse.
• Las reglas de velocidad permiten a los gestores de fraude establecer desencadenantes basados en acciones recurrentes inusuales medidas en un determinado marco temporal. Esto significa que ciertas desviaciones en los patrones de gasto medio pueden detectarse fácilmente y clasificarse en consecuencia.

Análisis del dispositivo/software, cuando lo proporcione el PSP.

¿Qué significa?

El dispositivo del cliente tiene que ser identificado y validado para garantizar la autenticación segura del cliente y una evaluación completa del riesgo.

Cómo lo cubre SEON:

• Nuestra API de huella digital del dispositivo recopila información sobre los dispositivos asociados a un usuario. Se pueden evitar fácilmente los robos de identidad y las anomalías de falsificación de dispositivos, ya que identifica con precisión a los visitantes que regresan basándose en el dispositivo que utilizaron anteriormente. Incluso si el usuario borra su navegador y lo vuelve a instalar, el sistema sigue identificando los puntos de datos coincidentes.

Conclusión – PSD2, SCA y autenticación contra el fraude

La PSD2 es una directiva de la Unión Europea muy centrada en el consumidor. En teoría, todo el mundo debería beneficiarse de la disminución de las comisiones por transacción, la reducción de la fricción en los pagos y el aumento de la seguridad en la autenticación.

Sin embargo, este punto de seguridad puede suponer un reto para los equipos de Riesgos Operacionales de la misma manera que el GDPR y la detección del fraude parecen estar reñidos entre sí.

Es posible que tengas que formar a los gestores de fraude, que podrían sentir que tienen que superar obstáculos para ayudar a que sus organizaciones sigan cumpliendo la normativa. Por suerte, en SEON creemos firmemente que la implementación de nuestra serie de herramientas de autenticación de fraude puede cubrir todos esos requisitos legales, al tiempo que prepara tu negocio para el futuro.

Fuentes

• AI Editorial: Is 3-D Secure a Conversion Killer?