La SCA bien hecha
La Strong Customer Authentication debe combinar al menos dos factores (algo que sabes, que tienes o que eres) y, sobre todo, ser comprensible. Si apruebas un pago, tienes que ver a quién y por cuánto. Sin eso, no hay consentimiento informado.
Caso realista
A David le pidieron “verificar actividad” y aprobó tres “validaciones” desde la app, sin ver destinatario/importe. Fueron pagos reales. El banco: “aprobación válida”.
Lo que exige PSD2/EBA
- Detalle explícito en la aprobación: IBAN/destinatario e importe.
- Monitorización de riesgo: si es primer envío a un IBAN nuevo, horario raro, importes altos o dispositivo nuevo, aplicar fricción extra (biometría, retardo, confirmación adicional).
- Mensajería clara: evitar términos ambiguos (“verificar”, “bloquear”) cuando se autoriza.
Investigación que marca la diferencia
INTELISOC solicita plantillas exactas de las pantallas/SMS de aprobación, analiza logs (IP, agente, secuencia) y demuestra si la SCA fue opaca o insuficiente para el riesgo del caso.
Jurisprudencia
Sin consentimiento informado y sin controles basados en riesgo, la tesis de “negligencia del cliente” no sostiene. Se han ordenado reintegros por SCA deficiente.
Conclusión
Si aprobaste “a ciegas”, no es un “sí” válido. Con ciberinvestigación, puedes revertir la negativa del banco.
¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.