PSD2 identidad digital

Cómo afecta la PSD2 a la identidad digital de los clientes de banca

La nueva directiva Revised Directive on Payment Services (PSD2), impulsada por la Autoridad Bancaria Europea para liberalizar el sector financiero, provoca un auténtico terremoto en los procesos de gestión de la identidad digital. Y en su protección.

BBVAOpen4U
|
15 Ene. 2018

En la actualidad se está produciendo un gran cambio de paradigma de la banca moderna: su transformación en plataformas como servicio (PaaS) para obtener ventajas del ecosistema que impulsará la nueva normativa PSD2 (Revised Directive on Payment Services) impuesta por la Autoridad Bancaria Europea (ABE). A día de hoy, casi ningún profesional técnico del sector financiero duda de que las entidades podrán cumplir con los requisitos normativos gracias a la utilización de interfaces de desarrollo de aplicaciones (APIs) con terceros.

Lo que establece la PSD2, que impulsa el cambio en enero de 2018, es que las entidades bancarias deberán abrir sus servicios de pago a terceras empresas (Third Party Payment Service Providers - TPPs): por un lado los proveedores de servicios de iniciación de pagos (PISPs) y por otro los proveedores de servicios de información de cuenta (AISPs). En ambos servicios, es obligatorio la autorización de los clientes, sean particulares o empresas, y, lógicamente, su previa autenticación.

Por tanto, la UE quiere un mercado de pagos en Europa abierto a otros protagonistas al margen de las entidades bancarias (empresas fintech). En ese escenario, la gestión de la identidad digital de los usuarios cobra una nueva dimensión. En este Discussion Paper de la EBA se desgrana la mayoría de riesgos y necesidades del nuevo entorno que nos espera tras la implantación de la PSD2. Evidentemente mucho más complejo, más sensible. De ahí que las APIs y el enfoque con el que se programen (interfaces de desarrollo de aplicaciones cerradas o abiertas) sea una cuestión que plantee un debate internacional.

La identidad digital, el mayor activo

En la era digital, donde los dispositivos móviles se han convertido en una herramienta para casi todo y en cualquier momento, los datos de los usuarios son una materia prima de un valor incalculable. Personas que, registradas con nombre de usuario y contraseña, hacen operaciones financieras en tiempo real, asociadas a nombre y apellidos, documento de identificación, lugar de residencia, sexo, edad… Operaciones vinculadas al sector del retail, los seguros, el ocio… No sólo información de gastos, también un registro de los ingresos de los clientes. 

Con la nueva PSD2, cualquier empresa puede convertirse en uno de esos TPPs que aproveche la liberación de los datos para generar nuevos ingresos. Es, a buen seguro, una carrera por la propiedad de la identidad digital de los clientes, que verán cómo cientos de compañías se pelean por el acceso autorizado a esa información. Europa entiende que eso reúne todos los elementos imprescindibles para liberalizar el mercado y que los mayores beneficiarios serán los clientes.

Los componentes que garantizan un proceso seguro son los siguientes: 

Identificación: definición de atributos que permiten saber, sin lugar a dudas, que el usuario es quien dice ser y no es otra persona suplantándole. 

Autenticación: verificación mediante credenciales que el usuario es el cliente que dice ser (usuario y contraseña, OTP, certificados digitales…).

Autorización: los proveedores de servicios financieros (TPP) con licencia para operar deben tener la autorización de los clientes para tener acceso a sus cuentas. Para ello es necesario disponer de una prueba de consentimiento, que se puede obtener mediante tokens de acceso. 

Autenticación basada en el riesgo (RBA), nuevo ecosistema

La Autenticación basada en el riesgo (Risk Based Authentication - RBA) es el método por el cual se aplican varios niveles de seguridad a los procesos de autenticación de clientes o usuarios para minimizar el riesgo de vulneración. Algunos de los elementos usados en un proceso de autenticación basada en el riesgo son, en muchas ocasiones, los mismos que se utilizan en algunos firewall de última generación para hacer calificaciones de riesgos. Son los siguientes: 

Identificación basada en roles: cuanto mayores sean los privilegios de los que dispone un usuario concreto (puede ser por ejemplo administrador de una red), mayores serán los controles de riesgo que debe superar. Es así porque su capacidad para romper la protección es aún más grande. 

Autenticación basada en la localización: la ubicación es un elemento clave a la hora de dilucidar si una transacción u operación bancaria es de riesgo o no. Si el usuario o cliente ha hecho login en una aplicación o un servicio financiero desde un lugar concreto, y al poco rato intenta hacer lo mismo desde otra ubicación totalmente distinta, es posible que estemos ante una acción que sea arriesgada para la entidad y para el propio cliente. 

Identificación basada en la actividad: las características de algunas operaciones financieras provocan mayores niveles de control. Transferencias con importes de gran volumen, operaciones entre cuentas en entidades de distintos países, envío de dinero a cuentas situadas en paraísos fiscales…  

Patrones en el comportamiento habitual: cuando un usuario hace alguna operación que no es habitual en su comportamiento como cliente, esa acción es más delicada que cualquiera que entre dentro de sus patrones de conducta. Esto se suele detectar midiendo la velocidad de transferencias encadenadas, los importes de cada una de esas operaciones… 

Otros elementos importantes en los sistemas de control de identidad digital RBA: tipo de dispositivo, dirección IP, estado del software antivirus… 

¿Te interesan las APIs financieras? Consulta el catálogo de BBVA en esta web

¡Suscríbete!

Recibe nuestro boletín semanal. No te pierdas nuestros trucos, consejos, artículos y los eventos más innovadores.