Vivimos en una era en la que las transacciones digitales son la norma. En la mayoría de los casos, apenas es necesario acudir a un proveedor de servicios de pago (PSP) físico para realizar una transacción financiera, ya que los PSP están disponibles las veinticuatro horas del día. A través de las aplicaciones bancarias, los usuarios pueden enviar y recibir dinero o realizar pagos con solo pulsar un botón. Con este aumento del uso, garantizar la seguridad y la fiabilidad de las transacciones nunca ha sido tan importante.
Una medida clave para salvaguardar los pagos es la verificación del beneficiario (o confirmación del beneficiario), que verifica la identidad del receptor y garantiza que los pagos se dirigen al destinatario correcto. Las actualizaciones de los requisitos de VoP y el papel de los certificados cualificados de autenticación de sitios web (QWAC) están remodelando el panorama normativo.
En este blog analizamos los requisitos de VoP, la importancia de los QWAC y el papel de la Directiva de Servicios de Pago 2 (PSD2) en la configuración de la seguridad de los pagos en las distintas regiones.
Entendiendo la confirmación del beneficiario (CoP), que condujo a VoP
El Reino Unido fue uno de los primeros países en lanzar la iniciativa de confirmación del beneficiario (CoP) en 2020. Encabezada por Pay.UK, el objetivo principal de la normativa CoP es evitar los pagos mal dirigidos y fraudulentos. Básicamente, verifica que el nombre y los datos de la cuenta del beneficiario coincidan con los datos de la cuenta facilitados por el ordenante antes de que se complete el pago. Si los datos no coinciden, alertará al remitente de que algo no va bien.
La iniciativa se ha considerado un gran éxito, con más de 2.500 millones de comprobaciones de CoP realizadas, lo que ha dado lugar a una reducción significativa de los casos de fraude.
El Consejo Europeo de Pagos (CEP) siguió su ejemplo e introdujo el sistema de verificación del beneficiario en octubre de 2024. El ECP ha ordenado que todos los proveedores de servicios de pago que ofrezcan pagos instantáneos o transferencias en la Zona Única de Pagos en Euros (SEPA) implementen la verificación del beneficiario antes de octubre de 2025.
CoP vs VoP - ¿Cuál es la diferencia?
Ambos sistemas, CoP y VoP, comparten los mismos principios fundamentales de reducción del fraude en los pagos y de los pagos desviados. Sin embargo, tienen diferentes requisitos de verificación. En el caso de CoP, la identidad del beneficiario se verifica mediante el nombre personal o comercial, el código bancario y el número de cuenta. Mientras que en las operaciones de VoP, la identidad se verifica utilizando el nombre de la cuenta o un identificador de cuenta inequívoco, como un Identificador de Personas Jurídicas (LEI) o un código fiscal.
El papel de los certificados cualificados de autenticación de sitios web (QWAC) en las transacciones VoP y CoP
¿Dónde entran en juego los QWAC? Un QWAC es un certificado cualificado de autenticación de sitios web y es un requisito obligatorio que los PSP deben aplicar en virtud de las Normas Técnicas de Reglamentación (NTR) sobre autenticación fuerte de clientes (SCA) y comunicación común y segura (CSC).
Un QWAC es un certificado digital cualificado que proporciona autenticación fuerte, cifrado y protección de la integridad de los datos intercambiados entre instituciones financieras. Se utilizan para proteger la comunicación entre bancos, PSP y API. Ayudan a cumplir los requisitos normativos y de seguridad, en particular en el marco de PSD2 y Open Banking.
Los QWAC desempeñan un papel crucial en la seguridad de las transacciones VoP y CoP:
- Garantizan la autenticación mutua mediante la verificación de las identidades de bancos, PSP y terceros proveedores (TPP).
- Cifran los datos confidenciales y evitan los ataques de intermediario y las violaciones de datos.
- Cumplen los requisitos de la DSP2 para la comunicación API segura entre bancos y proveedores de tecnología financiera.
Influencia de la PSD2
La Directiva de Servicios de Pago 2 (PSD2) es una normativa de la UE creada para promover una práctica de seguridad, fomentar la competencia y proteger a los consumidores en las transacciones digitales. La clave de la PSD2 es la Autenticación Fuerte del Cliente (SCA), que garantiza la verificación y seguridad de los protocolos de pago.
La PSD2 tiene una influencia sustancial en la VoP. Establece que los bancos y los PSP deben garantizar la comunicación segura del procesamiento de las transacciones. Esto puede hacerse mediante la autenticación mTLS utilizando QWAC (ya que los certificados mTLS proporcionan autenticación mutua de ambos puntos finales). También exige que se verifique la identidad del PSP cuando se comunique con integraciones de API de banca abierta utilizando QWAC, para permitir la verificación de la identidad de los detalles del beneficiario antes de autorizar las transacciones para permitir pagos seguros.
¿Qué son las RTS SCA/CSC para PSD2?
Las Normas Técnicas Reglamentarias (NTR) para la Autenticación Fuerte de Clientes (SCA) y las Normas Abiertas de Comunicación Comunes y Seguras (CSC) detallan las medidas de seguridad específicas y los requisitos de implementación que deben cumplir las entidades financieras y los TPP para cumplir con la PSD2.
Un principio básico de las RTS es la comunicación común y segura entre todas las partes implicadas. Todas las transacciones entre proveedores de servicios de pago e instituciones financieras deben realizarse a través de canales seguros y garantizar la autenticidad e integridad de los datos.
Adopción mundial de los sistemas VoP
Existe una necesidad global de evitar pagos nacionales y transfronterizos mal dirigidos, manteniendo al mismo tiempo la velocidad del procesamiento de pagos.
Varios países están estudiando y aplicando sistemas de VoP para combatir el fraude y garantizar la seguridad de las transacciones. En agosto de 2024, la Asociación Bancaria Australiana (ABA) completó la fase de diseño de su servicio CoP, que se pondrá en marcha en 2025.
Otras regiones, como Asia-Pacífico, Oriente Medio y África, y América Latina, están explorando cada vez más los sistemas de verificación de pagos y fomentando la colaboración entre los proveedores de servicios de pago y las empresas de tecnología financiera para reforzar la seguridad y la eficiencia de los pagos. Los sistemas de verificación de pagos adaptados a las infraestructuras de pago regionales son fundamentales para responder a las necesidades específicas del mercado y respaldar procesos de transacción seguros.
Con mandatos como la PSD2, decisivos para configurar el panorama mundial de los pagos, los sistemas de VoP y los certificados QWAC son esenciales para un futuro de transacciones de pago seguras y fiables. Es importante mantenerte informado sobre las actualizaciones normativas e implementar las medidas de seguridad necesarias.
