La normativa de servicios de pago PSD2 obliga a que los proveedores de servicios de pago, como CaixaBank, apliquen procedimientos que permitan comprobar tu identidad o la validez del instrumento de pago que estés utilizando (p. ej., de una tarjeta). Este procedimiento se denomina AUTENTICACIÓN.
Esta autenticación puede ser simple o reforzada. Es obligatorio que sea reforzada cuando:
- accedes a tu cuenta de pago en línea (por ejemplo, cuando entras en CaixaBankNow).
- inicias una operación de pago electrónico o transferencia (p. ej., cuando realizas una transferencia para el pago de un regalo a un amigo). A partir de 2021 la autenticación reforzada también aplicará a las compras que realices en internet.
- realizas por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos (p. ej., la suscripción de un servicio a través de internet, como un portal de series online).
Esta autenticación reforzada debe basarse en la utilización de dos o más elementos independientes entre sí, de manera que la vulneración de uno no comprometa la fiabilidad de los demás y se proteja la confidencialidad de tus datos. Estos elementos pueden ser de tres tipos:
Conocimiento ('algo que solamente el usuario sabe')
Por ejemplo: código secreto estático, PIN
Posesión ('algo que solamente el usuario tiene')
Por ejemplo: un token, un móvil
Inherencia ('algo que el usuario es')
Por ejemplo: huella, escáner del iris, datos biométricos
- Elementos de conocimiento (algo que solo tú conoces: una contraseña, un PIN, conocimiento basado en preguntas…)
- Elementos de posesión (algo que solo tú posees: debe ser algo que confirme la posesión mediante la generación o la recepción de un elemento de validación dinámica en un dispositivo, como la generación de una OTP, un token o una notificación push).
- Elementos de inherencia (algo que tú eres: escáner de huella dactilar, reconocimiento de voz, escáner de retina….).
En el caso de inicio de operaciones de pago electrónico (pago con tarjeta a través de un comercio electrónico o emisión de una transferencia a través de CaixaBankNow, por ejemplo), también es necesario que uno de los elementos de autenticación de los tres descritos sea dinámico: se generará un código para cada importe y beneficiario y no podrá utilizarse para una operación en la que estos no sean coincidentes. Además, tendrá una validez limitada en el tiempo.