Recomendaciones de seguridad

BBVA pone a tu disposición todos los medios a su alcance para garantizar la seguridad en las operativas mediante un sistema de Claves Seguras.

El PIN de tu tarjeta BBVA y la clave de acceso a BBVA.es son claves privadas que se deben custodiar de forma segura. En nuestros sistemas internos se almacenan cifradas de forma irreversible, de modo que nadie en BBVA puede conocerlas.

BBVA nunca te solicitará por correo electrónico o por SMS las credenciales de BBVA.es ni cualquier otro dato personal o bancario. En caso de recibir un mensaje de este tipo, por favor, no facilites información por estos canales.

Los navegadores ofrecen la posibilidad de guardar los usuarios y contraseñas de los sitios web que las requieren. Desde BBVA te recomendamos no guardar nunca tus claves de acceso a nuestro servicio de Banca a Distancia en un ordenador o tableta. Estos dispositivos pueden ser objeto de ataques informáticos y tus claves podrían quedar expuestas.

 

Consejos BBVA

  • Utiliza claves complejas y difíciles de averiguar que contengan mayúsculas, minúsculas y números intercalados.
  • Las contraseñas son secretas, no las compartas con nadie y cámbialas de forma periódica.
  • No apuntes tu contraseña en post-its o cuadernos; memorízala o utiliza gestores de contraseñas especializados.
  • En ordenadores compartidos o conectado a redes wifi públicas no introduzcas tus credenciales de acceso ni facilites datos personales, como dirección postal, teléfono, etc.
  • Siempre que sea posible es recomendable activar la autenticación en dos pasos en los servicios que lo permitan. Además de tu contraseña de acceso, se solicitará otro tipo de identificación (p.e. código enviado al móvil). Este sistema añade una capa extra de seguridad a la cuenta.
  • En caso de recibir un SMS de confirmación de una operación que no has realizado, contacta con BBVA en el 91 224 94 26 para informar de que se está produciendo una operación sin tu consentimiento.

¿Qué son el Phishing y el Smishing?

El phishing es un ataque a través del correo electrónico, en el que el estafador te envía un email para hacerse pasar por un comercio, entidad o particular y acceder a tus claves.

El smishing es parecido, pero a través de SMS o WhatsApp: basta con que respondas para que accedan a tus datos.

¿Cómo puedo evitarlo?

BBVA nunca te pedirá tus datos bancarios por ningún canal que no sea nuestra página web o nuestra App, así que evita enviarlos por SMS o email. 

  • Fíjate que el asunto del correo o el cuerpo del texto no tengan faltas de ortografía y verifica siempre también que el remitente del e-mail contiene bbva.com o bbva.es. 
  • Ten en cuenta que una web segura siempre empieza por https://, desconfía si la url está mal escrita o tiene caracteres extraños como por ejemplo, www.bb-va.informaci%n.com. 
  • Configura tus alertas en la App de BBVA o bbva.es y así, en caso de cualquier movimiento inusual en tus cuentas o tarjetas, te lo notificaremos. 
  • Y recuerda que si al comprobar todo esto tienes dudas, antes de hacer click en algún enlace o descargar archivos adjuntos, lo mejor es que nos llames al 91 224 94 26 para resolverlas.

BBVA pone todos los medios a su alcance para garantizar la seguridad en las operativas con tus Tarjetas BBVA.

Se pueden activar los servicios de Banca por Internet, BBVA.es, Banca Telefónica y Línea BBVA, simplemente conociendo los 16 dígitos de la Tarjeta BBVA y el PIN que se utiliza en los cajeros (este PIN es secreto y personal).

Consejos BBVA

  • No utilices como número secreto datos personales fácilmente deducibles, como la fecha de nacimiento o el número de matrícula, ni lo compartas con nadie.
  • Denuncia inmediatamente la desaparición de la tarjeta llamando al 91 224 94 26. La rapidez de esta llamada es fundamental.
  • Cuando realices una compra por Internet, asegúrate de que la página web comienza por https (y no por http), incluye un candado cerrado en la barra de navegación y expone en un lugar visible la información de la empresa, su política de envío y devolución y su política de cookies.
  • Desconfía de los comercios electrónicos que ofrecen grandes descuentos en sus productos (-70%, -80%). Sospecha si, además, contienen errores tipográficos e imágenes de baja calidad.

Además de las medidas de seguridad establecidas por BBVA, es necesario que tomes ciertas precauciones a la hora de navegar por internet y así aumentar la seguridad en tu actividad diaria y evitar ser víctima de un ciberataque.

Algunos de los ataques informáticos y virus más frecuentes hoy día en la red son:

  • Phishing. Consiste en el envío de un email en el que los atacantes suplantan la identidad, en la mayoría de casos, de una compañía muy conocida y en el que solicitan información personal y bancaria al usuario. Normalmente te pedirán que hagas clic en un enlace que aparece en el email para que, una vez en la página falsa, introduzcas la información solicitada.
  • Ransomware. Se propagan a través del correo electrónico con enlaces que facilitan la instalación de programas o la descarga de archivos infectados. Los atacantes bloquean así la información del ordenador del usuario y le piden un rescate económico para que, supuestamente, recupere su información.
  • Troyanos. Se introducen en un ordenador personal y transforman el comportamiento del mismo, de manera que lo que en él se hace puede ser visto desde el ordenador del delincuente.

Consejos BBVA

  • El sistema operativo y las aplicaciones deben estar siempre actualizados.
  • Debes instalar y mantener activos un firewall y un antivirus.
  • Desconfía de los correos electrónicos alarmistas en los que te comunican que tu cuenta ha sido suspendida y debes reactivarla, que ha ocurrido un error al iniciar sesión o en los que te piden verificar o actualizar la información de tu cuenta, entre otros motivos. Estos correos son fraudulentos. Recuerda que BBVA nunca te solicitará por email o por SMS tus datos personales y bancarios.
  • No descargues en el ordenador archivos cuyas extensiones sean de tipo .exe, .bat, .rar, .zip o .ini si el remitente no es de confianza.
  • No conectes ningún dispositivo externo de origen desconocido, como pendrives o discos duros, en tus equipos.
  • Descarga las aplicaciones únicamente desde tiendas oficiales, como Play Store y Apple Store. Además, revisa los permisos que otorgas a cada una de ellas.
  • En ordenadores compartidos o si estás conectado a una red wifi pública, no accedas a páginas en las que debas introducir tu usuario y contraseña y no proporciones datos personales.

Medidas desde BBVA

El servicio

1. Administración de usuarios:

BBVA Net Cash es una aplicación multiusuario. Dispone de distintos perfiles de usuario que la empresa puede asignar a sus empleados en función de su estructura operativa.

Un perfil específico, el administrador, define y administra los usuarios de la empresa en BBVA Net Cash. Pueden existir uno o varios administradores y contar con diferentes niveles de delegación (sin poder o con poder solidario o mancomunado). A cada usuario se le asigna un perfil que se define con el máximo nivel de detalle.

En el caso de la autorización de operaciones, las opciones son:

  • Sin poder: no puede autorizar operaciones.
  • Apoderado: puede ser solidario o mancomunado.
  • Auditor: puede frenar incluso las órdenes firmadas totalmente hasta que no tengan su autorización.

Esta estructura permite que el circuito de usuarios sea tan restrictivo como desee la empresa, con el fin de garantizar, en todo momento, que cada uno de ellos:

  • Acceda sólo a los servicios y cuentas que establece el administrador.
  • Pueda realizar sólo aquellas consultas y operaciones que le autorice el administrador.
  • Tenga o no poderes para autorizar operaciones.
  • Disponga de un límite monetario en función de la operación y cuenta, según defina el administrador.
  • Solo si es administrador pueda consultar, además de su perfil, la relación de usuarios definidos en su entidad, sus perfiles, el acceso a servicios y los poderes que tienen asignados.

2. Control de actividad:

Los usuarios pueden realizar un seguimiento de la operatoria de la entidad en BBVA Net Cash a través de:

  • El módulo de "Estadísticas" (Firmas y ficheros: Estadísticas): consulta de las operaciones realizadas en un período determinado.
  • La "Auditoría de órdenes" (Firmas y ficheros: Firma y seguimiento de ficheros): control de la actividad de operaciones de cada usuario de la entidad.
  • La "Auditoría de usuarios" (Administración: Auditoría): refleja qué actuaciones ha realizado cada uno de los administradores dentro del circuito de usuarios.

3. Credenciales de usuario:

BBVA Net Cash incorpora el doble factor de seguridad que consiste, básicamente, en la incorporación de un dispositivo, token, para la validación en el circuito de usuarios y la firma de operaciones. De esta forma, el sistema le solicitará que introduzca el código de seguridad de seis dígitos (de uso único) generado por el dispositivo. Este dispositivo puede ser físico o estar instalado en su teléfono móvil (mediante la descarga de la app de BBVA Net Cash).

  • Aunque las contraseñas no caducan, le recomendamos modificarlas cada mes.
  • El tamaño de la clave de acceso es 8 caracteres alfanuméricos para dificultar su deducción por terceros mediante la prueba de opciones.
  • Las contraseñas se almacenan cifradas irreversiblemente en sistemas especializados de gestión de usuarios e identidades, de forma que nadie puede obtenerlas ni deducirlas.

Obligatoriedad de modificar la clave de acceso en el primer acceso: para prevenir la suplantación del usuario, en su primera conexión a BBVA Net Cash, se le requiere que modifique su clave de acceso.

Bloqueo de usuarios:

  • El error en la introducción del usuario o la clave de activación cinco veces seguidas, provoca el bloqueo de la referencia en BBVA Net Cash que no podrá ser activada hasta que BBVA no genere una nueva clave de activación.
  • En el caso de la clave de acceso, tras tres intentos fallidos, el usuario queda bloqueado.
  • El error en la introducción del código de seguridad generado por su dispositivo de seguridad cinco veces seguidas, provoca el bloqueo del usuario en BBVA Net Cash.
  • El administrador de usuarios tiene autonomía para bloquear el acceso a usuarios de su entidad, de modo que, ante cualquier baja de un empleado, el acceso puede ser inmediatamente revocado.

4. Identificación y autenticación:

Trazabilidad de las transacciones: los accesos y transacciones realizadas quedan reflejadas en registros de operaciones automatizados que recogen la operación efectuada, la fecha y hora de la misma y el usuario que la ejecutó, permitiendo determinar la validez de las operaciones registradas.

Información de la última conexión:

  • Si el usuario entra por primera vez, BBVA Net Cash se lo indicará.
  • En sucesivos accesos, BBVA Net Cash mostrará al usuario la fecha y hora de su última conexión.

Cookies sólo activas durante la sesión: las cookies que se colocan en el sistema operativo del usuario, necesarias para la navegación de modo seguro por cualquier página web, están activas sólo durante la conexión a BBVA Net Cash y son borradas cuando el usuario se desconecta de la aplicación.

Desconexión automática de la sesión: como medida adicional de seguridad, a los 10 minutos de inactividad en BBVA Net Cash, se procede a finalizar la sesión del usuario y desconectarlo del sistema.

5. Cumplimiento normativo de regulaciones nacionales e internacionales:

BBVA cumple en todos sus servicios con las normas y regulaciones de los países en los que opera. El compromiso de BBVA con estas regulaciones se recoge en el Código de Conducta, de obligado cumplimiento para todos los empleados.

La tecnología

1. Confidencialidad e integridad

De todas las credenciales de usuario:

  • Todas las claves operativas de usuarios se almacenan cifradas irreversiblemente en sistemas especializados de gestión de usuarios e identidades, de forma que nadie puede obtenerlas o deducirlas.
  • Los procedimientos operativos de BBVA no requieren que nadie en el banco disponga de las claves operativas de sus clientes, por lo que nadie las conoce ni se las solicitará personalmente.

De las comunicaciones:

  • Las comunicaciones de los servicios transaccionales y de banca a distancia de BBVA se cifran mediante protocolo SSL para preservar la confidencialidad e integridad de las comunicaciones por InterNet.
  • Los certificados empleados por BBVA para proporcionar este servicio son generados por Verisign Inc.
  • Adicionalmente, las comunicaciones sensibles que tienen lugar en las redes internas de BBVA se encuentran adecuadamente protegidas según el entorno operativo y el protocolo utilizado.

De la información:

  • La información almacenada en los sistemas y bases de datos internas se encuentra protegida mediante diferentes sistemas de seguridad permitiendo el acceso únicamente a los empleados autorizados.
  • BBVA dispone de un sistema automatizado de gestión de privilegios de acceso a la información que garantiza el acceso controlado y restringido al personal autorizado.

2. Seguridad física de los Centros de Proceso de Datos

Los Centros de Proceso de Datos de BBVA están dotados de amplias medidas de seguridad física para la protección de los sistemas de proceso de datos, destacando, entre otras, las siguientes:

  • CPD Tier IV Gold en sostenibilidad operativa.
  • Control de accesos individualizado al recinto y a las diferentes salas técnicas, dotados de sistemas de detección de elementos peligrosos.
  • Equipos humanos de vigilancia física y vídeo vigilancia del perímetro y el interior de las instalaciones en régimen de 24x7.
  • Sistemas de detección y protección específicos ante intrusión, incendio, inundación, corte de suministros y otros eventos catastróficos.

Además, al disponer de dos Centros de Proceso de Datos plenamente operativos, BBVA garantiza la salvaguarda y recuperación de la información, en caso de que fuera necesario.

3. Arquitectura de seguridad:

Con el fin de conseguir la máxima seguridad en el diseño de sus sistemas, BBVA ha dispuesto una arquitectura de seguridad específica especialmente para aquellos que dan servicio a sus clientes a través de internet.

En concreto, y para minimizar el nivel de exposición hacia Internet, sólo se mantiene expuesta la capa de presentación (que realiza las funciones de autenticación de usuario, autorización de acceso a aplicaciones web y control seguro de sesión) mediante proxy inverso de seguridad.

4. Sistemas específicos de protección:

Cortafuegos y sistemas antivirus y anti-intrusos permanentemente actualizados:

  • BBVA realiza una segregación de sus redes y sistemas con varios niveles de cortafuegos.
  • Además, los sistemas internos de BBVA se encuentran permanentemente protegidos mediante sistemas antimalware y de detección de intrusión.
  • Ambos tipos de sistemas se gestionan en régimen de 24x7 y se encuentran permanentemente actualizados, lo que permite prevenir la acción de nuevas amenazas de forma permanente.
  • Todos los sistemas de vigilancia, alerta y respuesta de seguridad ante posibles fraudes son monitorizados y supervisados por un equipo de especialistas en régimen de 24x7x365 en las instalaciones del Centro de Proceso de Datos.

Registros de actividad de todos los componentes: BBVA dispone en sus sistemas y aplicaciones de banca a distancia de registros de actividad (logs) de todos los componentes críticos, que dan soporte a los servicios de detección de intentos de fraude y análisis forense de actividades u operaciones sospechosas o reportadas como fraudulentas.

Revisión periódica del servicio aplicando las últimas técnicas de ataque: los sistemas que dan soporte a los servicios de banca a distancia son revisados periódicamente mediante herramientas de análisis de vulnerabilidades.

Auditorías internas y externas: los sistemas y procesos de BBVA son objeto de auditorías de seguridad periódicas tanto por parte del departamento independiente de Auditoría como por parte de auditorías externas específicas o asociadas con auditorías financieras o de cumplimiento.

Medidas para el usuario

Protección de sus credenciales de usuario

  • Utilice contraseñas complejas y de difícil deducción, que contengan mayúsculas, minúsculas y números intercalados.
  • No comparta con nadie sus contraseñas. Las contraseñas son secretas y únicamente su propietario debe conocerlas para su utilización.
  • No apunte sus contraseñas en post-its o cuadernos; memorícela o utilice gestores de contraseñas especializados. Puede encontrar programas gratuitos de este tipo en www.osi.es.
  • Desactive la opción de guardar contraseña de su navegador. Es más seguro insertarla cada vez que acceda.
  • Cambie sus contraseñas periódicamente. Si sospecha que alguien ha podido averiguar su contraseña de acceso, debe modificarla cuanto antes.
  • No utilice la misma contraseña en distintos servicios (email, evernote, otros bancos, etc).
  • Su dispositivo físico de seguridad es personal e intransferible.
  • En caso de recibir un mensaje solicitándole sus claves personales, no facilite ningún dato y póngase inmediatamente en contacto con el servicio de atención al cliente de BBVA Net Cash: 91 224 98 02 / 902 33 53 73.

Protección de su ordenador

  • Mantenga permanentemente actualizados su sistema operativo y la versión de su navegador con los parches correspondientes, para protegerlo de posibles agujeros o errores detectados.
  • Configure su equipo y todos sus programas con los niveles más altos de seguridad.
  • Instale, mantenga activo y siempre al día un firewall o cortafuegos.
  • Instale, mantenga activo y siempre al día sus programas antimalware. Verifique los documentos recibidos desde el exterior con el antivirus.
  • Realice periódicamente copias de seguridad (backup) de sus archivos.
  • Evite descargas desde páginas web desconocidas, pues pueden contener virus o componentes espía.
  • No conecte ningún dispositivo externo de origen dudoso, como pendrives, discos duros y móviles de desconocidos en sus dispositivos.
  • Limpie periódicamente las cookies y los archivos temporales.
  • Descargue programas y aplicaciones únicamente de sitios oficiales.
  • Configure un patrón de desbloqueo en sus teléfonos móviles y tabletas, para que no pueda acceder a ellos un tercero.

Prácticas seguras de acceso y navegación por internet

  • En ordenadores comunes o si está conectado a wifis públicas, no acceda a páginas en las que necesite utilizar usuario y contraseña. Tampoco facilite datos personales como dirección postal, teléfono, etc...
  • Evite conectarse a páginas de contenido privado desde ordenadores públicos.
  • Si tiene que introducir sus credenciales, compruebe que la dirección (URL) del servidor comienza por https, esto significa que está accediendo a un servidor seguro.
  • Otra indicación de que el servidor es seguro es la presencia de un candado cerrado (en vez de abierto como en cualquier servidor no seguro) a la derecha o a la izquierda de la dirección (URL).
  • Compruebe los certificados de seguridad de la página en que se encuentra pulsando en el icono del candado que aparece al acceder a una zona segura, o bien al certificado desde la barra de navegación, y verifique que la fecha de caducidad y el dominio del certificado están vigentes. En la información de detalle aparece el emisor (Verisgn), el período de validez y para quién se ha emitido el certificado (BBVA).
  • No utilice la opción de “autocompletar contraseñas” de su navegador. Si está habilitada, las contraseñas que introduce en la página web quedan almacenadas en el ordenador y, cuando vuelve a introducir su usuario, el campo de clave se rellena automáticamente. Esta opción en un ordenador de uso compartido puede provocar que alguien utilice sus claves personales.
  • Compruebe la fecha y hora de la última conexión.
  • Para finalizar con seguridad su sesión de BBVA Net Cash, utilice el botón "Salir" que aparece en la parte superior derecha.

Virus y ataques frecuentes

Los virus informáticos son programas cuyo objetivo consiste en instalarse en el ordenador de un usuario sin su permiso ni conocimiento. Existen diversos tipos de virus, pero todos suelen tener en común la propiedad de propagarse y difundirse dentro del mismo equipo y a través de la red.

Es fácil contribuir sin conocerlo a la difusión de virus mediante el reenvío de correos electrónicos con archivos adjuntos infectados. Es fundamental la colaboración de todos los usuarios de internet para evitar su propagación.

Existen varios tipos de virus, entre ellos destacamos:

Phishing:

Consiste en el envío de un email en el que se suplanta la identidad de una organización muy conocida, y a través del cual se solicitan los datos del usuario (dirección, datos bancarios, contraseñas,…). Parea que el usuario proporcione dichos datos, en la mayoría de los casos, es necesario que siga un enlace que aparece en el email y, una vez en esa falsa página, introduzca la información solicitada.

El esquema básico de funcionamiento es el siguiente:

  • 1. Se difunde de forma masiva un mensaje (spam) en el que se informa de que los usuarios de BBVA Net Cash deben confirmar sus datos de acceso.
  • 2. El mensaje incluye un enlace a una página desde la que debe realizar la confirmación de los datos. En ocasiones, el enlace inicia la descarga de software malicioso.
  • 3. El usuario accede al enlace que lleva a una página “similar” a la auténtica BBVA Net Cash y, con toda confianza, introduce en ella sus datos.
  • 4. Como la página es falsa y está controlada por los estafadores, son ellos los que realmente reciben los datos del usuario, y con ellos tienen libre acceso a la cuenta real del usuario afectado.

Aunque BBVA nunca le solicitará sus claves de acceso y firma de BBVA Net Cash por correo electrónico, aquí les incluimos algunas pistas para reconocer este tipo de ataques:

- En ocasiones, el logo parece distorsionado o estirado. Además suelen presentar faltas de ortografía o expresiones en desuso.

- Se refieren a Ud. como “cliente estimado” o “usuario estimado” en lugar de incluir su nombre real.

- Le advierten que su cuenta/servicio de banca electrónica se cerrará a menos que reconfirme su información de acceso inmediatamente.

- El tono del correo resulta amenazante.

- El texto hace referencia a “compromisos de seguridad” o “amenazas de la seguridad” y requiere efecto inmediato.

- La url no es https:// y no aparece el candado de seguridad en la barra inferior del navegador. Los links falsos incluyen este icono dentro de la ventana para engañarle.

Ransomware:

Se trata de un lucrativo método de delincuencia tecnológica. Habitualmente encubiertos como “servicios de entrega de paquetería” o cualquier otra excusa creíble, se propagan a través del correo electrónico con enlaces que facilitan la instalación de programas o descarga de archivos infectados. Este virus bloquea el acceso a la información del ordenador, y pide un rescate económico que supuestamente facilitará la clave para descifrar la información.

A continuación, incluimos una serie de indicaciones para protegerse del ransomware:

  • No siga enlaces ni descargue archivos adjuntos de correos que crea que son sospechosos.
  • Utilice solo software legal y manténgalo permanentemente actualizado.
  • Tenga siempre instalado y actualizado un antivirus.
  • Realice frecuentemente copias de seguridad. En caso de que resulte infectado, podrá recuperar la información sin pagar el rescate.

Troyanos:

Se introducen en un ordenador personal, enmascarados dentro de un programa. Transforman el comportamiento del ordenador de manera que lo que en él se haga pueda ser visto desde el ordenador del delincuente. Para prevenir la infección por un troyano debe seguir las mismas indicaciones que hemos comentado anteriormente con el ransomware:

  • No siga enlaces ni descargue archivos adjuntos de correos que crea que son sospechosos.
  • Utilice solo software legal y manténgalo permanentemente actualizado.
  • Tenga siempre instalado y actualizado un antivirus.

Bulos (hoax):

Son correos electrónicos que comunican ciertos rumores falsos con el único objetivo de transmitir y aumentar la información de baja calidad que circula por internet.

Generalmente, no son demasiado dañinos y son fáciles de eliminar.

Para prevenir estos ataques, sigue las recomendaciones que te indicamos y comunícanos cualquier situación o comunicación sospechosa que recibas: 91 224 98 02 / 902 33 53 73.

A partir de esta comunicación, el servicio de atención al cliente de BBVA Net Cash pondrá en marcha el protocolo de actuación ante el fraude establecido: un equipo de especialistas se encargará de analizar el caso.

Si se confirma la sospecha, se te recomendará:

  • Formatear tu disco duro.
  • Instalar un antimalware actualizado.
  • Mantener actualizado el software de tu equipo.

En todos los casos confirmados, se procederá al cambio de la clave de acceso del usuario afectado.

¿Qué es PSD2?

La segunda Directiva Europea de Servicios de Pagos digitales (Payment Service Directive 2, por sus siglas en inglés) fue publicada en Noviembre de 2015 por la Comisión Europea con el fin de beneficiar al consumidor. ¿Cómo? mejorando la seguridad en los pagos electrónicos, promoviendo la innovación y competencia entre países y proveedores, y contribuyendo al desarrollo de un mercado de pagos más integrado y eficiente en toda Europa.

Además, PSD2 establece ciertas medidas técnicas de seguridad (RTS) para mejorar la identificación de clientes que empezarán a aplicarse a partir del 14 de septiembre de este año.

¿Qué es SCA?

Entre los conceptos más relevantes introducidos por PSD2 está la autenticación reforzada del cliente, conocida como SCA (Strong Customer Authentication), que no es ni más ni menos que el procedimiento obligatorio para comprobar la autenticidad de los clientes mediante el uso de 2 factores que pertenezcan a alguna de las siguientes categorías:

  • Algo que solo el cliente sabe, por ejemplo la contraseña.
  • Algo que solo el cliente tiene, por ejemplo su teléfono móvil.
  • Algo que solo el cliente es, por ejemplo su huella dactilar.

Este procedimiento de doble autenticación es obligatorio cada vez que el cliente:

  • Acceda a sus cuentas online (tanto por web como por app).
  • Inicie transacciones de pago electrónicas (una transferencia, un pago en comercio online, etc).
  • Y/o realice alguna acción a través de canales remotos que puedan suponer un riesgo de fraude.
Es importante destacar que existen casos en los que no será necesario aplicar SCA, por ejemplo si se trata de pagos con tarjeta regalo o si las compras son de baja cuantía. Aún así, los titulares de tarjetas deberán ser conscientes que este paso de seguridad adicional deberá realizarse más a menudo de lo que estaban acostumbrados hasta ahora.

¿Qué supone esta normativa?

Todos los intervinientes en un proceso de comercio electrónico en Europa – bancos, proveedores de servicios de pago como Visa o Mastercard, comercios, etc –, deberán implementar medidas adicionales para asegurar que cumplen con los requerimientos normativos de PSD2.

Los clientes podrán experimentar cambios en la manera de acceder a sus cuentas desde canales remotos (app o web) o en la manera de hacer pagos electrónicos como pueden ser las transferencias bancarias, compras online o pagos físicos con tarjeta contactless en Europa.

¿Y esto qué quiere decir para mí como cliente de BBVA?

En BBVA llevamos tiempo trabajando en adaptar nuestros altos estándares de seguridad a los nuevos requisitos de esta directiva, siempre con la vista puesta en mantener una óptima experiencia de uso para nuestros clientes.

Por eso, siempre que la normativa lo permita y nuestras medidas de seguridad, ‘invisibles’ para los clientes, nos den la tranquilidad de que la transacción no es fraudulenta, evitaremos que tengas que hacer la doble autenticación haciendo más cómoda la transacción. En los casos que exige la ley, te pediremos la doble autenticación.

Veamos algunos sencillos ejemplos que te ayudarán a entender cómo te afectarán estas novedades que tratan de velar por la seguridad de tu dinero.

1. Un cliente que paga en tienda online con tarjeta:

  • Accede a la página de pago del comercio como de costumbre.
  • Le solicitarán que introduzca los datos de su tarjeta.
  • A medida que completa la transacción, le solicitarán información de seguridad adicional (es lo que se llama "credenciales", como puede ser por ejemplo una clave de uso único). Esta información podrá solicitarse sobre la misma página o bien a través de su aplicación en el teléfono móvil.
  • Una vez validadas las credenciales aportadas, se visualizará la pantalla habitual confirmando que la transacción se ha finalizado con éxito.

2. Un cliente que paga en tienda física con tarjeta Contactless:

  • Realiza el pago con su tarjeta como es habitual.
  • Es posible que le pidan que introduzca su PIN con más frecuencia de lo habitual: cuando realice más de 5 pagos Contacless de menos de 20 € o cuando la suma de los pagos Contacless superen 100 €.

3. Un cliente que quiera acceder a sus cuentas por web o app:

  • Cuando el cliente entre por primera vez en su app o web de banca online a partir de septiembre, se le solicitará un doble factor de autenticación.
  • Cada 90 días o cuando acceda a información de más de 90 días, se encontrará con esa solicitud de autenticación reforzada, tal y como exige la normativa.
  • Una vez autenticado, accederá a sus cuentas como es habitual.

 

¿Yo tengo que hacer algo?

Sí, es importante que tengamos tu número de móvil actualizado, ya que utilizaremos como factor de autenticación un código de acceso único (One Time Password, OTP por sus siglas en inglés) que recibirás en tu móvil para validar el acceso a tus cuentas o realizar determinadas transacciones electrónicas.

Si no tenemos validado tu número de móvil, es decir, si no tenemos la certeza de que estás recibiendo el código  de acceso único para autenticar que eres tú quien está al otro lado, no podrás acceder a tus cuentas por web o app, ni realizar pagos online.

Validar tu número de móvil es un sencillo trámite que puedes hacer en:

  • Cualquier Oficina BBVA, con tu móvil y tu DNI.
  • Cualquier cajero BBVA, con tu tarjeta y tu móvil.
     
     

 

¿Qué es PSD2?

La segunda Directiva Europea de Servicios de Pagos digitales (Payment Service Directive 2, por sus siglas en inglés) fue publicada en Noviembre de 2015 por la Comisión Europea con el fin de beneficiar al consumidor. ¿Cómo? mejorando la seguridad en los pagos electrónicos, promoviendo la innovación y competencia entre países y proveedores, y contribuyendo al desarrollo de un mercado de pagos más integrado y eficiente en toda Europa.

Además, PSD2 establece ciertas medidas técnicas de seguridad (RTS) para mejorar la identificación de clientes que empezarán a aplicarse a partir del 14 de septiembre de este año.

¿Cómo afecta PSD2 a los comercios online?

Aunque los emisores de las tarjetas son quienes deberán realizar este proceso de doble autenticación,  los comercios electrónicos igualmente deberán asegurar que su plataforma de pagos online (TPV Virtual) tiene la capacidad de procesar transacciones en modo seguro,  ya que podría ocurrir que al procesar pagos dentro de un entorno de compra NO SEGURA, estos pagos pudiesen ser denegados por los bancos emisores de las tarjetas.

Es importante mencionar que los procesos de autenticación reforzada serán muy beneficiosos para los comercios online porque además de ofrecer mayor seguridad y confianza a sus compradores, reduce el riesgo que el cliente reclame la operación por posible fraude.

¿Debe mi comercio hacer algo para adaptarse a PSD2?

Cada comercio deberá o no introducir modificaciones en su TPV Virtual en función de la conexión que utilice actualmente para procesar operaciones online. Aunque se está elaborando un plan que se validará con la autoridad nacional para determinar cuándo se va a cumplir con los requisitos de la SCA establecidos en la normativa de servicios de pago, te recomendamos que en caso de tener que hacer adecuaciones, lo hagas lo antes posible.

  • Si tu comercio se conecta a la pasarela de pagos por redirección, no debes hacer nada ya que BBVA procederá a modificar la configuración de tu TPV Virtual para adaptarlo a las normas técnicas cuando éstas entren en vigor.
  • Si tu comercio se conecta a la pasarela de pagos mediante conexiones Host-to-Host (como webservice, Price, Rest), deberás realizar una serie de cambios en la configuración de tu TPV Virtual para adaptarlo a la nueva regulación. Existen dos opciones para esta adaptación:

Una de  las novedades  para adaptarse a este nuevo escenario  es  la creación de una nueva versión del protocolo de compra segura: EMV 3DS (también llamado 3DS 2.0), el cual progresivamente sustituirá a la versión actual (3DS 1.0), y que entre sus ventajas ofrece la posibilidad de incorporar más campos de información y favorece una mejor experiencia de autenticación de los consumidores.

  • Si utilizas los servicios de un Proveedor de servicios Pagos (Payment Service Provider) que no es BBVA, deberás ponerte en contacto con tu proveedor para que éste sea quien te informe de las adaptaciones necesarias.

 

¿Existen exenciones o exclusiones a la ley?

Adicionalmente, la nueva ley establece algunas exenciones a SCA o exclusiones que serán de mucha utilidad a la hora de flexibilizar los procesos de autenticación de clientes. Algunos de estos casos son:

Exenciones a SCA:

Aunque el comercio puede proponer las siguientes exenciones, es la entidad que emite la tarjeta quien en últimas puede requerir la doble autenticación  de la transacción.

  • Operaciones online de importe inferior a 30 €.
  • Operaciones Contactless inferiores a 50 €.
  • Transacciones realizadas en terminales no atendidos de parkings o transporte.
  • Cuando el beneficiario del pago esté incluido por el ordenante en una lista de beneficiarios de confianza.
  • Operaciones identificadas por la plataforma de pago como bajo riesgo. Son operaciones consideradas como de perfil no fraudulento, al coincidir con la operativa habitual de los clientes (pautas de gasto, realizadas con su mismo dispositivo, etc).
  • Operaciones frecuentes o periódicas en las que coincida el importe y beneficiario. En este caso será necesario aplicar la doble autenticación la primera vez.
Exclusiones:
Quedan fuera de esta regulación y por tanto del requerimiento de SCA:
 
  • Operaciones con tarjetas en comercios situados fuera del Espacio Económico Europeo (EEE), si bien el emisor de la tarjeta requerirá del doble factor de autenticación si así lo considera.
  • Operaciones iniciadas por teléfono, correo, o email.
  • Pago con tarjetas anónimas (por ejemplo, tarjetas regalo).
  • Transacciones iniciadas de manera automática por el comercio, como suscripciones o pagos realizados sin que el cliente esté presente (es necesario que previamente el cliente haya dado su consentimiento para llevar a cabo estos pagos).

Si tienes alguna duda sobre PSD2, o si te interesa utilizar alguna de las exenciones a SCA o exclusiones que contempla la ley, ponte en contacto con:

  • Línea Comercios: soportevirtual@bbva.com  
  • Teléfono: 912 983 609