Este sábado llega una nueva vuelta de tuerca a las normas de seguridad de la banca online. En adelante, el teléfono móvil se convertirá en una herramienta imprescindible para el acceso a los canales digitales de tu banco, pero cada entidad ha desplegado sus propias medidas de control. Así funcionarán a partir del 14 de septiembre en las principales entidades que operan en España.
La mayoría de entidades han optado por el sistema de añadir una clave de un solo uso al tradicional sistema de autentificación con usuario y contraseña. Una vez introducidos estos dos datos, que no varían, se enviará un código al teléfono móvil del cliente mediante un SMS. Este tendrá una validez máxima de cinco minutos y será nuevo para cada vez que intente acceder con un nuevo dispositivo digital a partir del próximo 14 de septiembre. Después, el proceso se repetirá cada cierto tiempo con una cadencia máxima de 90 días.
BANCO SANTANDER
El acceso a la banca online del Santander seguirá el sistema básico por el que ha optado la mayoría de entidades financieras. En este sentido, desde el banco se advierte de que “será muy importante que el cliente tenga actualizados sus datos” y que “tu actual número de teléfono esté asociado al contrato de banca digital”, ya que esta será la vía para la comunicación de la nueva clave cada vez que sea necesario.
BBVA
Desde hace semanas, los usuarios de banca online de BBVA se encuentran con el mensaje de que su teléfono móvil será imprescindible para acceder a estos servicios a partir del 14 de septiembre. Al número de DNI que introducen como usuario y a su contraseña deberán añadir el SMS que recibirán con sus primeros accesos a la app o la herramienta web una vez que la norma entre en vigor. Además, la entidad ha anunciado que, aprovechando el cambio, presentará novedades de acceso a la banca digital la semana que viene.
BANKIA
Dado que lo que exige la nueva normativa es que se cumplan dos factores de autenticación de entre estos tres: conocimiento (contraseña), posesión (teléfono móvil) e inherencia (huella dactilar o biometría), los clientes de Bankia que accedan a la app del banco a través de huella digital o identificación facial no afrontarán ningún cambio. Los que hasta ahora accedían con su DNI más una clave de acceso, tendrán que usar la clave de acceso que se les enviará a su móvil. Este dato de contacto puede actualizarse tanto en la red de oficinas de la entidad como en sus cajeros automáticos.
CAIXABANK
Cuando los clientes de CaixaBank se conecten por primera vez desde un dispositivo a partir de este sábado, se les solicitará una confirmación adicional de su contraseña de CaixaBankNow y, además, su firma a través del mecanismo que utilicen habitualmente para esta gestión, ya sea la aplicación CaixaBank Sign, la tarjeta de coordenadas -que seguirá plenamente operativa- o una clave de un uso recibida por SMS. Para determinados pagos y transferencias, a los usuarios de CaixaBank Sign se les solicitará una vez más su contraseña de acceso a CaixaBankNow, mientras que los usuarios de la tarjeta de coordenadas recibirán un código en su móvil a través de SMS.
BANKINTER
A partir de este sábado, los clientes de Bankinter recibirán por SMS un código número de un solo uso cuando intenten acceder a su banca online por primera vez desde nuevos dispositivos. Asimismo, cada 90 días como máximo se enviará uno nuevo al intentar acceder para garantizar la máxima seguridad.
UNICAJA
A los clientes de Unicaja se les solicitará en cualquier momento, y como mínimo cada 90 días, dos elementos de seguridad identificativos para el acceso a la banca web o la aplicación de la entidad. Esto es, que a su contraseña actual se le sumará la petición de la clave de seguridad remitida por SMS. Nada cambia para aquellos que acceden a la app mediante huella digital, que permite un acceso más directo.
LIBERBANK
Los clientes de Liberbank tendrán que seguir el sistema mayoritariamente adaptado por el sector: al usuario y contraseña que venían utilizando hasta ahora se le suma la clave a través de SMS la primera vez que se conecten desde un nuevo dispositivo por app o vía web. La entidad ha informado de que no será necesaria nueva clave hasta la siguiente vez que el cliente se conecte después de 90 días desde un mismo terminal.
IBERCAJA
Los clientes de Ibercaja tendrán que sumar a su usuario y contraseña habituales, que ya son diferentes para el acceso o la operativa digital, la clave de un uso que recibirán en el teléfono móvil que tengan registrado como cauce de comunicación con la entidad. Para evitar despistes, el banco aragonés ha emprendido como buena parte del sector una masiva campaña de comunicación por e-mail anunciando y explicando estos cambios.
RENTA 4 BANCO
El acceso a la banca digital de Renta 4 seguirá la norma general, solo que el cliente tendrá que confirmar que desea proceder al envío de la clave de acceso a su teléfono móvil. Miguel Jaureguízar, director de Desarrollo Digital de la entidad, señala que así se refuerza la seguridad y además se evita que herramientas como los agregadores fintech puedan forzar el envío indeseado de una clave a los clientes.
SELF BANK
Una vez que entre en vigor la normativa, el banco digital Self Bank tiene previsto solicitar una clave de generación automática vía SMS cada 90 días como máximo o cada vez que el cliente acceda con un nuevo dispositivo no registrado o un nuevo navegador, en el caso de la banca web.
ING
El holandés ING ha aprovechado la entrada en vigor de la normativa europea para despedirse de sus tarjetas de coordenadas que hasta ahora reforzaban la seguridad de cualquier operativa digital. En este caso, en lugar del SMS se ha optado por un sistema de notificaciones de comprobación de identidad a través de la app del banco. De este modo, ya sea para operar con esta herramienta o a través del canal web, será necesario tener descargada y operativa al menos la versión 2.5 de su aplicación y permitir que esta genere notificaciones automáticas en el móvil o dispositivo digital en el que se vaya a usar.
RETRASO SIN FECHA
Toda esta revolución es fruto de la entrada en vigor de la nueva directiva europea de pagos digitales, conocida por las siglas PSD2, cuyo objetivo fundamental es potenciar la protección del usuario de banca online frente a eventuales fraudes. Uno de los ejes para conseguirlo es el sistema de autenticación reforzada (strong customer authentication, abreviado como SCA), que es lo que aportan las medidas que entran en vigor este sábado.
No obstante, otras medidas de las que contempla la norma comunitaria se quedan en el tintero. Y todo apunta a que será por más de un año. El Banco de España, en una iniciativa compartida con otros supervisores nacionales de la Eurozona, ha decidido atrasar la entrada en vigor de estas exigencias de autentificación y control para la ejecución de pagos ya que “reconoce la complejidad de los mercados de pagos en la Unión Europea y la necesidad de acometer cambios que permitan a los emisores aplicar la SCA”.