Ir al contenido principal
Certyneo
Guía DSP2 y SCA · 2026

DSP2 y autenticación fuerte (SCA): la guía de la firma electrónica conforme

La segunda directiva sobre servicios de pago (DSP2, directiva (UE) 2015/2366) impone la autenticación fuerte del cliente (Strong Customer Authentication, SCA) para acceder a una cuenta de pago en línea, iniciar un pago electrónico o realizar cualquier acción a distancia que presente un riesgo de fraude. Esta guía explica cómo la firma electrónica avanzada (AES) conforme eIDAS satisface estos requisitos para bancos, establecimientos de pago y fintechs.

Actualizado el

¿Qué es la autenticación fuerte del cliente (SCA) según la DSP2?

El artículo 97 de la directiva (UE) 2015/2366 (DSP2) impone la autenticación fuerte del cliente. Sus modalidades técnicas se precisan en el reglamento delegado (UE) 2018/389 (Regulatory Technical Standards, RTS). El SCA se basa en al menos dos elementos independientes pertenecientes a categorías diferentes.

  • Conocimiento: un elemento que solo el cliente conoce (contraseña, código)
  • Posesión: un elemento que solo el cliente posee (teléfono que recibe un OTP SMS)
  • Inherencia: un elemento que el cliente es (biometría) — opcional si los otros dos se reúnen
  • Enlace dinámico: para un pago, el código debe estar vinculado al importe y al beneficiario (art. 5 RTS UE 2018/389)

¿Qué actos bancarios están sujetos a autenticación fuerte?

Apertura de cuenta de pago y contrato de cuenta
Mandato de domiciliación SEPA (primera implementación)
Expediente de vinculación y KYC a distancia
Suscripción a distancia de servicios financieros
Mandato de gestión y orden de transferencia relevante
Modificación de un medio de pago o de un límite

¿A qué se parece un proceso de firma conforme SCA?

  1. 1

    Identificar al cliente (conocimiento)

    El cliente accede al sobre a través de un enlace seguro y se autentica mediante un primer factor (correo electrónico + contraseña, o identificador Certyneo). Este es el elemento de conocimiento.

  2. 2

    Verificar la posesión (OTP)

    Un código de uso único (OTP) se envía por SMS al teléfono previamente verificado del cliente. La introducción del código prueba la posesión — segundo factor independiente.

  3. 3

    Firmar con sellado de tiempo cualificado

    El cliente apone su firma avanzada (AES). Certyneo genera un certificado de firma único y un sellado de tiempo cualificado conforme al artículo 26 del Reglamento eIDAS.

  4. 4

    Producir el registro de auditoría SCA

    El PDF de prueba documenta los dos factores, el sellado de tiempo cualificado, el hash SHA-256 y la dirección IP — oponible al ACPR para demostrar la conformidad SCA del proceso.

Preguntas frecuentes — DSP2 y autenticación fuerte

¿Es suficiente la firma avanzada (AES) para satisfacer el SCA de la DSP2?
Sí, cuando combina dos factores independientes. La firma avanzada Certyneo cubre el conocimiento (contraseña / correo electrónico de firma) y la posesión (OTP SMS en un teléfono verificado): dos elementos de categorías diferentes, conformes al artículo 97 de la DSP2 y al reglamento delegado (UE) 2018/389. La biometría (inherencia) no es necesaria siempre que estos dos factores se reúnan.
¿Cuál es la diferencia entre autenticación fuerte (SCA) y firma electrónica?
La SCA autentica el acceso y la intención del cliente en el momento de una operación sensible; la firma electrónica sella un documento con un valor probatorio duradero. Certyneo combina ambos: el proceso de autenticación fuerte alimenta directamente el audit trail de la firma, de modo que la prueba de autenticación y la prueba de consentimiento forman un todo oponible.
¿Qué es el enlace dinámico requerido para pagos?
El artículo 5 del reglamento delegado (UE) 2018/389 requiere que, para una operación de pago, el código de autenticación esté específicamente vinculado al importe y al beneficiario. Cualquier modificación de estos datos invalida el código. Para la firma de un mandato u orden, la integridad garantizada por el hash SHA-256 del documento cumple una función equivalente de no alteración.
¿Existen exenciones a la autenticación fuerte?
Sí. El reglamento delegado (UE) 2018/389 prevé exenciones (pagos de bajo importe, operaciones recurrentes, beneficiarios de confianza, análisis del riesgo de la transacción). Se refieren a la ejecución de pagos, no a la firma de un acto contractual: la firma de una convención de cuenta o un mandato sigue estando sujeta a los requisitos probatorios del artículo 1367 del Código civil.
¿Es el audit trail oponible a la ACPR en caso de control?
Sí. El audit trail Certyneo documenta los dos factores de autenticación, la marca de tiempo cualificada, la integridad del documento y la identidad del firmante. Exportable en PDF certificado, permite demostrar a la Autoridad de Control Prudencial y de Resolución (ACPR) que el proceso respeta los requisitos SCA de la DSP2.
Guía completa firma electrónica · Solución Certyneo para banco y seguros · Guía eIDAS — niveles SES/AES/QES · Firmar una apertura de cuenta profesional en línea · Firmar un mandato SEPA empresarial en línea

Implementar un proceso de firma conforme a SCA

Plan gratuito permanente (5 sobres / mes), sin tarjeta bancaria. Autenticación fuerte DSP2 (OTP SMS), firma avanzada eIDAS, audit trail oponible y archivo 10 años incluidos.