Impulsa tus cobros hoy mismo
+34 968 079 125
WhatsApp: +34 613 01 87 17
Síguenos en LinkedIn
Solicitar llamada gratis
Doble Factor de Autenticación 2FA en pagos
  1. Glosario Financiero PayOk
  2. Doble Factor de Autenticación 2FA en pagos

Doble Factor de Autenticación 2FA en pagos

Índice [Ocultar] [Mostrar]

¿Qué es el doble factor de autenticación 2FA? Definición

El doble factor de autenticación (2FA) es un mecanismo de seguridad que obliga al usuario a verificar su identidad con dos elementos independientes antes de completar una operación. En el ecosistema de pagos europeo se conoce como SCA (Autenticación Reforzada de Cliente) y es un requisito obligatorio de la Directiva PSD2 para transacciones electrónicas.

Frente a la autenticación simple basada en contraseña, el 2FA combina dos de estos tres factores: algo que el usuario sabe (PIN o contraseña), algo que tiene (dispositivo móvil o token) y algo que es (huella dactilar o reconocimiento facial).

Autenticación 2FA en pagos PSD2 SCA

Cómo funciona el doble factor de autenticación en pagos

Cuando un titular inicia un pago con tarjeta en un ecommerce, la verificación en dos pasos se activa a través del protocolo 3-D Secure (3DS):

  • El comprador introduce los datos de su tarjeta en el checkout.
  • La pasarela de pago envía la solicitud al emisor a través de la red de tarjetas.
  • El emisor evalúa el riesgo y, si corresponde, lanza el reto de autenticación reforzada.
  • El titular verifica su identidad con un segundo factor: código OTP, biometría facial o huella dactilar.
  • Tras la validación de ambos factores, el emisor autoriza la transacción.

Según PCI DSS v4.0, utilizar un mismo tipo de factor dos veces (por ejemplo, dos contraseñas distintas) no constituye autenticación multifactorial válida. Cada factor debe pertenecer a una categoría diferente, y desde marzo de 2025 la MFA para acceso al entorno de datos de titulares (CDE) es requisito obligatorio.

Impacto normativo y seguridad aplicable del 2FA

El marco legal que respalda el 2FA en Europa es multinivel.

La PSD2 (Directiva (UE) 2015/2366) establece en su artículo 97 la obligación de aplicar SCA en pagos electrónicos, accesos a cuentas y operaciones con riesgo de fraude. La EBA desarrolló las normas técnicas (RTS) que definen requisitos concretos y exenciones aplicables.

PCI DSS v4.0 refuerza esta exigencia desde la industria de tarjetas. Su Requisito 8.4 obliga a implementar MFA para todo acceso al CDE, y el Requisito 8.5.1 exige que los sistemas MFA no sean susceptibles a ataques de repetición.

Existen exenciones a la SCA que el comercio puede aprovechar: operaciones de bajo importe (menos de 30 €), análisis de riesgo transaccional (TRA) y pagos recurrentes (MIT) cuando el importe no varía.

Ventajas y desventajas operativas del 2FA

Ventajas:

  • Reducción de fraude: la autenticación con 3DS desplaza la responsabilidad al emisor en caso de chargeback fraudulento, protegiendo la tesorería del comercio.
  • Mejor tasa de aprobación: los emisores confían más en transacciones autenticadas. Enviar datos ricos (dirección, email, dispositivo) junto con el 2FA eleva las aprobaciones.
  • Equilibrio conversión-seguridad: la SCA inteligente permite eximir operaciones de bajo riesgo y activar verificación solo cuando el perfil lo exige.

Desventajas:

  • Fricción en el checkout: cada paso adicional puede provocar abandono del carrito, especialmente en móviles con flujos mal optimizados.
  • Dependencia del emisor: la experiencia del reto 3DS depende del banco emisor. Si su interfaz es lenta, la tasa de abandono crece sin que el comercio pueda intervenir.
  • Complejidad técnica: gestionar exenciones y flujos 3DS adaptativos requiere integración avanzada con la pasarela de pago.

Los pagos recurrentes por tarjeta (MIT) están exentos de 2FA tras la primera transacción autenticada (CIT), siempre que el importe y el beneficiario se mantengan constantes. Esto elimina fricción en modelos de suscripción.

Fuentes y lecturas relacionadas