Autenticación reforzada (SCA)

La SCA bien hecha

La Strong Customer Authentication debe combinar al menos dos factores (algo que sabes, que tienes o que eres) y, sobre todo, ser comprensible. Si apruebas un pago, tienes que ver a quién y por cuánto. Sin eso, no hay consentimiento informado.

Caso realista

A David le pidieron “verificar actividad” y aprobó tres “validaciones” desde la app, sin ver destinatario/importe. Fueron pagos reales. El banco: “aprobación válida”.

Lo que exige PSD2/EBA

• Detalle explícito en la aprobación: IBAN/destinatario e importe.
• Monitorización de riesgo: si es primer envío a un IBAN nuevo, horario raro, importes altos o dispositivo nuevo, aplicar fricción extra (biometría, retardo, confirmación adicional).
• Mensajería clara: evitar términos ambiguos (“verificar”, “bloquear”) cuando se autoriza.

Investigación que marca la diferencia

INTELISOC solicita plantillas exactas de las pantallas/SMS de aprobación, analiza logs (IP, agente, secuencia) y demuestra si la SCA fue opaca o insuficiente para el riesgo del caso.

Jurisprudencia

Sin consentimiento informado y sin controles basados en riesgo, la tesis de “negligencia del cliente” no sostiene. Se han ordenado reintegros por SCA deficiente.

Conclusión

Si aprobaste “a ciegas”, no es un “sí” válido. Con ciberinvestigación, puedes revertir la negativa del banco.

Artículos relacionados

• 53. Estafa de inversión (I): penal archivada, civil al banco
• 54. Phishing por anuncios
• 55. Estafa de inversión (II): escalado internacional