A partir de ahora, no bastará con introducir los datos de acceso habituales sino que, además, se requerirá un segundo factor de verificación para cumplir con la directiva europea.

La PSD2 establece que para autorizar pagos electrónicos y también para acceder a una cuenta corriente en línea será necesario cumplir con un sistema de autenticación reforzada (SCA) o verificación en dos pasos. Este método obliga a los proveedores de servicios de pago a verificar la identidad del cliente mediante un proceso de autenticación que debe combinar dos elementos de seguridad independientes: algo que solo conoce el cliente, como una contraseña, algo que solo tiene el cliente, como su teléfono móvil, y algo que forma parte de él, como su huella dactilar.

El proceso tradicional de acceso a la banca online (usuario y contraseña) no cumple con el sistema de autenticación reforzada propuesto por la PSD2, por lo que la banca ha procedido a actualizarlo.

Código por SMS

La mayoría de los bancos ha optado por cumplir con el segundo factor de autenticación enviando a sus clientes un código por mensaje de texto que deberán introducir junto con sus credenciales habituales en el momento de acceder a la banca online. Otras entidades han optado por enviar notificaciones emergentes a través de sus propias aplicaciones. Es decir, que ahora el teléfono móvil se convertirá en un elemento imprescindible para acceder a la banca online a través del ordenador, explican los expertos del comparador de productos bancarios HelpMyCash.com que han analizado la puesta en marcha de la PSD2 en cada banco.

Los clientes de Banco Sabadell, Banco Santander, Bankia, BBVA, Colonya, Laboral Kutxa, Openbank y las cajas rurales recibirán un código por SMS cuando intenten acceder a la banca online. ING, por su parte, en lugar de enviar códigos por mensaje de texto, enviará notificaciones vía app que deberán confirmarse, por lo que en su caso no solo será necesario disponer de un smartphone, sino que será obligatorio descargar la app del propio banco. Una alternativa que deja fuera de juego a todos los clientes de la entidad que no tienen teléfonos inteligentes (cualquier móvil puede recibir SMS, pero no todos pueden descargar apps) o que sus dispositivos no están preparados para soportar las últimas versiones de la aplicación del banco o que, directamente, no tienen espacio. Además, este sistema requiere que el cliente tenga acceso a Internet en su móvil siempre que quiera operar.

Cajamar y el challenger bank N26 han optado por una solución mixta. En el primer caso, aquellos clientes que se hayan descargado la aplicación del banco recibirán notificaciones que deberán confirmar mediante el sistema Firma Móvil. Los que no tengan instalada la aplicación de Cajamar, recibirán códigos por mensaje de texto. Por su parte, N26 enviará una notificación a través de su app (también permitirá al cliente solicitar un código por SMS) cuando se acceda a la cuenta a través de la web o mediante un dispositivo que no esté vinculado.

Según la normativa europea, el segundo factor de autenticación solo será obligatorio solicitarlo la primera vez que se acceda a la banca online tras la implantación de la directiva y, al menos, una vez cada 90 días, explican fuentes de HelpMyCash. Varias entidades ya han avisado a sus clientes de que seguirán esta norma.

La puesta en marcha de este nuevo sistema será el sábado 14 de septiembre de 2019, fecha en la que entra en vigor el Reglamento Delegado 2018/389, que específica las normas de aplicación de la autenticación reforzada.

Prórroga a la vista

El Banco de España seguirá el dictamen de la Autoridad Bancaria Europea y concederá una prórroga para la implementación del sistema de autenticación reforzada. Aunque de momento no se ha especificado cuánto durará el plazo de transición, todo apunta a que se concederá un período de gracia de entre 14 y 18 meses.

No obstante, esta prórroga solo afectará a la implementación de la SCA en los pagos electrónicos y no al acceso a la banca online, por lo que el uso de la doble autenticación para consultar la cuenta por Internet será obligatorio desde este 14 de septiembre.