Recomendacións de seguridade

O BBVA pon á túa disposición todos os medios ao seu alcance para garantir a seguridade nas operativas mediante un sistema de claves seguras.

O PIN da túa tarxeta BBVA e a clave de acceso a BBVA.es son claves privadas que se deben custodiar de xeito seguro. Nos nosos sistemas internos almacénanse cifradas de forma irreversible, de xeito que ninguén no BBVA pode coñecelas.

BBVA nunca che solicitará por correo electrónico ou por SMS as credenciais de BBVA.es nin calquera outro dato persoal ou bancario. En caso de recibir unha mensaxe deste tipo, por favor, non facilites información por estas canles.

Os navegadores ofrecen a posibilidade de gardar os usuarios e contrasinais dos sitios web que as requiren. Desde BBVA recomendámosche non gardar nunca as túas claves de acceso ao noso servizo de Banca a Distancia nun ordenador ou tablet PC. Estes dispositivos poden ser obxecto de ataques informáticos e as túas claves poderían quedar expostas.

 

Consellos BBVA

  • Utiliza claves complexas e difíciles de indagar que conteñan maiúsculas, minúsculas e números intercalados.
  • Os contrasinais son secretos, non os compartas con ninguén e cámbiaos de forma periódica.
  • Non apuntes o teu contrasinal en post-it ou cadernos; memorízao ou utiliza xestores de contrasinais especializados.
  • En ordenadores compartidos ou conectados a redes wifi públicas non introduzas as túas credenciais de acceso nin facilites datos persoais, como enderezo postal, teléfono, etc.
  • Sempre que sexa posible é recomendable activar a autenticación en dous pasos nos servizos que o permitan. Ademais do teu contrasinal de acceso, solicitarase outro tipo de identificación (p.e. código enviado ao móbil). Este sistema engade unha capa extra de seguridade á conta.
  • En caso de recibir unha SMS de confirmación dunha operación que non realizaches, contacta co BBVA no 91 224 94 26 para informar de que se está producindo unha operación sen o teu consentimento.

Que son o Phishing e o Smishing?

O phishing é un ataque a través do correo electrónico, en que o estafador che envía un correo electrónico para facerse pasar por un comercio, entidade ou particular e acceder ás túas claves.

O smishing é parecido, pero a través de SMS ou WhatsApp: basta con que respondas para que accedan aos teus datos.

Como podo evitaro?

BBVA nunca che pedirá os teus datos bancarios por ningún canle que non sexa a nosa páxina web ou nosa App, así que evita enviaros por SMS ou correo electrónico. 

  • Fixache que o asunto do correo ou o corpo do texto non teñan faltas de ortografía e verifica sempre tamén que o remitente do e-mail contén bbva.com ou bbva.es. 
  • Ten en conta que unha web segura sempre empeza por https://, desconfía se a url está mal escrita ou ten caracteres estraños como por exemplo, www.bb-va.informaci%n.com. 
  • Configura as túas alertas na App de O BBVA ou bbva.es e así, en caso de calquera movemento inusual nas túas contas ou tarxetas, che notificarémolo. 
  • E lembra que se ao comprobar todo isto tes dúbidas, antes de facer clic nalgunha ligazón ou descargar arquivos adxuntos, o mellor é que nos chames ao 91 224 94 26 para resolveras.

O BBVA pon todos os medios ao seu alcance para garantir a seguridade nas operativas coas túas tarxetas BBVA.

Pódense activar os servizos de Banca por Internet, BBVA.es, Banca Telefónica e Liña BBVA, simplemente coñecendo os 16 díxitos da tarxeta BBVA e o PIN que se utiliza nos caixeiros (este PIN é secreto e persoal).

Consellos BBVA

  • Non utilices como número secreto datos persoais facilmente deducibles, como a data de nacemento ou o número de matrícula, nin o compartas con ninguén.
  • Denuncia inmediatamente a desaparición da tarxeta chamando ao 91 224 94 26. A rapidez desta chamada é fundamental.
  • Cando realices unha compra por Internet, asegúrate de que a páxina web comeza por https (e non por http), inclúe un cadeado cerrado na barra de navegación e expón nun lugar visible a información da empresa, a súa política de envío e devolución e a súa política de cookies.
  • Desconfía dos comercios electrónicos que ofrecen grandes descontos nos seus produtos (-70 %, -80 %). Sospeita se, ademais, conteñen erros tipográficos e imaxes de baixa calidade.

Ademais das medidas de seguridade establecidas polo BBVA, cómpre que tomes certas precaucións á hora de navegar por Internet e así aumentar a seguridade na túa actividade diaria e evitar ser vítima dun ciberataque.

Algúns dos ataques informáticos e virus máis frecuentes hoxe en día na rede son:

  • Phishing. Consiste no envío dun correo electrónico no que os atacantes suplantan a identidade, na maioría dos casos, dunha compañía moi coñecida e no que solicitan información persoal e bancaria ao usuario. Normalmente pediranche que fagas clic nunha ligazón que aparece no correo electrónico para que, cando esteas na páxina falsa, introduzas a información solicitada.
  • Ransomware. Propáganse a través do correo electrónico con ligazóns que facilitan a instalación de programas ou a descarga de arquivos infectados. Os atacantes bloquean así a información do ordenador do usuario e pídenlle un rescate económico para que, supostamente, recupere a súa información.
  • Troianos. Introdúcense nun ordenador persoal e transforman o seu comportamento, de xeito que o que se fai nel pode ser visto desde o ordenador do delincuente.

Consellos BBVA

  • O sistema operativo e as aplicacións deben estar sempre actualizados.
  • Debes instalar e manter activos un firewall e un antivirus.
  • Desconfía dos correos electrónicos alarmistas nos que che comunican que se suspendeu a túa conta e debes reactivala ou que ocorreu un erro ao iniciar sesión, ou nos que che piden verificar ou actualizar a información da túa conta, entre outros. Estes correos son fraudulentos. Lembra que o BBVA nunca che vai solicitar por correo electrónico ou por SMS os teus datos persoais e bancarios.
  • Non descargues no ordenador arquivos cuxas extensións sexan de tipo .exe, .bat, .rar, .zip ou .ini se o remitente non é de confianza.
  • Non conectes ningún dispositivo externo de orixe descoñecida, como memorias USB ou discos duros, nos teus equipos.
  • Descarga as aplicacións unicamente desde tendas oficiais, como Play Store e Apple Store. Ademais, revisa os permisos que outorgas a cada unha delas.
  • En ordenadores compartidos ou se estás conectado a unha rede wifi pública, non accedas a páxinas nas que debas introducir o teu usuario e contrasinal e non proporciones datos persoais.

Medidas desde BBVA

O servizo

1. Administración de usuarios:

BBVA Net Cash é unha aplicación multiusuario. Dispón de distintos perfís de usuario que a empresa pode asignar aos seus empregados en función da súa estrutura operativa.

Un perfil específico, o administrador, define e administra os usuarios da empresa en BBVA Net Cash. Poden existir un ou varios administradores e contar con diferentes niveis de delegación (sen poder ou con poder solidario ou mancomunado). A cada usuario asígnaselle un perfil que se define co máximo nivel de detalle.

No caso da autorización de operacións, as opcións son:

  • Sen poder: non pode autorizar operacións.
  • Apoderado: pode ser solidario ou mancomunado.
  • Auditor: pode frear incluso as ordes asinadas totalmente ata que non teñan a súa autorización.

Esta estrutura permite que o circuíto de usuarios sexa tan restritivo como desexe a empresa, co fin de garantir, en todo momento, que cada un deles:

  • Acceda só aos servizos e contas que establece o administrador.
  • Poida realizar só aquelas consultas e operacións que lle autorice o administrador.
  • Teña ou non poderes para autorizar operacións.
  • Dispoña dun límite monetario en función da operación e conta, segundo defina o administrador.
  • Só se é administrador pode consultar, ademais do seu perfil, a relación de usuarios definidos na súa entidade, os seus perfís, o acceso a servizos e os poderes que teñen asignados.

2. Control de actividade:

Os usuarios poden realizar un seguimento das operacións da entidade en BBVA Net Cash a través de:

  • O módulo de "Estatísticas" (Sinaturas e ficheiros: Estatísticas): consulta das operacións realizadas nun período determinado.
  • A "Auditoría de ordes" (Sinaturas e ficheiros: Sinatura e seguimento de ficheiros): control da actividade de operacións de cada usuario da entidade.
  • A "Auditoría de usuarios" (Administración: Auditoría): reflicte que actuacións realizou cada un dos administradores dentro do circuíto de usuarios.

3. Credenciais de usuario:

BBVA Net Cash incorpora o dobre factor de seguridade que consiste, basicamente, na incorporación dun dispositivo, token, para a validación no circuíto de usuarios e a sinatura de operacións. Deste xeito, o sistema solicitaralle que introduza o código de seguridade de seis díxitos (de uso único) xerado polo dispositivo. Este dispositivo pode ser físico ou estar instalado no seu teléfono móbil (mediante a descarga da app de BBVA Net Cash).

  • Aínda que os contrasinais non caducan, recomendámoslle modificalos cada mes.
  • O tamaño da clave de acceso é 8 caracteres alfanuméricos para dificultar a súa dedución por terceiros mediante a proba de opcións.
  • Os contrasinais almacénanse cifrados irreversiblemente en sistemas especializados de xestión de usuarios e identidades, de xeito que ninguén pode obtelos nin deducilos.

Obrigatoriedade de modificar a clave de acceso no primeiro acceso: para previr a suplantación do usuario, na súa primeira conexión a BBVA Net Cash, requíreselle que modifique a súa clave de acceso.

Bloqueo de usuarios:

  • O erro na introdución do usuario ou da clave de activación cinco veces seguidas provoca o bloqueo da referencia en BBVA Net Cash, que non poderá ser activada ata que o BBVA xere unha nova clave de activación.
  • No caso da clave de acceso, tras tres intentos frustrados, o usuario queda bloqueado.
  • O erro na introdución do código de seguridade xerado polo seu dispositivo de seguridade cinco veces seguidas, provoca o bloqueo do usuario en BBVA Net Cash.
  • O administrador de usuarios ten autonomía para bloquear o acceso a usuarios da súa entidade, de xeito que, ante calquera baixa dun empregado, o acceso pode ser inmediatamente revogado.

4. Identificación e autenticación:

Rastrexabilidade das transaccións: os accesos e transaccións realizadas quedan reflectidas en rexistros de operacións automatizados que recollen a operación efectuada, a data e hora desta e o usuario que a executou, permitindo determinar a validez das operacións rexistradas.

Información da última conexión:

  • Se o usuario entra por primeira vez, BBVA Net Cash indicarallo.
  • En sucesivos accesos, BBVA Net Cash mostrará ao usuario a data e a hora da súa última conexión.

Cookies só activas durante a sesión: as cookies que se colocan no sistema operativo do usuario, necesarias para a navegación de modo seguro por calquera páxina web, están activas só durante a conexión a BBVA Net Cash e son borradas cando o usuario se desconecta da aplicación.

Desconexión automática da sesión: como medida adicional de seguridade, aos 10 minutos de inactividade en BBVA Net Cash, procédese a finalizar a sesión do usuario e a desconectalo do sistema.

5. Cumprimento normativo de regulacións nacionais e internacionais:

O BBVA cumpre en todos os seus servizos coas normas e regulacións dos países nos que opera. O compromiso do BBVA con estas regulacións recóllese no Código de Conduta, de obrigado cumprimento para todos os empregados.

A tecnoloxía

1. Confidencialidade e integridade

De todas as credenciais de usuario:

  • Todas as claves operativas de usuarios almacénanse cifradas irreversiblemente en sistemas especializados de xestión de usuarios e identidades, de xeito que ninguén pode obtelas ou deducilas.
  • Os procedementos operativos do BBVA non requiren que ninguén no banco dispoña das claves operativas dos seus clientes, polo que non as coñece ninguén nin llas solicitarán persoalmente.

Das comunicacións:

  • As comunicacións dos servizos transaccionais e de banca a distancia do BBVA cífranse mediante protocolo SSL para preservar a confidencialidade e integridade das comunicacións por Internet.
  • Os certificados empregados polo BBVA para proporcionar este servizo son xerados por Verisign Inc.
  • Adicionalmente, as comunicacións sensibles que teñen lugar nas redes internas do BBVA encóntranse axeitadamente protexidas segundo o contorno operativo e o protocolo utilizado.

Da información:

  • A información almacenada nos sistemas e bases de datos internas encóntrase protexida mediante diferentes sistemas de seguridade permitindo o acceso unicamente aos empregados autorizados.
  • O BBVA dispón dun sistema automatizado de xestión de privilexios de acceso á información que garante o acceso controlado e restrinxido ao persoal autorizado.

2. Seguridade física dos centros de procesamento de datos

Os Centros de Procesamento de Datos de O BBVA están dotados de amplas medidas de seguridade física para a protección dos sistemas de procesamento de datos, destacando, entre outras, as seguintes:

  • CPD Tier IV Gold en sostibilidade operativa.
  • Control de accesos individualizado ao recinto e ás diferentes salas técnicas, dotados de sistemas de detección de elementos perigosos.
  • Equipos humanos de vixilancia física e videovixilancia do perímetro e do interior das instalacións en réxime de 24x7.
  • Sistemas de detección e protección específicos ante intrusión, incendio, inundación, corte de subministracións e outros eventos catastróficos.

Ademais, ao dispor de dous centros de procesamento de datos plenamente operativos, o BBVA garante a salvagarda e recuperación da información, no caso de que fose necesario.

3. Arquitectura de seguridade:

Co fin de conseguir a máxima seguridade no deseño dos seus sistemas, o BBVA dispuxo unha arquitectura de seguridade específica especialmente para aqueles que dan servizo aos seus clientes a través de Internet.

En concreto, e para minimizar o nivel de exposición cara a Internet, só se mantén exposta a capa de presentación (que realiza as funcións de autenticación de usuario, autorización de acceso a aplicacións web e control seguro de sesión) mediante proxy inverso de seguridade.

4. Sistemas específicos de protección:

Devasas e sistemas antivirus e antiintrusos permanentemente actualizados:

  • O BBVA realiza unha segregación das súas redes e sistemas con varios niveis de devasas.
  • Ademais, os sistemas internos do BBVA encóntranse permanentemente protexidos mediante sistemas antimalware e de detección de intrusión.
  • Ambos os dous tipos de sistemas xestiónanse en réxime de 24x7 e encóntranse permanentemente actualizados, o que permite previr a acción de novas ameazas de forma permanente.
  • Todos os sistemas de vixilancia, alerta e resposta de seguridade ante posibles fraudes son monitorizados e supervisados por un equipo de especialistas en réxime de 24x7x365 nas instalacións do centro de procesamento de datos.

Rexistros de actividade de todos os compoñentes: O BBVA dispón nos seus sistemas e aplicacións de banca a distancia de rexistros de actividade (logs) de todos os compoñentes críticos, que dan soporte aos servizos de detección de intentos de fraude e análise forense de actividades ou operacións sospeitosas ou comunicadas como fraudulentas.

Revisión periódica do servizo aplicando as últimas técnicas de ataque: os sistemas que dan soporte aos servizos de banca a distancia son revisados periodicamente mediante ferramentas de análise de vulnerabilidades.

Auditorías internas e externas: os sistemas e procesos do BBVA son obxecto de auditorías de seguridade periódicas tanto por parte do departamento independente de auditoría como por parte de auditorías externas específicas ou asociadas con auditorías financeiras ou de cumprimento.

Medidas para o usuario

Protección das súas credenciais de usuario

  • Utilice contrasinais complexos e de difícil dedución, que conteñan maiúsculas, minúsculas e números intercalados.
  • Non comparta con ninguén os seus contrasinais. Os contrasinais son secretos e unicamente o seu propietario debe coñecelos para a súa utilización.
  • Non apunte os seus contrasinais en post-it ou cadernos; memorícea ou utilice xestores de contrasinais especializados. Pode encontrar programas gratuítos deste tipo en www.osi.es.
  • Desactive a opción de gardar contrasinal do seu navegador. É máis seguro inserilo cada vez que acceda.
  • Cambie os seus contrasinais periodicamente. Se sospeita que alguén pode coñecer o seu contrasinal de acceso, debe modificalo canto antes.
  • Non utilice o mesmo contrasinal en distintos servizos (correo electrónico, evernote, outros bancos, etc).
  • O seu dispositivo físico de seguridade é persoal e intransferible.
  • En caso de recibir unha mensaxe solicitándolle as súas claves persoais, non facilite ningún dato e póñase inmediatamente en contacto co servizo de atención ao cliente de BBVA Net Cash: 91 224 98 02 / 902 33 53 73.

Protección do seu ordenador

  • Manteña permanentemente actualizados o seu sistema operativo e a versión do seu navegador cos parches correspondentes, para protexelo de posibles buratos ou erros detectados.
  • Configure o seu equipo e todos os seus programas cos niveis máis altos de seguridade.
  • Instale, manteña activo e sempre ao día un firewall ou devasa.
  • Instale, manteña activo e sempre ao día os seus programas antimalware. Verifique os documentos recibidos desde o exterior co antivirus.
  • Realice periodicamente copias de seguridade (backup) dos seus arquivos.
  • Evite descargas desde páxinas web descoñecidas, pois poden conter virus ou compoñentes espía.
  • Non conecte ningún dispositivo externo de orixe dubidosa, como pendrives, discos duros e móbiles de descoñecidos nos seus dispositivos.
  • Limpe periodicamente as cookies e os arquivos temporais.
  • Descargue programas e aplicacións unicamente de sitios oficiais.
  • Configure un padrón de desbloqueo nos seus teléfonos móbiles e tabletas, para que non poida acceder a eles un terceiro.

Prácticas seguras de acceso e navegación por Internet

  • En ordenadores comúns ou se está conectado/a a wifis públicas, non acceda a páxinas en que necesite utilizar usuario e contrasinal. Tampouco facilite datos persoais como enderezo postal, teléfono, etc...
  • Evite conectarse a páxinas de contido privado desde ordenadores públicos.
  • Se ten que introducir as súas credenciais, comprobe que o enderezo (URL) do servidor comeza por https, isto significa que está accedendo a un servidor seguro.
  • Outra indicación de que o servidor é seguro é a presenza dun cadeado pechado (en vez de aberto como en calquera servidor non seguro) á dereita ou á esquerda do enderezo (URL).
  • Comprobe os certificados de seguridade da páxina en que se encontra premendo na icona do cadeado que aparece ao acceder a unha zona segura, ou ben ao certificado desde a barra de navegación, e verifique que a data de caducidade e o dominio do certificado están vixentes. Na información de detalle aparece o emisor (Verisgn), o período de validez e para quen se emitiu o certificado (BBVA).
  • Non utilice a opción de “autocompletar contrasinais” do seu navegador. Se está habilitada, os contrasinais que introduce na páxina web quedan almacenados no ordenador e, cando volve introducir o seu usuario, o campo da clave xa se enche automaticamente. Esta opción nun ordenador de uso compartido pode provocar que alguén utilice as súas claves persoais.
  • Comprobe a data e hora da última conexión.
  • Para finalizar con seguridade a súa sesión de BBVA Net Cash, utilice o botón "Saír" que aparece na parte superior dereita.

Virus e ataques frecuentes

Os virus informáticos son programas cuxo obxectivo consiste en instalarse no ordenador dun usuario sen o seu permiso nin coñecemento. Existen diversos tipos de virus, pero todos adoitan ter en común a propiedade de propagarse e difundirse dentro do mesmo equipo e a través da rede.

É fácil contribuír sen coñecelo á difusión de virus mediante o reenvío de correos electrónicos con arquivos adxuntos infectados. É fundamental a colaboración de todos os usuariose Internet para evitar a súa propagación.

Existen varios tipos de virus, entre eles destacamos:

Phishing:

Consiste no envío dun correo electrónico no que se suplanta a identidade dunha organización moi coñecida, e a través do que se solicitan os datos do usuario (enderezo, datos bancarios, contrasinais, …). Para que o usuario proporcione os devanditos datos, na maioría dos casos, é necesario que siga unha ligazón que aparece no correo electrónico e, cando estea nesa falsa páxina, introduza a información solicitada.

O esquema básico de funcionamento é o seguinte:

  • 1. Difúndese de forma masiva unha mensaxe (spam) na que se informa de que os usuarios de BBVA Net Cash deben confirmar os seus datos de acceso.
  • 2. A mensaxe inclúe unha ligazón a unha páxina desde a que debe realizar a confirmación dos datos. Por veces, a ligazón inicia a descarga dun software malicioso.
  • 3. O usuario accede á ligazón que leva a unha páxina “similar” á auténtica BBVA Net Cash e, con toda confianza, introduce nela os seus datos.
  • 4. Como a páxina é falsa e está controlada polos estafadores, son eles os que realmente reciben os datos do usuario, e con eles teñen libre acceso á conta real do usuario afectado.

Aínda que o BBVA nunca lle solicitará as súas claves de acceso e sinatura de BBVA Net Cash por correo electrónico, aquí incluímoslles algunhas pistas para recoñecer este tipo de ataques:

- Por veces, o logo parece distorsionado ou estirado. Ademais adoitan presentar faltas de ortografía ou expresións en desuso.

- Refírense a vostede como “cliente estimado” ou “usuario estimado” en lugar de incluír o seu nome real.

- Advírteno/a de que a súa conta/servizo de banca electrónica pecharase a menos que reconfirme a súa información de acceso inmediatamente.

- O ton do correo resulta ameazante.

- O texto fai referencia a “compromisos de seguridade” ou “ameazas da seguridade” e require efecto inmediato.

- O URL non é https:// e non aparece o cadeado de seguridade na barra inferior do navegador. As ligazóns falsas inclúen esta icona dentro da xanela para enganalo/a.

Ransomware:

Trátase dun lucrativo método de delincuencia tecnolóxica. Habitualmente encubertos como “servizos de entrega de paquetaría” ou calquera outra escusa crible, propáganse a través do correo electrónico con ligazóns que facilitan a instalación de programas ou descarga de arquivos infectados. Este virus bloquea o acceso á información do ordenador, e pide un rescate económico que supostamente facilitará a clave para descifrar a información.

A continuación, incluímos unha serie de indicacións para protexerse do ransomware:

  • Non siga ligazóns nin descargue arquivos adxuntos de correos que crea que son sospeitosos.
  • Utilice só software legal e mantéñao permanentemente actualizado.
  • Teña sempre instalado e actualizado un antivirus.
  • Realice frecuentemente copias de seguridade. No caso de que resulte infectado, poderá recuperar a información sen pagar o rescate.

Troianos:

Introdúcense nun ordenador persoal, enmascarados dentro dun programa. Transforman o comportamento do ordenador de xeito que o que nel se faga poida ser visto desde o ordenador do delincuente. Para previr a infección por un troiano debe seguir as mesmas indicacións que comentamos anteriormente co ransomware:

  • Non siga ligazóns nin descargue arquivos adxuntos de correos que crea que son sospeitosos.
  • Utilice só software legal e mantéñao permanentemente actualizado.
  • Teña sempre instalado e actualizado un antivirus.

Bulos (hoax):

Son correos electrónicos que comunican certos rumores falsos co único obxectivo de transmitir e aumentar a información de baixa calidade que circula por Internet.

Xeralmente, non son demasiado daniños e son fáciles de eliminar.

Para previr estes ataques, segue as recomendacións que che indicamos e comunícanos calquera situación ou comunicación sospeitosa que recibas: 91 224 98 02 / 902 33 53 73.

A partir desta comunicación, o servizo de atención ao cliente de BBVA Net Cash porá en marcha o protocolo de actuación ante a fraude establecido: un equipo de especialistas encargarase de analizar o caso.

Se se confirma a sospeita, se che recomendará:

  • Formatar o teu disco duro.
  • Instalar un antimalware actualizado.
  • Manter actualizado o software do teu equipo.

En todos os casos confirmados, procederase ao cambio da clave de acceso do usuario afectado.

Que é a PSD2?

A Segunda directiva europea de servizos de pagamentos dixitais (Payment Service Directive 2, polas súas siglas en inglés) foi publicada en novembro de 2015 pola Comisión Europea co fin de beneficiar o consumidor. Como? mellorando a seguridade nos pagamentos electrónicos, promovendo a innovación e a competencia entre países e provedores e contribuíndo ao desenvolvemento dun mercado de pagamentos máis integrado e eficiente en toda Europa.

Ademais, a PSD2 establece certas medidas técnicas de seguridade (RTS) para mellorar a identificación de clientes que empezarán a aplicarse a partir de 14 de setembro deste ano.

Que é a SCA?

Entre os conceptos máis relevantes introducidos por PSD2 está a autenticación reforzada do cliente, coñecida como SCA (Strong Customer Authentication), que non é nin máis nin menos que o procedemento obrigatorio para comprobar a autenticidade dos clientes mediante o uso de 2 factores que pertenzan a algunha das seguintes categorías:

  • Algo que só o cliente sabe, por exemplo, o contrasinal.
  • Algo que só o cliente ten, por exemplo, o seu teléfono móbil.
  • Algo que só o cliente é, por exemplo, a súa impresión dactilar.

Este procedemento de dobre autenticación é obrigatorio cada vez que o cliente:

  • Acceda ás súas contas en liña (tanto por web como por app).
  • Inicie transaccións de pagamento electrónicas (unha transferencia, un pagamento en comercio en liña, etc).
  • E / ou realice algunha acción a través de canles remotas que poidan supor un risco de fraude.
É importante destacar que existen casos en que non será necesario aplicar a SCA, por exemplo se se trata de pagamentos con tarxeta agasallo ou se as compras son de baixa contía. Aínda así, os titulares de tarxetas deberán ser conscientes de que este paso de seguridade adicional deberá realizarse máis a miúdo do que estaban acostumados ata agora.

Que supón esta normativa?

Todos os intervenientes nun proceso de comercio electrónico en Europa –bancos, provedores de servizos de pagamento como Visa ou MasterCard, comercios, etc–, deberán implantar medidas adicionais para asegurar que cumpren cos requirimentos normativos da PSD2.

Os clientes poderán experimentar cambios na maneira de acceder ás súas contas desde canles remotas (app ou web) ou na maneira de facer pagamentos electrónicos como poden ser as transferencias bancarias, compras en liña ou pagamentos físicos con tarxeta contactless en Europa.

E isto que quere dicir para min como cliente do BBVA?

No BBVA levamos tempo traballando en adaptar os nosos altos estándares de seguridade aos novos requisitos desta directiva, sempre coa vista posta en manter unha óptima experiencia de uso para os nosos clientes.

Por iso, sempre que o permita a normativa e as nosas medidas de seguridade, ‘invisibles’ para os clientes, nos dean a tranquilidade de que a transacción non é fraudulenta, evitaremos que teñas que facer a dobre autenticación facendo máis cómoda a transacción. Nos casos que esixe a lei, pedirémosche a dobre autenticación.

Vexamos algúns sinxelos exemplos que che axudarán a entender como che afectarán estas novidades que tratan de velar pola seguridade do teu diñeiro.

1. Un cliente que paga en tenda en liña con tarxeta:

  • Accede á páxina de pagamento do comercio como de costume.
  • Solicitaranlle que introduza os datos da súa tarxeta.
  • A medida que completa a transacción, solicitaranlle información de seguridade adicional (é o que se chama "credenciais", como pode ser por exemplo unha clave de uso único). Esta información poderá solicitarse sobre a mesma páxina ou ben a través da súa aplicación no teléfono móbil.
  • Unha vez validadas as credenciais achegadas, verase a pantalla habitual confirmando que a transacción se finalizou con éxito.

2. Un cliente que paga en tenda física con tarxeta Contactless:

  • Realiza o pagamento coa súa tarxeta como é habitual.
  • É posible que lle pidan que introduza o seu PIN con máis frecuencia do habitual: cando realice máis de 5 pagamentos Contacless de menos de 20 € ou cando a suma dos pagamentos Contacless superen 100 €.

3. Un cliente que queira acceder ás súas contas por web ou app:

  • Cando o cliente entre por primeira vez na súa app ou web da banca en liña a partir de setembro, solicitaráselle un dobre factor de autenticación.
  • Cada 90 días ou cando acceda a información de máis de 90 días, encontrarase con esa solicitude de autenticación reforzada, tal e como esixe a normativa.
  • Unha vez autenticado, accederá ás súas contas como é habitual.

 

Eu teño que facer algo?

Si, é importante que teñamos o teu número de móbil actualizado, xa que utilizaremos como factor de autenticación un código de acceso único (One Time Password, OTP polas súas siglas en inglés) que recibirás no teu móbil para validar o acceso ás túas contas ou realizar determinadas transaccións electrónicas.

Se non temos validado o teu número de móbil, é dicir, se non temos a certeza de que estás recibindo o código de acceso único para autenticar que es ti quen está ao outro lado, non poderás acceder ás túas contas por web ou app, nin realizar pagamentos en liña.

Validar o teu número de móbil é un sinxelo trámite que podes facer en:

  • Calquera oficina BBVA, co teu móbil e o teu DNI.
  • Calquera caixeiro BBVA, coa túa tarxeta e co teu móbil.
     
     

 

Que é a PSD2?

A Segunda directiva europea de servizos de pagamentos dixitais (Payment Service Directive 2, polas súas siglas en inglés) foi publicada en novembro de 2015 pola Comisión Europea co fin de beneficiar o consumidor. Como? mellorando a seguridade nos pagamentos electrónicos, promovendo a innovación e a competencia entre países e provedores e contribuíndo ao desenvolvemento dun mercado de pagamentos máis integrado e eficiente en toda Europa.

Ademais, a PSD2 establece certas medidas técnicas de seguridade (RTS) para mellorar a identificación de clientes que empezarán a aplicarse a partir de 14 de setembro deste ano.

Como afecta PSD2 aos comercios en liña?

Aínda que os emisores das tarxetas son os que deberán realizar este proceso de dobre autenticación, os comercios electrónicos igualmente deberán asegurar que a súa plataforma de pagamentos en liña (TPV Virtual) ten a capacidade de procesar transaccións en modo seguro, xa que podería ocorrer que ao procesar pagamentos dentro dun medio de compra NON SEGURA, estes pagamentos puidesen ser denegados polos bancos emisores das tarxetas.

É importante mencionar que os procesos de autenticación reforzada serán moi beneficiosos para os comercios en liña porque ademais de ofrecer maior seguridade e confianza aos seus compradores, reduce o risco de que o cliente reclame a operación por posible fraude.

Debe o meu comercio facer algo para adaptarse á PSD2?

Cada comercio deberá ou non introducir modificacións no seu TPV Virtual en función da conexión que utilice actualmente para procesar operacións en liña. Aínda que se está elaborando un plan que se validará coa autoridade nacional para determinar cando se vai cumprir cos requisitos da SCA establecidos na normativa de servizos de pagamento, recomendámosche que en caso de ter que facer adecuacións, que as fagas canto antes.

  • Se o teu comercio se conecta á pasarela de pagamentos por redirección, non debes facer nada xa que o BBVA procederá a modificar a configuración do teu TPV Virtual para adaptalo ás normas técnicas cando estas entren en vigor.
  • Se o teu comercio se conecta á pasarela de pagamentos mediante conexións Host-to-Host (como webservice, Price, Rest), deberás realizar unha serie de cambios na configuración do teu TPV Virtual para adaptalo á nova regulación. Existen dúas opcións para esta adaptación:

Unha das novidades para adaptarse a este novo escenario é a creación dunha nova versión do protocolo de compra segura: EMV 3DS (tamén chamado 3DS 2.0), que progresivamente substituirá a versión actual (3DS 1.0), e que entre as súas vantaxes ofrece a posibilidade de incorporar máis campos de información e favorece unha mellor experiencia de autenticación dos consumidores.

  • Se utilizas os servizos dun provedor de servizos de pagamento (Payment Service Provider) que non é o BBVA, deberás pórte en contacto co teu provedor para que este sexa quen te informe sobre as adaptacións necesarias.

 

Existen exencións ou exclusións á lei?

Adicionalmente, a nova lei establece algunhas exencións á SCA ou exclusións que serán de moita utilidade á hora de flexibilizar os procesos de autenticación de clientes. Algúns destes casos son:

Exencións á SCA:

Aínda que o comercio pode propor as seguintes exencións, é a entidade que emite a tarxeta quen finalmente pode requirir a dobre autenticación da transacción.

  • Operacións en liña de importe inferior a 30 €.
  • Operacións Contactless inferiores a 50 €.
  • Transaccións realizadas en terminais non atendidos de aparcadoiros ou transporte.
  • Cando o beneficiario do pagamento estea incluído polo ordenante nunha listaxe de beneficiarios de confianza.
  • Operacións identificadas pola plataforma de pagamento como baixo risco. Son operacións consideradas como de perfil non fraudulento, ao coincidir coa operativa habitual dos clientes (pautas de gasto, realizadas co seu mesmo dispositivo, etc).
  • Operacións frecuentes ou periódicas nas que coincida o importe e beneficiario. Neste caso cumprirá aplicar a dobre autenticación a primeira vez.
Exclusións:
Quedan fóra desta regulación e polo tanto do requirimento da SCA:
 
  • Operacións con tarxetas en comercios situados fóra do Espazo Económico Europeo (EEE), aínda que o emisor da tarxeta requirirá do dobre factor de autenticación se así o considera.
  • Operacións iniciadas por teléfono, correo postal ou correo electrónico.
  • Pagamento con tarxetas anónimas (por exemplo, tarxetas agasallo).
  • Transaccións iniciadas de maneira automática polo comercio, como subscricións ou pagamentos realizados sen que o cliente estea presente (cómpre que previamente o cliente dese o seu consentimento para levar a cabo estes pagamentos).

Se tes algunha dúbida sobre PSD2, ou se che interesa utilizar algunha das exencións á SCA ou exclusións que prevé a lei, ponte en contacto con:

  • Liña Comercios: soportevirtual@bbva.com  
  • Teléfono: 912 983 609