Impulsa tus cobros hoy mismo
+34 968 079 125
WhatsApp: +34 613 01 87 17
Síguenos en LinkedIn
Solicitar llamada gratis
SCA Autenticación Reforzada de Cliente 2FA
  1. Glosario Financiero PayOk
  2. SCA Autenticación Reforzada de Cliente 2FA

SCA Autenticación Reforzada de Cliente 2FA

Índice [Ocultar] [Mostrar]

¿Qué es SCA? Definición

La SCA (Strong Customer Authentication o Autenticación Reforzada de Cliente) es el mecanismo de verificación de identidad que obliga a utilizar al menos dos factores independientes 2FA antes de autorizar un pago electrónico. La impone el artículo 97 de la Directiva (UE) 2015/2366 (PSD2) y, en España, el Real Decreto-ley 19/2018.

Su objetivo es reducir el fraude en transacciones remotas y presenciales dentro del Espacio Económico Europeo (EEE). Desde el 31 de diciembre de 2020, fecha límite de implementación efectiva en España, la SCA se aplica a todo pago electrónico iniciado por el cliente salvo las exenciones previstas en el Reglamento Delegado (UE) 2018/389.

Autenticación 2FA SCA

Cómo funciona la Autenticación Reforzada de Cliente 2FA

La SCA exige combinar dos de tres categorías de factores de autenticación antes de completar un pago:

  • Conocimiento: algo que solo el usuario sabe, como un PIN o una contraseña.
  • Posesión: algo que solo el usuario tiene, como un teléfono móvil o una tarjeta física con chip.
  • Inherencia: algo propio del usuario, como la huella dactilar o el reconocimiento facial.

Estos factores deben ser independientes entre sí: la vulneración de uno no puede comprometer al otro. Además, el Reglamento Delegado 2018/389 establece la vinculación dinámica, un requisito que liga el código de autenticación al importe exacto y al beneficiario de la operación. Si un tercero intenta modificar la cantidad o el destinatario, el código deja de ser válido.

En la práctica, el protocolo 3D Secure 2 (3DS2) es el canal más extendido para cumplir con la SCA en pagos con tarjeta por internet. 3DS2 envía más de cien datos contextuales al emisor, lo que permite aplicar autenticación basada en riesgo (RBA) y resolver muchas verificaciones sin fricción visible para el comprador.

El Reglamento Delegado (UE) 2018/389 exige que el código de autenticación esté vinculado dinámicamente al importe y al beneficiario. Si cualquiera de los dos cambia, el código queda invalidado. Esta vinculación dinámica es la barrera técnica más efectiva contra la manipulación de pagos en tiempo real.

Impacto normativo y seguridad aplicable con 2FA

La SCA opera dentro de un marco regulatorio de tres capas:

  • Directiva PSD2 (Directiva (UE) 2015/2366): establece la obligación general de autenticación reforzada.
  • Reglamento Delegado (UE) 2018/389 (RTS de la EBA): define los requisitos técnicos, los factores válidos y las exenciones.
  • Real Decreto-ley 19/2018: transpone la PSD2 al ordenamiento español y atribuye al Banco de España la supervisión y potestad sancionadora, con multas de hasta el 10 % del volumen de negocio o 10 millones de euros.

Las exenciones a la SCA que más impactan al ecommerce son:

  • Operaciones de bajo importe: transacciones inferiores a 30 €, con un límite acumulado de 100 € o cinco operaciones consecutivas sin autenticación.
  • Análisis de riesgo de la transacción (TRA): el proveedor de servicios de pago puede eximir operaciones si su tasa de fraude se mantiene por debajo de umbrales concretos. Por ejemplo, para eximir pagos de hasta 100 €, la tasa de fraude debe estar por debajo del 0,13 %.
  • Pagos recurrentes de importe fijo: la SCA se aplica solo en la primera operación. Los cargos sucesivos por el mismo importe al mismo comercio quedan exentos.
  • Beneficiarios de confianza: el cliente puede incluir un comercio en su lista blanca a través del emisor.

El cumplimiento de PCI DSS v4.0 complementa la SCA en el plano técnico. Su Requisito 8.4 exige autenticación multifactor (MFA) para todo acceso al entorno de datos de tarjeta, reforzando la cadena de seguridad de extremo a extremo.

Ventajas y desventajas operativas del uso de 2FA

VentajasDesventajas
Reducción directa del fraude en pagos remotos con tarjetaFricción adicional en el checkout que puede elevar el abandono de carrito
Cambio de responsabilidad: con autenticación completada, la responsabilidad del fraude suele recaer en el emisor, no en el comercioDependencia de la infraestructura del emisor: si la app bancaria falla o el SMS no llega, la venta se pierde
Mayor confianza del comprador al percibir un entorno seguroComplejidad técnica para integrar 3DS2 y gestionar exenciones correctamente
Uso inteligente de exenciones (TRA, bajo importe) permite mantener la conversión sin sacrificar seguridadCoste de integración y mantenimiento para pasarelas y comercios

La clave operativa está en aplicar una estrategia de SCA inteligente: activar la autenticación completa cuando el riesgo lo exige y solicitar exenciones (TRA, bajo importe) donde los modelos de riesgo lo permitan. Este equilibrio entre seguridad y experiencia de usuario es lo que separa a los comercios con buenas tasas de conversión de los que sufren abandonos masivos en el checkout.

Desactivar 3D Secure para reducir fricción es un error frecuente. Las versiones actuales de 3DS2 permiten flujos sin reto visible cuando el riesgo es bajo, y mantenerlo activo protege al comercio frente a contracargos por fraude.

Fuentes y lecturas relacionadas