La normativa de servicios de pago PSD2 obliga a que los proveedores de servicios de pago, como CaixaBank, apliquen procedimientos que permitan comprobar tu identidad o la validez del instrumento de pago que estés utilizando (p. ej., de una tarjeta). Este procedimiento se denomina AUTENTICACIÓN.
 
Esta autenticación puede ser simple o reforzada. Es obligatorio que sea reforzada cuando:

  1. accedes a tu cuenta de pago en línea (por ejemplo, cuando entras en CaixaBankNow).
  2. inicias una operación de pago electrónico (p. ej., cuando compras con tu tarjeta una pizza a través de internet).
  3. realizas por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos (p. ej., la suscripción de un servicio a través de internet, como un portal de series online).

Esta autenticación reforzada debe basarse en la utilización de dos o más elementos independientes entre sí, de manera que la vulneración de uno no comprometa la fiabilidad de los demás y se proteja la confidencialidad de tus datos. Estos elementos pueden ser de tres tipos:

 

Conocimiento ('algo que solamente el usuario sabe')

Por ejemplo: código secreto estático, PIN

Posesión ('algo que solamente el usuario tiene')

Por ejemplo: un token, un móvil

Inherencia ('algo que el usuario es')

Por ejemplo: huella, escan del iris, datos biométricos



  • Elementos de conocimiento (algo que solo tú conoces: una contraseña, un PIN, conocimiento basado en preguntas…)
  • Elementos de posesión (algo que solo tú posees: debe ser algo que confirme la posesión mediante la generación o la recepción de un elemento de validación dinámica en un dispositivo, como la generación de una OTP, un token o una notificación push).
  • Elementos de inherencia (algo que tú eres: escáner de huella dactilar, reconocimiento de voz, escáner de retina….).

En el caso de inicio de operaciones de pago electrónico (pago con tarjeta a través de un comercio electrónico o emisión de una transferencia a través de CaixaBankNow, por ejemplo), también es necesario que uno de los elementos de autenticación de los tres descritos sea dinámico: se generará un código para cada importe y beneficiario y no podrá utilizarse para una operación en la que estos no sean coincidentes. Además, tendrá una validez limitada en el tiempo.