Una guía para una autenticación de usuarios segura y fluida en los pagos

Los pagos en línea exigen un equilibrio delicado entre seguridad y experiencia del usuario. Los consumidores anhelan un proceso de autenticación de usuarios fluido y sin fricciones. Sin embargo, los comerciantes deben asegurarse de que los métodos de pago en línea y las transacciones estén a salvo de fraudes.

James Hunt de Feedzai recientemente se reunió con Tom Pilling, director de riesgos de Trust Payments. Ambos analizaron cómo las empresas y los comerciantes pueden ofrecer una experiencia de pagos en línea que logre un delicado equilibrio entre la seguridad y una autenticación de usuario fluida.

Lea un extracto de la conversación a continuación. Consulte la sección de Preguntas y respuestas completas aquí.

Tom Pilling (TP), Trust Payments: ¿Es posible ofrecer una seguridad robusta junto con una experiencia de usuario fluida en los procesos de pago en línea?

James Hunt (JH), Feedzai: La seguridad no debería implicar la presencia de obstáculos innecesarios durante el pago. En cambio, se trata de aplicar los controles adecuados en el momento adecuado en función del nivel de riesgo de la transacción.
Es posible que no sean necesarios controles de seguridad adicionales si se realiza la compra de un nuevo diseño de avatar de Fortnite en un dispositivo habitual desde una ubicación familiar. Pero al comprar un televisor en un nuevo sitio web y con una dirección de envío diferente, es adecuado un nivel adicional de medida de seguridad, como la autenticación de dos factores (2FA).

TP: Es imposible lograr el 100 % de armonía. Sin embargo, ciertamente existen formas y medios para garantizar que los comerciantes alcancen un equilibrio “más que feliz” al usar datos de consumidores. La clave del éxito del comerciante es comprender sus datos transaccionales trabajando junto con su adquirente o procesador de pagos. Los buenos adquirentes contarán con una solución sólida para comprender mejor los datos de sus transacciones.

A veces es un desafío lograr que “el árbol no impida ver el bosque”. Dar un paso atrás, mirar los datos de sus transacciones y dedicar tiempo a comprender dónde podría haber falsos positivos es un ejercicio que realmente vale la pena para optimizar completamente los pagos.

TP: ¿Es engorrosa la autenticación de dos factores (2FA)?

JH: Existen diferentes tipos de métodos de autenticación de usuarios dentro del grupo 2FA, ya sea activa o pasiva.  Por ejemplo, pedirle al usuario que ingrese un nombre de usuario y una contraseña o un código sería un ejemplo de autenticación de usuario activa.

Un ejemplo de autenticación pasiva de usuario podría ser algo tan simple como reconocer que el dispositivo, ya sea una computadora portátil o un teléfono, es el mismo dispositivo que el consumidor siempre usa. La autenticación de usuario activa es la que recibe mala prensa por ser engorrosa. Si olvido la contraseña que he configurado en 3D Secure con mi banco o, por alguna razón, no recibo un mensaje de texto con el código que necesito ingresar para completar mi transacción.

Además, considere si es necesaria la autenticación de dos factores. En Europa, donde la autenticación reforzada de clientes (SCA) es obligatoria, los comerciantes o sus adquirentes pueden solicitar activamente varias exenciones.

Si bien el banco de un consumidor podría rechazar una solicitud para eliminar la autenticación de dos factores, resulta útil comprender las exenciones del Análisis de riesgo de las transacciones (TRA). Estas exenciones eliminan la necesidad de la autenticación de dos factores en transacciones de bajo riesgo, agilizando el proceso para dichas compras.

TP: La 3DS original permitía a los titulares de tarjetas agregar comerciantes a una “lista positiva” para facilitar el proceso para ciertos “comerciantes “aprobados”. Pero este elemento de “autocertificación” parece haber desaparecido. Por ejemplo, si compra en una tienda de confianza, es posible que pueda configurarla para no tener que utilizar la autenticación en dos pasos para futuras compras.

Los usuarios deberían tener más libertad para decidir qué transacciones requieren más seguridad y cuáles no. Creo que debe haber un mejor equilibrio entre ambos casos. Actualmente, o usa la autenticación en dos pasos u olvídese de hacer la transacción. En última instancia, esto no es bueno para nadie en el ecosistema de pagos.

La combinación adecuada de seguridad mejorada y autenticación sólida de usuarios

JH: Según el último Informe sobre fraude financiero en el Reino Unido, el fraude en compras remotas (fraude sin tarjeta presente o CNP) ha seguido disminuyendo desde la implementación de la autenticación reforzada de clientes en el Reino Unido, con pérdidas en su nivel más bajo desde 2014.

Desafortunadamente, el fraude no va a desaparecer. El fraude en compras remotas todavía representa un valor significativo de fraude dentro del ecosistema del Reino Unido, calculado en £360 millones. Las cifras demuestran que el fraude está migrando a otros canales, como el robo de identidad de tarjetas de crédito, que ha aumentado en un 53 % el último año.

Si bien la autenticación en dos pasos puede ser una herramienta útil para prevenir el fraude, es uno de los muchos componentes que deben combinarse para crear una estrategia contra el fraude eficaz que equilibre la mitigación del riesgo y una experiencia positiva del cliente.

Aumentar la seguridad no tiene por qué significar una mala experiencia para el consumidor. En cambio, se trata de utilizar los métodos de verificación adecuados en el momento adecuado, según el riesgo involucrado.

La autenticación de dos factores no tiene por qué ser engorrosa, pero su implementación a menudo depende de ello. Una vez más, es fundamental utilizar los métodos adecuados en el momento adecuado, según el riesgo involucrado.

Si bien la autenticación de dos factores puede ser efectiva, no significa el fin del fraude. Consideremos el aumento del fraude en las aplicaciones (específicamente, las estafas) después del debut de autenticación reforzada de clientes.

En resumen, la autenticación en dos pasos puede detener eficazmente el fraude. Sin embargo, debería ser solo una de muchas capas de seguridad para ayudar a maximizar la experiencia del consumidor.