¿Podemos fiarnos del móvil para pagar?

Fecha de publicación: 20.08.2019
¿Podemos fiarnos del móvil para pagar?

El pago móvil está más presente de lo que parece. Es lo que ocurre cuando acercamos nuestro smartphone al datáfono del comercio donde realizamos la compra. Según los expertos, las tecnologías antifraude y unas medidas legales estrictas han convertido al smartphone en un medio más seguro para el pago que las tarjetas de crédito físicas. De la diligencia del usuario depende, obviamente y sin embargo, la fiabilidad de este sistema, así como la necesidad de acostumbrarse a él.

José María Baños, socio fundador de Letslaw, echa la vista atrás a cuando Amazon estrenó su web en España y “se empezaron a llevar a cabo los primeros pagos con tarjeta de crédito a través de internet, que también generaron reticencia por parte del usuario”.

Los datos de Bankinter Consumer Finance hablan por sí solos: de una media de 8 compras online con tarjeta en 2013, se pasó a las 14 en 2018, con un gasto promedio de 886 euros. Esto supone un incremento del 73% en solo un lustro.

¿Cómo se paga por el móvil?

Son las nuevas y flamantes aplicaciones de los smartphones las que permiten el pago móvil. A ellas podemos vincular nuestras cuentas bancarias o tarjetas de crédito para dotar al dispositivo de capital suficiente para comprar. Algunos bancos han lanzado sus propias apps  para ello:

  • BBVA y Santander: app Wallet.
  • CaixaBank: app CaixaBank Pay.
  • ING: app Twyp.
  • Bankia: app Bizum.

También lo han hecho gigantes como Apple, Google y Samsung, que solo han tenido que añadir la palabra “Pay” a su nombre comercial para bautizarlas.

En 2018, el 2,4% de las compras en España se realizaron con aplicaciones móvil, y el precio medio fue de 35 euros.

Baños insiste en que pagar con el móvil es más seguro que con el plástico: “Cuando utilizamos una contactless para un pago inferior a 20 euros, no estamos sometidos a ninguna medida de autenticación previa que verifique la identidad o confirme la voluntad del usuario de realizarlo. Con el pago móvil, sí”, explica.

CreditoSi
Importe de préstamo 1 000 € Quiero préstamo
Vivus
Importe de préstamo 300 € Quiero préstamo
Monedo
Importe de préstamo 5 000 € Quiero préstamo

La fortaleza del smartphone

El propio smartphone es lo que, para Gonzalo Benito, director técnico de iAhorro, mejor garantiza un pago seguro a través del móvil.

Actualmente los móviles cuentan con sistemas de autenticación sofisticados, con elementos clásicos como contraseñas, códigos PIN o patrones, así como con elementos biométricos, más recientes e innovadores, como la identificación facial, de iris o de huella dactilar”, asegura este experto.

Estos sistemas constituyen la primera línea de defensa, sin perjuicio de lo que aguarda en la retaguardia. Compañías como Apple y Samsung apuntalan su fortaleza con medidas de seguridad extra tanto en hardware como en software. Dos ejemplos son Apple Secure Enclave y Samsung Knox, especializados para la protección de datos importantes.

La comunicación de campo cercano

La terminal de cobro o TPV es lo que comúnmente conocemos como datáfono. Ahí es donde va a parar nuestro móvil cuando realizamos un pago con él. 

¿Qué ocurre entonces? Se activa la comunicación de campo cercano – NFC, en inglés– entre el móvil y la terminal. 

La comunicación de campo cercano es otro de los factores Benito considera claves en la seguridad, debido a la frecuencia de radio de corto alcance que utiliza para materializar la conexión que hará posible el pago. Es por eso que solo funciona si acercamos el móvil a menos de 20 centímetros de la terminal. Es entonces cuando nosotros introducimos el código de seguridad que permite el envío de datos encriptados para efectuar el pago.

Benito afirma que “podemos considerar estas aplicaciones más seguras que el uso físico de las tarjetas de crédito, porque no intercambian detalles personales, de tarjetas o cuentas, con las entidades que realizan el cobro”.

El ‘token’, garantía de seguridad

Como afirmaba Gonzalo Benito, de iAhorro, en la primera parte del artículo, el pago móvil no supone el intercambio de datos sensibles. Lo que convierte este sistema en el más seguro es que, en su lugar, lo único que comparten el smartphone –a través de la app de pago– y la terminal de pago es un código único, aleatorio y que identifica la operación y antes de eliminarse. Se llama token, y es tan fiable porque solo se usa una vez. "Aunque el token fuera sustraído de alguna manera, no tendría ninguna validez en ninguna otra transacción”, subraya Benito. 

La evolución en materia de seguridad en este ámbito es constante y, si bien los cibercriminales no paran de probar nuevas técnicas con relativo éxito, las medidas para contrarrestarles no se quedan atrás”, destaca, tranquilo, el experto.

Imprescindible la responsabilidad del usuario

Eso sí, Benito se pone serio cuando hablamos de la responsabilidad del usuario. Los desarrolladores de las medidas de seguridad que hemos visto hasta ahora ya han cumplido con su parte. El resto es cosa del usuario, quien debe mantener unas buenas prácticas. ¿Cómo?

  • Usando exclusivamente aplicaciones fiables y contrastadas.
  • Proteger adecuadamente el acceso de terceros al smartphone, mediante códigos, claves, etc.
  • Lo mismo en relación con el acceso a las apps más importantes, como las que permiten el pago móvil.
  • No configurar estas apps permaneciendo conectados a redes públicas y abiertas de wifi

Benito advierte de que “es importante desconfiar de enlaces sospechosos e instalar un antivirus”.

El peor caso, por supuesto, es la pérdida o sustracción del teléfono móvil. José María Baños, de Letslaw, lo tiene claro: “Si eso ocurriera, el usuario debería actuar como si hubiese perdido su tarjeta de crédito, bloqueando el dispositivo y denunciando el robo o el extravío”.

La norma que lo ampara

Afortunadamente, contamos con materia legal europea que protege al consumidor en caso de fraude. Procede de la segunda directiva europea de servicios de pago, abreviada en PSD2, y convertida en Real Decreto 19/2018, de 23 de noviembre, en el ordenamiento legal de España. 

Según dicha norma, el responsable de fraude será el proveedor del servicio de pago. Es una forma de proteger al usuario, que solo se vería penalizado con un límite de 50 euros.

Baños lo aclara: “Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada, o alegue que esta se ejecutó de manera incorrecta, corresponde al proveedor del servicio demostrar que esta fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio mismo”.

Y añade que “en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago devolverá al usuario el importe, a más tardar al final del día hábil siguiente a aquel en el que se haya notificado la operación”.

La autenticación reforzada

Sin embargo y según la directiva, “el comercio puede conectarse directamente con el banco a través de una API, es decir, una interfaz entre el consumidor y el negocio, sin que intervenga un proveedor de medios de pagos con sus tarjetas”.

Este hecho ha originado que se cree una nueva regulación de pagos online el próximo 14 de septiembre, sin más motivo que el de seguir reforzando la seguridad del pago móvil.

Se llama autenticación reforzada y establece tres sistemas de autenticación de las operaciones de pago electrónico, debiendo aplicarse, obligatoriamente, uno de ellos:

  • Una contraseña o código que únicamente conozca el usuario o consumidor.
  • Un objeto o clave que únicamente esté en posesión del usuario o consumidor, como el número de teléfono.
  • Algo que forme parte del usuario y resulte personal, intrínseco e intransferible, como su huella dactilar, su rostro o su íride.

Son muchos los factores, a día de hoy, los que convierten el pago móvil en el método más seguro para el creciente comercio electrónico.

Fuente: El País

Comentarios