Una de las consecuencias de laentrada en vigor de la DSP2 (2ª Directiva de Servicios de Pago) el 13 de enero de 2018, y la publicación de las normas técnicas asociadas (conocidas como «RTS»), que serán aplicables el 14 de septiembre de 2019), es la muerte anunciada del SMS OTP («One Time Password»). Además de las limitaciones para el sector bancario en materia de pagos, también se plantea la cuestión del impacto del texto sobre otras normativas, en particular las que regulan la firma electrónica.
¿El fin de los SMS OTP?
Desde hace muchos años, los consumidores están acostumbrados a autenticarse al efectuar un pago en línea mediante un código recibido por SMS (dispositivo conocido como «3d-secure»). Este método de autenticación, que tiene por objeto garantizar que es el titular de la tarjeta quien efectúa el pago, aunque no sea infalible (un número de teléfono móvil puede ser utilizado indebidamente) y aunque repercuta en el índice de conversión de las transacciones de los clientes, goza actualmente de gran aceptación tanto entre los clientes como entre los comerciantes.
A través de su informe anual 2018 del Observatoire de la sécurité des moyens de paiements, la Banque de France ha detallado las implicaciones operativas de la entrada en vigor del texto, en particular en lo que respecta a los procedimientos de acceso a una cuenta de pago en línea.
Establece que se requiere un método de autenticación fuerte cuando el titular desea consultar su cuenta, realizar una transferencia, efectuar un pago con tarjeta bancaria o para un determinado número de transacciones sensibles.
El artículo 4 de la PSD2 define la autenticación fuerte como «la basada en dos o más elementos pertenecientes a las categorías: conocimiento, posesión e inherencia (biometría) y que da lugar a la generación de un código de autenticación». Y en el artículo 9, la directiva exige que los distintos elementos sean independientes para garantizar «que, en términos de tecnología, algoritmos y parámetros, el compromiso de uno de los elementos no ponga en entredicho la fiabilidad de los demás».
Sin embargo, el SMS OTP es sólo un factor, el de la posesión del móvil que recibe el código. Como el código recibido no es independiente del móvil, no puede considerarse un segundo factor. El número de la tarjeta, su validez y su criptograma no se consideran un factor de conocimiento porque aparecen «en claro» en la tarjeta y, de hecho, son fácilmente copiables.
¿Hacia un nuevo medio de autenticación?
Por tanto, los bancos tendrán que encontrar una nueva forma de autenticar a sus clientes para las transacciones cubiertas por la DSP2, es decir, las relacionadas con la gestión de cuentas en sentido amplio. Hay otro momento en la vida en el que la OTP por SMS se utiliza mucho hoy en día: al entablar una relación para la autenticación a distancia de prospectos o clientes como parte de la firma electrónica de un contrato para abrir una cuenta y una propuesta comercial de crédito, por ejemplo.
Para ser válida, una firma electrónica requiere que el firmante esté identificado y autenticado. En la actualidad, el mercado ha adoptado dos prácticas: la recogida (y análisis) de un documento de identidad y la captura de una OTP por SMS.
La firma electrónica se rige por el reglamento europeo eIDAS desdeel 1 de julio de 2016. Esto requiere que el medio de firma esté bajo el control exclusivo del firmante, y en el caso de la firma a distancia, esta obligación adopta la forma de un código de un solo uso enviado por SMS que sólo el firmante puede introducir en el momento del acto.
Durante años, este código de «activación» ha sido un paso esencial en el proceso de firma electrónica. La cuestión ahora es si sobrevivirá a la PSD2.
Un primer elemento de la respuesta es la armonización de los textos europeos que regulan el sector financiero, con conceptos que se transponen en los diferentes textos. Por ejemplo, los sistemas de identificación definidos por el reglamento eIDAS encontraron muy pronto su lugar en la transposición de la4ª directiva contra el blanqueo de capitales y la financiación del terrorismo. El artículo R561-20 del Código Monetario y Financiero menciona estos medios de identificación como nuevas medidas adicionales de diligencia debida al entablar una relación comercial a distancia (5ª y 6ª medidas).
El principal motor de estos cambios será sin duda la aversión al riesgo del sector. Si aparece en el mercado un sustituto creíble del SMS OTP en términos de despliegue, facilidad de uso y seguridad para los pagos seguros, se desplegará muy rápidamente para otros usos como la firma electrónica.
