DSP2 y autenticación fuerte (SCA): la guía de la firma electrónica conforme
La segunda directiva sobre servicios de pago (DSP2, directiva (UE) 2015/2366) impone la autenticación fuerte del cliente (Strong Customer Authentication, SCA) para acceder a una cuenta de pago en línea, iniciar un pago electrónico o realizar cualquier acción a distancia que presente un riesgo de fraude. Esta guía explica cómo la firma electrónica avanzada (AES) conforme eIDAS satisface estos requisitos para bancos, establecimientos de pago y fintechs.
¿Qué es la autenticación fuerte del cliente (SCA) según la DSP2?
El artículo 97 de la directiva (UE) 2015/2366 (DSP2) impone la autenticación fuerte del cliente. Sus modalidades técnicas se precisan en el reglamento delegado (UE) 2018/389 (Regulatory Technical Standards, RTS). El SCA se basa en al menos dos elementos independientes pertenecientes a categorías diferentes.
- Conocimiento: un elemento que solo el cliente conoce (contraseña, código)
- Posesión: un elemento que solo el cliente posee (teléfono que recibe un OTP SMS)
- Inherencia: un elemento que el cliente es (biometría) — opcional si los otros dos se reúnen
- Enlace dinámico: para un pago, el código debe estar vinculado al importe y al beneficiario (art. 5 RTS UE 2018/389)
¿Qué actos bancarios están sujetos a autenticación fuerte?
¿A qué se parece un proceso de firma conforme SCA?
- 1
Identificar al cliente (conocimiento)
El cliente accede al sobre a través de un enlace seguro y se autentica mediante un primer factor (correo electrónico + contraseña, o identificador Certyneo). Este es el elemento de conocimiento.
- 2
Verificar la posesión (OTP)
Un código de uso único (OTP) se envía por SMS al teléfono previamente verificado del cliente. La introducción del código prueba la posesión — segundo factor independiente.
- 3
Firmar con sellado de tiempo cualificado
El cliente apone su firma avanzada (AES). Certyneo genera un certificado de firma único y un sellado de tiempo cualificado conforme al artículo 26 del Reglamento eIDAS.
- 4
Producir el registro de auditoría SCA
El PDF de prueba documenta los dos factores, el sellado de tiempo cualificado, el hash SHA-256 y la dirección IP — oponible al ACPR para demostrar la conformidad SCA del proceso.
Preguntas frecuentes — DSP2 y autenticación fuerte
- ¿Es suficiente la firma avanzada (AES) para satisfacer el SCA de la DSP2?
- Sí, cuando combina dos factores independientes. La firma avanzada Certyneo cubre el conocimiento (contraseña / correo electrónico de firma) y la posesión (OTP SMS en un teléfono verificado): dos elementos de categorías diferentes, conformes al artículo 97 de la DSP2 y al reglamento delegado (UE) 2018/389. La biometría (inherencia) no es necesaria siempre que estos dos factores se reúnan.
- ¿Cuál es la diferencia entre autenticación fuerte (SCA) y firma electrónica?
- La SCA autentica el acceso y la intención del cliente en el momento de una operación sensible; la firma electrónica sella un documento con un valor probatorio duradero. Certyneo combina ambos: el proceso de autenticación fuerte alimenta directamente el audit trail de la firma, de modo que la prueba de autenticación y la prueba de consentimiento forman un todo oponible.
- ¿Qué es el enlace dinámico requerido para pagos?
- El artículo 5 del reglamento delegado (UE) 2018/389 requiere que, para una operación de pago, el código de autenticación esté específicamente vinculado al importe y al beneficiario. Cualquier modificación de estos datos invalida el código. Para la firma de un mandato u orden, la integridad garantizada por el hash SHA-256 del documento cumple una función equivalente de no alteración.
- ¿Existen exenciones a la autenticación fuerte?
- Sí. El reglamento delegado (UE) 2018/389 prevé exenciones (pagos de bajo importe, operaciones recurrentes, beneficiarios de confianza, análisis del riesgo de la transacción). Se refieren a la ejecución de pagos, no a la firma de un acto contractual: la firma de una convención de cuenta o un mandato sigue estando sujeta a los requisitos probatorios del artículo 1367 del Código civil.
- ¿Es el audit trail oponible a la ACPR en caso de control?
- Sí. El audit trail Certyneo documenta los dos factores de autenticación, la marca de tiempo cualificada, la integridad del documento y la identidad del firmante. Exportable en PDF certificado, permite demostrar a la Autoridad de Control Prudencial y de Resolución (ACPR) que el proceso respeta los requisitos SCA de la DSP2.