El olvido de la SCA
El año pasado por estas fechas, todo era caos y miedo; temor justificado por la inacción ante la entrada en vigor de una normativa (el Reglamento General de Protección de Datos, en este caso) que pillaba a todas las empresas en bragas y sin capacidad casi de maniobra. Un año más tarde, ese pánico ha dado paso a un cumplimiento progresivo de la regulación y a la práctica integración de sus principios de privacidad en nuestro imaginario colectivo.
Eso fue hace un año pero, como suele decirse, el ser humano es el único que tropieza mil veces en la misma piedra. Y aquí nos encontramos, con más arrugas y más calvos... y de nuevo con la espada de Damocles encima de nuestras lindas cabezas a causa de una nueva ley que, para más inri, ni tan siquiera es tan mediática ni conocida como lo fue el GDPR de hace un curso.
Hablo de la SCA (Strong Customer Authentication) o, para los que tengan el famoso ‘nivel medio’ de inglés, la Autenticación Reforzada de Clientes. Esta norma, que entrará en vigor a la vuelta del verano (concretamente, el 14 de septiembre), exige entre otras cosas un nivel adicional de autenticación para realizar pagos online. Así pues, los procesos que hasta ahora resultaban extraordinariamente sencillos (pagar cualquier cosa en Internet con tan sólo un número de tarjeta y una dirección) ahora resultarán algo más tediosos pero infinitamente más seguros.
La premisa de la SCA es, en realidad, muy sencilla de comprender: tendremos que autenticarnos a la hora de pagar en internet con al menos dos de los siguientes factores: algo que sabemos (como una contraseña o PIN), algo que poseemos (como un token o un smartphone), y algo que somos (como una huella digital o rasgos faciales biométricos).
¿Cuál es el problema entonces? Pues que, al igual que sucedió hace un año con el GDPR, prácticamente ningún comercio electrónico -salvando los grandes players del mercado- conoce la SCA y, mucho menos, ha movido un solo dedo para adaptarse a la nueva ley. Un fenómeno desgraciadamente conocido de dejadez supina que, como alertaba esta semana el proveedor Stripe, puede suponer que el mismo día 15 de septiembre se propaguen cual peste las transacciones fallidas en internet hasta el colapso mismo.