Recomanacions de seguretat

BBVA posa a la teva disposició tots els mitjans al seu abast per garantir la seguretat en les operatives mitjançant un sistema de claus segures.

El PIN de la teva targeta BBVA i la clau d'accés a BBVA.es són claus privades que s'han de custodiar de manera segura. En els nostres sistemes interns s'emmagatzemen xifrades de forma irreversible, de manera que ningú a BBVA les pot conèixer.

BBVA mai no et sol·licitarà per correu electrònic o per SMS les credencials de BBVA.es ni qualsevol altre dada personal o bancari. En cas que rebis un missatge d'aquest tipus, si us plau, no facilitis informació per aquests canals.

Els navegadors ofereixen la possibilitat de desar els usuaris i les contrasenyes dels llocs web que les requereixen. Des de BBVA et recomanem no guardar mai les teves claus d'accés al nostre servei de Banca a Distància en un ordinador o pastilla. Aquests dispositius poden ser objecte d'atacs informàtics i les teves claus podrien quedar exposades.

• Utilitza claus complexes i difícils d'esbrinar que continguin majúscules, minúscules i números intercalats.
• Les contrasenyes són secretes, no les comparteixis amb ningú i canvia-les de forma periòdica.
• No apuntis la teva contrasenya en notes adhesives o quaderns; memoritza-la o utilitza gestors de contrasenyes especialitzats.
• En ordinadors compartits o connectat a xarxes Wi-Fi públiques no introdueixis les teves credencials d'accés ni facilitis dades personals, com adreça postal, telèfon, etc.
• Sempre que sigui possible és recomanable activar l'autenticació en dos passos en els serveis que el permetin. A més de la teva clau d'accés, se sol·licitarà un altre tipus d'identificació (p.e. codi enviat al mòbil). Aquest sistema afegeix una capa extra de seguretat al compte.
• En cas que rebis un SMS de confirmació d'una operació que no has fet, contacta amb BBVA en el 91 224 94 26 per comunicar que s'està produint una operació sense el teu consentiment.

La phishing és un atac a través del correu electrònic , en què l'estafador t'envia una adreça electrònica per fer-se passar per un comerç, entitat o particular i accedir a les teves claus.

L'smishing és semblant, però es fa per SMS o WhatsApp: n'hi ha prou que responguis perquè accedeixin a les teves dades.

BBVA mai no et demanarà les teves dades bancàries per cap canal que no sigui la nostra pàgina web o la nostra App, així que evita enviar-los per SMS o adreça electrònica. 

• Fixa't que l'assumpte del correu o el cos del text no tinguin faltes d'ortografia i verifica sempre també que el remitent de l'adreça electrònica conté bbva.com o bbva.es. 
• Ten en compte que un web segura sempre comença per https://, desconfia si la url està mal escrita o té caràcters estranys com per exemple, www.bb-va.informaci%n.com. 
• Configura les teves alertes en l'App de BBVA o bbva.es i així, en cas de qualsevol moviment inusual en els teus comptes o targetes, t'el notificarem. 
• I recorda que si en comprovar tot això tens dubtes, abans de fer clic en algun enllaç o baixar arxius adjunts, el millor és que ens truquis al 91 224 94 26 per resoldre-les.

BBVA posa tots els mitjans al seu abast per garantir la seguretat en les operatives amb les teves Targetes BBVA.

Es poden activar els serveis de banca per Internet, bbva.es, banca telefònica i Línia BBVA, simplement coneixent els 16 dígits de la targeta BBVA i el PIN que s'utilitza en els caixers (aquest PIN és secret i personal).

• No utilitzis com a número secret dades personals fàcilment deduïbles, com ara la data de naixement o el número de matrícula, ni el comparteixis amb ningú.
• Denuncia immediatament la desaparició de la targeta trucant al 91 224 94 26. La rapidesa d'aquesta trucada és fonamental.
• Quan facis una compra per Internet, assegura't que la pàgina web comença per https (i no per http), inclou un cadenat tancat a la barra de navegació i exposa en un lloc visible la informació de l'empresa, la seva política d'enviament i devolució i la seva política de cookies.
• Desconfia dels comerços electrònics que ofereixen grans descomptes en els seus productes (-70%,-80%). Sospita si, a més, contenen errors tipogràfics i imatges de baixa qualitat.

A més de les mesures de seguretat establertes per BBVA, és necessari que prenguis certes precaucions a l'hora de navegar per Internet i així augmentar la seguretat en la teva activitat diària i evitar ser víctima d'un ciberatac.

Alguns dels atacs informàtics i virus més freqüents que hi ha actualment a la xarxa són:

• Phishing. Consisteix en l'enviament d'un correu electrònic en què els atacants suplanten la identitat, en la majoria de casos, d'una companyia molt coneguda i en què sol·liciten informació personal i bancària a l'usuari. Normalment et demanaran que facis clic en un enllaç que apareix en el correu electrònic perquè, una vegada a la pàgina falsa, introdueixis la informació sol·licitada.
  
• Ransomware. Es propaguen a través del correu electrònic amb enllaços que faciliten la instal·lació de programes o la descàrrega d'arxius infectats. Els atacants bloquegen així la informació de l'ordinador de l'usuari i li demanen un rescat econòmic perquè, suposadament, recuperi la seva informació.
  
• Troians. S'introdueixen en un ordinador personal i en transformen el comportament, de manera que el que s'hi fa pot ser vist des de l'ordinador del delinqüent.
  

• El sistema operatiu i les aplicacions han d'estar sempre actualitzats.
  
• Has d'instal·lar i mantenir actius un tallafoc i un antivirus.
• Desconfia dels correus electrònics alarmistes en què et comuniquen que el teu compte ha estat suspès i l'has de reactivar, en què et diuen que hi ha hagut un error en iniciar sessió o en què et demanen que verifiquis o actualitzis la informació del teu compte, entre altres motius. Aquests correus són fraudulents. Recorda que BBVA mai no et sol·licitarà per correu electrònic o per SMS les teves dades personals i bancàries.
  
• No baixis a l'ordinador arxius que tinguin extensions del tipus .exe, .bat, .rar, .zip o .ini si el remitent no és de confiança.
  
• No connectis cap dispositiu extern d'origen desconegut, com ara llapis de memòria o discos durs, als teus equips.
  
• Baixa les aplicacions només des de botigues oficials, com ara Play Store i Apple Store. A més, revisa els permisos que els atorgues a cadascuna.
  
• En ordinadors compartits o si estàs connectat a una xarxa wifi pública, no accedeixis a llocs en què hagis d'introduir el teu usuari i la contrasenya i no proporcionis dades personals.

El servei

1. Administració d'usuaris:

BBVA Net cash és una aplicació multiusuari. Disposa de diferents perfils d'usuari que l'empresa pot assignar als seus empleats en funció de la seva estructura operativa.

Un perfil específic, l'administrador, defineix i administra els usuaris de l'empresa a BBVA Net cash. Poden existir un o diversos administradors i comptar amb diferents nivells de delegació (sense poder o amb poder solidari o mancomunat). A cada usuari se li assigna un perfil que es defineix amb el màxim nivell de detall.

En el cas de l'autorització d'operacions, les opcions són:

• Sense poder: no pot autoritzar operacions.
• Apoderat: pot ser solidari o mancomunat.
• Auditor: pot frenar fins i tot les ordres signades totalment fins que no tinguin la seva autorització.

Aquesta estructura permet que el circuit d'usuaris sigui tan restrictiu com vulgui l'empresa, per tal de garantir, en qualsevol moment, que cadascun d'ells:

• Accedeixi només als serveis i comptes que estableix l'administrador.
• Pugui fer només aquelles consultes i operacions a què l'autoritzi l'administrador.
• Tingui o no poders per autoritzar operacions.
• Disposi d'un límit monetari en funció de l'operació i compte, segons defineixi l'administrador.
• Només si sou administrador podeu consultar, a més del vostre perfil, la relació d'usuaris definits a la vostra entitat, els seus perfils, l'accés a serveis i els poders que tenen assignats.

2. Control d'activitat:

Els usuaris poden fer un seguiment de l'operatòria de l'entitat a BBVA Net cash a través de:

• El mòdul d'"Estadístiques" (Firmes i fitxers: Estadístiques): consulta de les operacions realitzades en un període determinat.
• L'"Auditoria d'ordres" (Firmes i fitxers: Firma i seguiment de fitxers): control de l'activitat d'operacions de cada usuari de l'entitat.
• L'"Auditoria d'usuaris" (Administració: Auditoria): reflecteix quines actuacions ha fet cadascun dels administradors dins el circuit d'usuaris.

3. Credencials d'usuari:

BBVA Net cash incorpora el doble factor de seguretat, que consisteix, bàsicament, en la incorporació d'un dispositiu (token) per a la validació en el circuit d'usuaris i la signatura d'operacions. D'aquesta manera, el sistema us sol·licitarà que introduïu el codi de seguretat de sis dígits (d'ús únic) generat pel dispositiu. Aquest dispositiu pot ser físic o pot estar instal·lat al vostre telèfon mòbil (mitjançant la descàrrega de l'app de BBVA Net cash).

• Encara que les contrasenyes no caduquen, us recomanem modificar-les cada mes.
• La mida de la clau d'accés és de 8 caràcters alfanumèrics per dificultar-ne la deducció per part de tercers mitjançant la prova d'opcions.
• Les contrasenyes s'emmagatzemen xifrades de manera irreversible en sistemes especialitzats de gestió d'usuaris i identitats, de manera que ningú no pot obtenir-les ni deduir-les.

Obligatorietat de modificar la clau d'accés en el primer accés: per prevenir la suplantació de l'usuari, en la vostra primera connexió a BBVA Net cash se us requereix que modifiqueu la vostra clau d'accés.

Bloqueig d'usuaris:

• L'error en la introducció de l'usuari o la clau d'activació cinc vegades seguides provoca el bloqueig de la referència a BBVA Net cash, que no es podrà activar fins que BBVA no generi una nova clau d'activació.
• En el cas de la clau d'accés, després de tres intents fallits, l'usuari queda bloquejat.
• L'error en la introducció del codi de seguretat generat pel vostre dispositiu de seguretat cinc vegades seguides provoca el bloqueig de l'usuari a BBVA Net cash.
• L'administrador d'usuaris té autonomia per bloquejar l'accés a usuaris de la seva entitat, de manera que, davant de qualsevol baixa d'un empleat, l'accés pot ser immediatament revocat.

4. Identificació i autenticació:

Traçabilitat de les transaccions: els accessos i les transaccions efectuades queden reflectides en registres d'operacions automatitzats que recullen l'operació efectuada, la data i l'hora d'aquesta i l'usuari que la va executar, permetent determinar la validesa de les operacions registrades.

Informació de l'última connexió:

• Si l'usuari hi entra per primera vegada, BBVA Net cash li ho indicarà.
• En els accessos successius, BBVA Net cash mostrarà a l'usuari la data i l'hora de la seva última connexió.

Galetes només actives durant la sessió: les galetes que es col·loquen en el sistema operatiu de l'usuari, necessàries per a la navegació de manera segura per qualsevol web, estan actives només durant la connexió a BBVA Net cash i s'esborren quan l'usuari es desconnecta de l'aplicació.

Desconnexió automàtica de la sessió: com a mesura addicional de seguretat, al cap de 10 minuts d'inactivitat a BBVA Net cash es procedeix a finalitzar la sessió de l'usuari i desconnectar-lo del sistema.

5. Compliment normatiu de regulacions nacionals i internacionals:

BBVA compleix, en tots els seus serveis, les normes i regulacions dels països en què opera. El compromís de BBVA amb aquestes regulacions es recull al Codi de Conducta, de compliment obligat per a tots els empleats.

La tecnologia

1. Confidencialitat i integritat

De totes les credencials d'usuari:

• Totes les claus operatives d'usuaris s'emmagatzemen xifrades de manera irreversible en sistemes especialitzats de gestió d'usuaris i identitats, de manera que ningú no pot obtenir-les o deduir-les.
• Els procediments operatius de BBVA no requereixen que ningú del banc disposi de les claus operatives dels seus clients, per la qual cosa ningú no les coneix ni els les sol·licitarà personalment.

De les comunicacions:

• Les comunicacions dels serveis transaccionals i de banca a distància de BBVA es xifren mitjançant protocol SSL per preservar la confidencialitat i integritat de les comunicacions per Internet.
• Els certificats utilitzats per BBVA per proporcionar aquest servei són generats per Verisign Inc.
• Addicionalment, les comunicacions sensibles que tenen lloc a les xarxes internes de BBVA es troben adequadament protegides segons l'entorn operatiu i el protocol utilitzat.

De la informació:

• La informació emmagatzemada en els sistemes i bases de dades internes es troba protegida mitjançant diferents sistemes de seguretat que permeten l'accés únicament als empleats autoritzats.
• BBVA disposa d'un sistema automatitzat de gestió de privilegis d'accés a la informació que garanteix l'accés controlat i restringit al personal autoritzat.

2. Seguretat física dels centres de processament de dades

Els Centres de processament de dades de BBVA estan dotats d'àmplies mesures de seguretat física per a la protecció dels sistemes de processament de dades, destacant, entre d'altres, les següents:

• CPD Tier IV Gold en sostenibilitat operativa.
• Control d'accessos individualitzat al recinte i a les diferents sales tècniques, dotats de sistemes de detecció d'elements perillosos.
• Equips humans de vigilància física i videovigilància del perímetre i l'interior de les instal·lacions en règim de 24x7.
• Sistemes de detecció i protecció específics davant d'intrusió, incendi, inundació, tall de subministraments i altres esdeveniments catastròfics.

A més, en disposar de dos centres de processament de dades plenament operatius, BBVA garanteix la salvaguarda i recuperació de la informació, si calgués.

3. Arquitectura de seguretat:

Per tal d'aconseguir la màxima seguretat en el disseny dels seus sistemes, BBVA ha disposat una arquitectura de seguretat específica especialment per a aquells que donen servei als seus clients a través d'Internet.

En concret, i per minimitzar el nivell d'exposició cap a Internet, només es manté exposada la capa de presentació (que fa les funcions d'autenticació d'usuari, autorització d'accés a aplicacions web i control segur de sessió) mitjançant servidor intermediari invers de seguretat.

4. Sistemes específics de protecció:

Tallafocs i sistemes antivirus i antiintrusos permanentment actualitzats:

• BBVA fa una segregació de les seves xarxes i sistemes amb diversos nivells de tallafocs.
• A més, els sistemes interns de BBVA es troben permanentment protegits mitjançant sistemes antimalware i de detecció d'intrusió.
• Ambdós tipus de sistemes es gestionen en règim de 24x7 i es troben permanentment actualitzats, fet que permet prevenir l'acció de noves amenaces de manera permanent.
• Tots els sistemes de vigilància, alerta i resposta de seguretat davant de possibles fraus són monitorats i supervisats per un equip d'especialistes en règim de 24x7x365 a les instal·lacions del centre de processament de dades.

Registres d'activitat de tots els components: BBVA disposa, en els seus sistemes i aplicacions de banca a distància, de registres d'activitat (logs) de tots els components crítics, que donen suport als serveis de detecció d'intents de frau i anàlisi forense d'activitats o operacions sospitoses o reportades com a fraudulentes.

Revisió periòdica del servei aplicant les últimes tècniques d'atac: els sistemes que donen suport als serveis de banca a distància es revisen periòdicament mitjançant eines d'anàlisi de vulnerabilitats.

Auditories internes i externes: els sistemes i processos de BBVA són objecte d'auditories de seguretat periòdiques tant per part del departament independent d'auditoria com per part d'auditories externes específiques o associades amb auditories financeres o de compliment.

Protecció de les credencials d'usuari

• Feu servir contrasenyes complexes i de difícil deducció, que continguin majúscules, minúscules i números intercalats.
• No compartiu amb ningú les contrasenyes. Les contrasenyes són secretes i només el seu propietari les ha de conèixer per fer-les servir.
• No anoteu les contrasenyes en notes adhesives o quaderns; memoritzeu-la o feu servir gestors de contrasenyes especialitzats. Podeu trobar programes gratuïts d'aquest tipus a www.osi.es.
• Desactiveu l'opció de guardar contrasenya del navegador. És més segur inserir-la cada vegada que hi accediu.
• Canvieu les contrasenyes periòdicament. Si sospiteu que algú ha pogut esbrinar la vostra clau d'accés, heu de modificar-la com més aviat millor.
• No utilitzi la mateixa contrasenya en diferents serveis (adreça electrònica, evernote, uns altres bancs, etc).
• El dispositiu físic de seguretat és personal i intransferible.
• Si rebeu un missatge en què se us sol·liciten les claus personals, no faciliteu cap dada i poseu-vos immediatament en contacte amb el servei d'atenció al client de BBVA Net cash: 91 224 98 02 / 902 33 53 73.

Protecció de l'ordinador

• Mantingueu permanentment actualitzats el sistema operatiu i la versió del navegador amb els pedaços corresponents, per protegir-lo de possibles forats o errors detectats.
• Configureu l'equip i tots els programes amb els nivells més alts de seguretat.
• Instal·leu, mantingueu actiu i sempre al dia un tallafoc o tallafocs.
• Instal·leu, mantingueu actiu i sempre al dia els seus programes antimalware. Verifiqueu els documents rebuts des de l'exterior amb l'antivirus.
• Feu periòdicament còpies de seguretat (backup) dels arxius.
• Eviteu baixades des de pàgines web desconegudes, ja que poden contenir virus o components espia.
• No connecteu cap dispositiu extern d'origen dubtós, com USB, discos durs i mòbils de desconeguts als vostres dispositius.
• Netegeu periòdicament les cookies i els arxius temporals.
• Baixeu programes i aplicacions únicament de llocs oficials.
• Configureu un patró de desbloqueig als telèfons mòbils i tauletes, perquè no hi pugui accedir un tercer.

Pràctiques segures d'accés i navegació per internet

• En ordinadors comuns o si esteu connectat a wifis públiques, no accediu a pàgines en què us calgui fer servir usuari i contrasenya. Tampoc no faciliteu dades personals com adreça postal, telèfon, etc.
• Eviteu connectar-vos a pàgines de contingut privat des d'ordinadors públics.
• Si heu d'introduir les credencials, comproveu que l'adreça (URL) del servidor comença per https, això significa que esteu accedint a un servidor segur.
• Una altra indicació que el servidor és segur és la presència d'un cadenat tancat (en comptes d'obert com en qualsevol servidor no segur) a la dreta o a l'esquerra de l'adreça (URL).
• Comproveu els certificats de seguretat de la pàgina en què sou clicant la icona del cadenat que apareix en accedir a una zona segura, o bé al certificat des de la barra de navegació, i verifiqueu que la data de caducitat i el domini del certificat estan vigents. A la informació de detall apareix l'emissor (Verisgn), el període de validesa i per a qui s'ha emès el certificat (BBVA).
• No feu servir l'opció d'“autoemplenar contrasenyes” del navegador. Si està habilitada, les contrasenyes que introdueix a la pàgina web queden emmagatzemades a l'ordinador i, quan torneu a introduir l'usuari, el camp de clau s'emplena automàticament. Aquesta opció en un ordinador d'ús compartit pot provocar que algú faci servir les vostres claus personals.
• Comproveu la data i hora de l'última connexió.
• Per tancar de manera segura la sessió de BBVA Net cash, feu servir el botó "Sortir" que apareix a la part superior dreta.

Els virus informàtics són programes que tenen com a objectiu instal·lar-se a l'ordinador d'un usuari sense el seu permís ni coneixement. Hi ha diversos tipus de virus, però tots solen tenir en comú la propietat de propagar-se i difondre's dins el mateix equip i a través de la xarxa.

És fàcil contribuir sense saber-ho a la difusió de virus mitjançant el reenviament de correus electrònics amb arxius adjunts infectats. És fonamental la col·laboració de tots els usuaris d'i internet per evitar-ne la propagació.

Hi ha diversos tipus de virus, entre ells destaquem:

Phishing:

Consisteix en l'enviament d'un correu electrònic en què se suplanta la identitat d'una organització molt coneguda, i a través del qual se sol·liciten les dades de l'usuari (adreça, dades bancàries, contrasenyes…). Perquè l'usuari proporcioni aquestes dades, en la majoria dels casos, cal que segueixi un enllaç que apareix al correu electrònic i, una vegada en aquesta falsa pàgina, introdueixi la informació sol·licitada.

L'esquema bàsic de funcionament és el següent:

• 1. Es difon de forma massiva un missatge (spam) en què s'informa que els usuaris de BBVA Net cash han de confirmar les seves dades d'accés.
• 2. El missatge inclou un enllaç a una pàgina des de la qual ha de fer la confirmació de les dades. A vegades, l'enllaç inicia la baixada de programa maliciós.
• 3. L'usuari accedeix a l'enllaç que porta a una pàgina similar a l'autèntica de BBVA Net cash i, amb tota confiança, hi introdueix les seves dades.
• 4. Com que la pàgina és falsa i està controlada pels estafadors, són ells els que realment reben les dades de l'usuari, i amb elles tenen lliure accés al compte real de l'usuari afectat.

Encara que BBVA mai no us sol·licitarà les claus d'accés i la signatura de BBVA Net cash per correu electrònic, aquí us incloem algunes pistes per reconèixer aquest tipus d'atacs:

- A vegades, el logotip sembla distorsionat o estirat. A més solen presentar faltes d'ortografia o expressions en desús.

- Se us adrecen com a “client estimat” o “usuari estimat” en comptes d'incloure el vostre nom real.

- Us adverteixen que el compte/servei de banca electrònica es tancarà llevat que reconfirmi la informació d'accés immediatament.

- El to del correu és amenaçador.

- El text fa referència a “compromisos de seguretat” o “amenaces de la seguretat” i requereix efecte immediat.

- L'URL no és https:// i no apareix el cadenat de seguretat a la barra inferior del navegador. Els enllaços falsos inclouen aquesta icona dins la finestra per enganyar-vos.

Ransomware:

Es tracta d'un lucratiu mètode de delinqüència tecnològica. Habitualment encoberts com a “serveis d'entrega de paqueteria” o qualsevol altra excusa creïble, es propaguen a través del correu electrònic amb enllaços que faciliten la instal·lació de programes o la baixada d'arxius infectats. Aquest virus bloqueja l'accés a la informació de l'ordinador i demana un rescat econòmic que suposadament facilitarà la clau per desxifrar la informació.

A continuació, incloem una sèrie d'indicacions per protegir-se del ransomware:

• No seguiu enllaços ni baixeu arxius adjunts de correus que cregueu que són sospitosos.
• Feu servir només programa legal i mantingueu-lo permanentment actualitzat.
• Tingueu sempre instal·lat i actualitzat un antivirus.
• Feu còpies de seguretat freqüentment. En cas que sigui infectat, podreu recuperar la informació sense pagar el rescat.

Troians:

S'introdueixen en un ordinador personal, emmascarats dins un programa. Transformen el comportament de l'ordinador de manera que tot el que s'hi faci pugui ser vist des de l'ordinador del delinqüent. Per prevenir la infecció per un troià, heu de seguir les mateixes indicacions que hem comentat anteriorment amb el ransomware:

• No seguiu enllaços ni baixeu arxius adjunts de correus que cregueu que són sospitosos.
• Feu servir només programa legal i mantingueu-lo permanentment actualitzat.
• Tingueu sempre instal·lat i actualitzat un antivirus.

Mentides (hoax):

Són correus electrònics que comuniquen certs rumors falsos amb l'únic objectiu de transmetre i augmentar la informació de baixa qualitat que circula per internet.

Generalment, no són massa perjudicials i són fàcils d'eliminar.

Per prevenir aquests atacs, segueix les recomanacions que t'indiquem i comunica'ns qualsevol situació o comunicació sospitosa que rebis: 91 224 98 02 / 902 33 53 73.

A partir d'aquesta comunicació, el servei d'atenció al client de BBVA Net cash posarà en marxa el protocol d'actuació davant el frau establert: un equip d'especialistes s'encarregarà d'analitzar el cas.

Si es confirma la sospita, se't recomanarà:

• Formatar el teu disc dur.
• Instal·lar un antimalware actualitzat.
• Mantenir actualitzat el programa del teu equip.

En tots els casos confirmats, es procedirà al canvi de la clau d'accés de l'usuari afectat.

El novembre del 2015, la Comissió Europea va publicar la segona Directiva europea de serveis de pagaments digitals (Payment Service Directive 2, per les seves sigles en anglès) per beneficiar el consumidor. Com? Millorant la seguretat en els pagaments electrònics, promovent la innovació i la competència entre països i proveïdors i contribuint al desenvolupament d'un mercat de pagaments més integrat i eficient a tot Europa.

A més, la PSD2 estableix certes mesures tècniques de seguretat (RTS) per millorar la identificació de clients, que es començaran a aplicar a partir del 14 de setembre d'aquest any.

Què és SCA?

Entre els conceptes més rellevants introduïts per PSD2 està l'autenticació reforçada del client, coneguda com a SCA (Strong Customer Authentication), que no és ni més ni menys que el procediment obligatori per comprovar l'autenticitat dels clients mitjançant l'ús de 2 factors que pertanyin a alguna de les categories següents:

• Una cosa que només el client sap, per exemple la contrasenya.
• Una cosa que només el client té, per exemple el seu telèfon mòbil.
• Alguna cosa que només el client és, per exemple la seva empremta dactilar.

Aquest procediment de doble autenticació és obligatori cada vegada que el client:

• Accedeixi als seus comptes en línia (tant per web com per app).
• Iniciï transaccions de pagament electròniques (una transferència, un pagament en comerç en línia, etc.).
• I/o faci alguna acció a través de canals remots que puguin suposar un risc de frau.
  

Tots els intervinents en un procés de comerç electrònic a Europa –bancs, proveïdors de serveis de pagament com a Visa o Mastercard, comerços, etc.–, hauran d'implementar mesures addicionals per assegurar que compleixen amb els requeriments normatius de PSD2.

Els clients podran experimentar canvis en la manera d'accedir als seus comptes des de canals remots (app o web) o en la manera de fer pagaments electrònics com poden ser les transferències bancàries, compres en línia o pagaments físics amb targeta Contactless a Europa.

A BBVA fa temps que treballem per adaptar els nostres alts estàndards de seguretat als nous requisits d'aquesta directiva, sempre amb la vista posada a mantenir una òptima experiència d'ús per als nostres clients.

Per això, sempre que la normativa ho permeti i les nostres mesures de seguretat, ‘invisibles’ per als clients, ens donin la tranquil·litat que la transacció no és fraudulenta, evitarem que hagis de fer la doble autenticació fent més còmoda la transacció. En els casos que exigeix la llei, et demanarem la doble autenticació.

Vegem alguns exemples senzills que t'ajudaran a entendre com t'afectaran aquestes novetats que intenten vetllar per la seguretat dels teus diners.

1. Un client que paga en botiga en línia amb targeta:

• Accedeix a la pàgina de pagament del comerç com de costum.
  
• Li sol·licitaran que introdueixi les dades de la seva targeta.
  
• A mesura que completa la transacció, li sol·licitaran informació de seguretat addicional (és el que s'anomena "credencials", com pot ser, per exemple, una clau d'ús únic). Aquesta informació podrà sol·licitar-se sobre la mateixa pàgina o bé a través de la seva aplicació en el telèfon mòbil.
  
• Una vegada validades les credencials aportades, es visualitzarà la pantalla habitual confirmant que la transacció s'ha finalitzat amb èxit.

2. Un client que paga a la botiga física amb targeta Contactless:

• Fa el pagament amb la seva targeta com és habitual.
• És possible que li demanin que introdueixi el seu PIN amb més freqüència de l'habitual: quan faci més de 5 pagaments Contactless de menys de 20 € o quan la suma dels pagaments Contactless superi 100 €.
  

3. Un client que vulgui accedir als seus comptes per web o app:

• Quan el client entri per primera vegada a la seva app o web de banca en línia a partir de setembre, se li sol·licitarà un doble factor d'autenticació.
• Cada 90 dies o quan accedeixi a informació de més de 90 dies, es trobarà amb aquesta sol·licitud d'autenticació reforçada, tal com exigeix la normativa.
• Una vegada autenticat, accedirà als seus comptes com és habitual.
  

Sí, és important que tinguem el teu número de mòbil actualitzat, ja que utilitzarem com a factor d'autenticació un codi d'accés únic (One Time Password, OTP per les sigles en anglès) que rebràs en el teu mòbil per validar l'accés als teus comptes o fer determinades transaccions electròniques.

Si no tenim validat el teu número de mòbil, és a dir, si no tenim la certesa que estàs rebent el codi d'accés únic per autenticar que ets tu qui és a l'altre costat, no podràs accedir als teus comptes per web o app, ni fer pagaments en línia.

Validar el teu número de mòbil és un senzill tràmit que pots fer a:

• Qualsevol Oficina BBVA, amb el teu mòbil i el teu DNI.
  
• Qualsevol caixer BBVA, amb la teva targeta i el teu mòbil.
   
   

El novembre del 2015, la Comissió Europea va publicar la segona Directiva europea de serveis de pagaments digitals (Payment Service Directive 2, per les seves sigles en anglès) per beneficiar el consumidor. Com? Millorant la seguretat en els pagaments electrònics, promovent la innovació i la competència entre països i proveïdors i contribuint al desenvolupament d'un mercat de pagaments més integrat i eficient a tot Europa.

A més, la PSD2 estableix certes mesures tècniques de seguretat (RTS) per millorar la identificació de clients, que es començaran a aplicar a partir del 14 de setembre d'aquest any.

Com afecta PSD2 als comerços en línia?

Encara que els emissors de les targetes són els que hauran de fer aquest procés de doble autenticació, els comerços electrònics igualment hauran d'assegurar que la seva plataforma de pagaments en línia (TPV Virtual) té la capacitat de processar transaccions en mode segur, ja que podria ocórrer que en processar pagaments dins un entorn de compra NO SEGURA, aquests pagaments poguessin ser denegats pels bancs emissors de les targetes.

És important esmentar que els processos d'autenticació reforçada seran molt beneficiosos per als comerços en línia perquè, a més d'oferir més seguretat i confiança als seus compradors, redueixen el risc que el client reclami l'operació per possible frau.

Cada comerç haurà o no d'introduir modificacions en el seu TPV Virtual en funció de la connexió que utilitzi actualment per processar operacions en línia. Encara que s'està elaborant un pla, que es validarà amb l'autoritat nacional per determinar quan es compliran els requisits de l'SCA establerts en la normativa de serveis de pagament, et recomanem que si has de fer adequacions, les facis com més aviat millor.

• Si el teu comerç es connecta a la passarel·la de pagaments per redirecció, no has de fer res, ja que BBVA procedirà a modificar la configuració del teu TPV Virtual per adaptar-lo a les normes tècniques quan aquestes entrin en vigor.
• Si el teu comerç es connecta a la passarel·la de pagaments mitjançant connexions host-to-host (com webservice, Price, Rest), hauràs de fer una sèrie de canvis en la configuració del teu TPV Virtual per adaptar-lo a la nova regulació. Existeixen dues opcions per a aquesta adaptació:
  • Opció simple: Envia les operacions a l'entrada Fer pagaments (redirigint l'usuari al TPV), perquè sigui la passarel·la mateixa la que gestioni el flux d'autenticació i la posterior autorització. Consulta el manual del desenvolupador que posem a la teva disposició: 
    • Manual Desenvolupador (Adaptació d'EMV3DS) per redirigir usuaris.
  • Adaptar la teva connexió host-to-host: En aquest cas, en ser tu qui gestiona tot el flux de l'operació, has de redirigir la transacció al servei que correspon en cada pas, d'acord amb les especificacions tècniques que pots trobar a les nostres guies.
    • Paràmetres d'entrada i sortida de TPV Virtual.
      
    • Manual d'instal·lació per a desenvolupadors (Entrada REST).
    • Manual desenvolupador (Adaptació a EMV3DS-Webservice).

Una de les novetats per adaptar-se a aquest nou escenari és la creació d'una nova versió del protocol de compra segura: EMV 3DS (també anomenat 3DS 2.0), el qual progressivament substituirà la versió actual (3DS 1.0), i que entre els seus avantatges ofereix la possibilitat d'incorporar més camps d'informació i afavoreix una millor experiència d'autenticació dels consumidors.

• Si utilitzes els serveis d'un Proveïdor de Serveis de Pagaments (Payment Service Provider) que no és BBVA, hauràs de posar-te en contacte amb el teu proveïdor perquè aquest sigui qui t'informi de les adaptacions necessàries.

Addicionalment, la nova llei estableix algunes exempcions a SCA o exclusions que seran de molta utilitat a l'hora de flexibilitzar els processos d'autenticació de clients. Alguns d'aquests casos són:

Exempcions a SCA:

Encara que el comerç pot proposar les exempcions següents, és l'entitat que emet la targeta qui en definitiva pot requerir la doble autenticació de la transacció.

• Operacions en línia d'import inferior a 30 €.
• Operacions Contactless inferiors a 50 €.
• Transaccions realitzades en terminals no atesos de pàrquings o transport.
• Quan el beneficiari del pagament estigui inclòs per l'ordenant en una llista de beneficiaris de confiança.
• Operacions identificades per la plataforma de pagament com a baix risc. Són operacions considerades com de perfil no fraudulent, en coincidir amb l'operativa habitual dels clients (pautes de despesa, realitzades amb el mateix dispositiu, etc.).
• Operacions freqüents o periòdiques en què coincideixi l'import i el beneficiari. En aquest cas serà necessari aplicar la doble autenticació la primera vegada.

• Operacions amb targetes en comerços situats fora de l'Espai Econòmic Europeu (EEE), per bé que l'emissor de la targeta requerirà el doble factor d'autenticació si així ho considera.
• Operacions iniciades per telèfon, correu o correu electrònic.
• Pagament amb targetes anònimes (per exemple, targetes regal).
• Transaccions iniciades de manera automàtica pel comerç, com subscripcions o pagaments realitzats sense que el client estigui present (és necessari que prèviament el client hagi donat el seu consentiment per dur a terme aquests pagaments).
  

Si tens algun dubte sobre PSD2, o si t'interessa utilitzar alguna de les exempcions a SCA o exclusions que té en compte la llei, posa't en contacte amb:

• Línia Comerços: soportevirtual@bbva.com  
• Telèfon: 912 983 609