Autenticación delegada y passkeys bajo la PSD3 y el PSR

El panorama europeo de los pagos ha cambiado significativamente con la segunda Directiva de Servicios de Pago (PSD2). Con su entrada en vigor progresiva desde 2018, la PSD2 exigió la Autenticación Reforzada de Cliente (SCA, por sus siglas en inglés) para la mayoría de los pagos electrónicos con el fin de mejorar la seguridad y combatir el fraude. Normalmente, esto requiere verificar la identidad de un usuario utilizando al menos dos de tres factores independientes: Conocimiento (algo que solo el usuario sabe, como una contraseña), Posesión (algo que solo el usuario posee, como un teléfono o un token de hardware) e Inherencia (algo que el usuario es, como una huella dactilar o un escaneo facial).

Aunque los requisitos de SCA de la PSD2 han reducido de forma demostrable ciertos tipos de fraude, también introdujeron fricción en el proceso de pago, especialmente en los pagos con tarjeta que utilizan protocolos 3-D Secure (3DS), que a menudo redirigen a los usuarios al dominio de su banco para la autenticación. Esta fricción añadida en el proceso de compra puede llevar al abandono del carrito y a una experiencia de usuario menos fluida.

Reconociendo estos desafíos y la rápida evolución del mercado de pagos digitales, la Comisión Europea publicó propuestas legislativas el 28 de junio de 2023 para actualizar el marco. Este paquete consiste en una nueva Directiva de Servicios de Pago (PSD3) y un Reglamento de Servicios de Pago (PSR).

A menudo descrita como una "evolución, no una revolución", esta reforma tiene como objetivo perfeccionar conceptos existentes como la Autenticación Reforzada de Cliente (SCA) y el Open Banking, fortalecer aún más la protección del consumidor contra el fraude, fomentar la competencia entre los proveedores de servicios de pago (PSP) y mejorar el funcionamiento general del mercado de pagos de la UE. Una de las áreas clave de evolución es la clarificación explícita y el marco proporcionado para la autenticación delegada.

El camino desde la propuesta hasta la aplicación implica varias etapas. Tras la publicación de junio de 2023, las propuestas entraron en el proceso legislativo de la UE, que involucra al Parlamento Europeo y al Consejo de la UE. La comisión de Asuntos Económicos y Monetarios (ECON) del Parlamento publicó proyectos de informe con enmiendas a finales de 2023 y principios de 2024, a lo que siguió la adopción de la posición del Parlamento en primera lectura en abril de 2024. La siguiente fase implica negociaciones entre el Parlamento, el Consejo y la Comisión para acordar los textos finales. A lo largo de este proceso, los interesados, incluidos bancos, PSP, empresas de tecnología y grupos de consumidores, participan en consultas públicas y esfuerzos de lobbying para influir en el resultado.

Aunque las estimaciones iniciales sugerían una finalización para finales de 2024 o principios de 2025, el proceso legislativo puede ser complejo, y algunos análisis ahora sugieren posibles retrasos, que podrían posponer el acuerdo final y la fecha de aplicación hasta el primer trimestre de 2027. Generalmente, se espera que las nuevas reglas se apliquen 18 meses después de su publicación en el Diario Oficial de la UE, lo que sitúa la fecha de inicio probable a mediados de 2026 como muy pronto, pero potencialmente más tarde dependiendo del cronograma de finalización.

Un cambio estructural significativo es la introducción del PSR junto a la PSD3. El PSR será directamente aplicable en todos los estados miembros de la UE, asegurando una implementación uniforme de las reglas operativas como los requisitos de SCA y el acceso al Open Banking. Esto aborda directamente una debilidad de la PSD2, donde su naturaleza como directiva llevó a variaciones en la transposición y aplicación nacional, creando fragmentación. La PSD3, que sigue siendo una directiva, se centrará en la autorización, concesión de licencias y supervisión de las instituciones de pago, permitiendo cierto contexto nacional en la supervisión del mercado. Esta estructura dual representa un enfoque estratégico: buscar una armonización más rápida y consistente en áreas operativas críticas a través del reglamento, mientras se mantiene el formato de directiva para la supervisión institucional donde las especificidades nacionales son más relevantes.

Dadas las complejidades de las negociaciones a tres bandas (trílogos), la posterior necesidad de que la Autoridad Bancaria Europea (ABE) desarrolle Normas Técnicas de Regulación (RTS) y Directrices detalladas, y el tiempo requerido para que la industria se prepare para la implementación, el período de transición de 18 meses comúnmente citado parece ambicioso. Las empresas deberían tener en cuenta posibles retrasos en su planificación, apuntando hacia finales de 2026 o incluso principios de 2027 como fechas de aplicación plausibles.

Una de las clarificaciones más notables en el marco propuesto de la PSD3/PSR es la permisión explícita de la autenticación delegada (DA, por sus siglas en inglés).

La autenticación delegada (DA) se refiere al proceso en el que el proveedor de servicios de pago (PSP) de un ordenante, típicamente el banco que emite el instrumento de pago (p. ej., el emisor de la tarjeta), permite que un tercero realice la Autenticación Reforzada de Cliente (SCA) en su nombre.

El texto original de la propuesta de reglamento (artículo 87 de la propuesta de PSR, énfasis añadido) dice:

Los textos preliminares establecen que los emisores (normalmente los bancos que proporcionan la cuenta de pago) pueden delegar la responsabilidad de aplicar la SCA a ciertos terceros. Se prevé que estos terceros incluyan comerciantes, pasarelas de pago o adquirentes, marketplaces en línea o proveedores de monederos digitales.

Este cambio es significativo porque reconoce formalmente y proporciona una posible vía regulatoria para escenarios en los que alguien que no es la institución que mantiene la cuenta realiza la verificación de autenticación requerida por la SCA. El objetivo declarado detrás de habilitar la DA es fomentar la innovación en la experiencia de autenticación. Al permitir la delegación, la regulación espera empoderar a aquellas entidades que a menudo están más cerca de la interacción con el cliente (como comerciantes o monederos) para construir flujos de autenticación más integrados y con menos fricción que aprovechen las últimas tecnologías, como la biometría o las passkeys, mejorando en última instancia la experiencia del usuario. Ejemplos tempranos, como la implementación de DA de Stripe lanzada antes del borrador de la PSD3, buscaron capturar estos beneficios, reportando tiempos de autenticación más rápidos y un aumento en las tasas de conversión para los emisores participantes.

Sin embargo, las propuestas preliminares introducen una condición crítica: la delegación de la SCA por parte de un emisor a un tercero se clasifica explícitamente como externalización (outsourcing). Esta clasificación no es meramente semántica; tiene un peso regulatorio significativo. Significa que cualquier acuerdo de DA debe cumplir con las estrictas reglas que rigen la externalización por parte de las instituciones financieras, principalmente las Directrices de la ABE sobre Acuerdos de Externalización. Además, los operadores de monederos digitales que verifiquen elementos de la SCA necesitarán acuerdos formales de externalización con los bancos emisores.

Esta etiqueta de "outsourcing" presenta una compleja disyuntiva. Por un lado, permitir explícitamente la DA señala una apertura regulatoria a la innovación y a una potencialmente mejor experiencia de usuario. Por otro lado, someter estos acuerdos a todo el peso de las regulaciones de externalización de servicios financieros introduce una carga de cumplimiento sustancial. El proceso se transforma de una entrega técnica potencialmente simple a la delegación de una función de seguridad central y regulada. Esto desencadena amplios requisitos relacionados con la diligencia debida, especificidades contractuales, gestión de riesgos, monitoreo continuo, derechos de auditoría y, potencialmente, el cumplimiento de la Ley de Resiliencia Operativa Digital (DORA). La carga significativa asociada con estos requisitos de externalización podría frenar la misma innovación que la DA pretende fomentar, especialmente para comerciantes o proveedores de servicios técnicos (TSP) más pequeños que carecen de los recursos para navegar este complejo panorama regulatorio.

La clasificación de la autenticación delegada como "outsourcing" bajo las propuestas de la PSD3/PSR significa que dichos acuerdos caen de lleno en el ámbito de las Directrices de la ABE sobre Acuerdos de Externalización. Estas directrices establecen un marco integral al que deben adherirse las instituciones financieras (incluidos los emisores que delegan la SCA) y, por extensión, los proveedores de servicios técnicos (TSP) que realizan la función delegada.

Estas directrices imponen varias obligaciones clave:

• Diligencia debida: Antes de delegar la SCA, el emisor debe realizar una exhaustiva diligencia debida sobre los proveedores de servicios técnicos (TSP). Esto implica evaluar la reputación comercial, las capacidades técnicas, la estabilidad financiera, la experiencia, los recursos (humanos, de TI), la estructura organizativa y las medidas de seguridad del TSP para garantizar que son adecuados para realizar la función crítica de la SCA.
• Evaluación de riesgos: Es obligatorio realizar un análisis de riesgos exhaustivo antes de entrar y durante todo el acuerdo de externalización. Este debe cubrir los riesgos operativos, legales, de cumplimiento, de concentración (depender demasiado de un TSP) y los riesgos asociados con la subcontratación (cuando el TSP delega a su vez partes de la función). La externalización de funciones consideradas "críticas o importantes" (considerándose implícitamente la SCA como tal, a menos que se exima explícitamente) desencadena requisitos aún más estrictos.
• Requisitos contractuales: Un acuerdo escrito detallado es esencial. Este contrato debe definir claramente el alcance de la función delegada, los roles y responsabilidades, los acuerdos de nivel de servicio, la ley aplicable, las obligaciones financieras, las disposiciones de seguridad de los datos (que cubren la accesibilidad, disponibilidad, integridad, confidencialidad y seguridad), los planes de continuidad del negocio y las cláusulas de rescisión. Críticamente, el acuerdo debe otorgar a la institución delegante y a sus reguladores derechos de acceso y auditoría sin restricciones sobre la función externalizada.
• Monitoreo continuo: El emisor no puede simplemente "delegar y olvidar". Debe monitorear continuamente el rendimiento del TSP en función de las métricas acordadas, evaluar su postura de riesgo continua y revisar sus medidas de seguridad y continuidad del negocio. Confiar únicamente en las certificaciones del TSP es insuficiente.
• Estrategia de salida: Para funciones críticas como la SCA, el emisor debe tener un plan de salida documentado. Este plan debe describir estrategias para terminar el acuerdo, transferir la función a otro TSP o reincorporar la función internamente sin interrumpir el servicio ni comprometer la seguridad o el cumplimiento.
• Riesgo de concentración: Tanto las instituciones delegantes como las autoridades competentes deben monitorear los riesgos de concentración que surgen de múltiples instituciones que dependen del mismo TSP, o de un pequeño número de TSP dominantes, particularmente para funciones críticas.
• No a las "empresas fantasma": Las directrices establecen explícitamente que la externalización no debe llevar a una situación en la que la institución delegante se convierta en una "empresa fantasma" que carezca de la sustancia y la capacidad operativa para seguir autorizada. La responsabilidad última del cumplimiento y la gestión de riesgos recae en el órgano de dirección de la institución delegante.

Añadiendo otra capa de complejidad está la Ley de Resiliencia Operativa Digital (DORA), que establece reglas armonizadas en toda la UE para gestionar los riesgos de las Tecnologías de la Información y la Comunicación (TIC) en el sector financiero. DORA se aplica a partir del 17 de enero de 2025.

DORA es relevante para la DA de varias maneras:

• Aplicabilidad directa: DORA se aplica directamente a las entidades financieras, incluidos los bancos y otros PSP que delegarían la SCA.
• Proveedores críticos de servicios TIC de terceros (CTPP): DORA establece un marco de supervisión para los proveedores de servicios TIC de terceros considerados críticos para el sistema financiero. Los grandes TSP que ofrezcan servicios de DA a gran escala (p. ej., las principales pasarelas de pago, proveedores de monederos, potencialmente proveedores de servicios en la nube involucrados) podrían ser designados como CTPP, lo que los sometería a la supervisión directa de las autoridades de la UE.
• Integración con PSD3/PSR: Las propuestas de PSD3/PSR hacen referencia explícita a DORA, lo que indica que los acuerdos de externalización, incluida la DA, deben cumplir con sus requisitos. Esto significa que los TSP que realicen DA deberán cumplir con los estándares de DORA para la gestión de riesgos de TIC, informes de incidentes, pruebas de resiliencia y gestión de riesgos de terceros, lo que aumenta aún más la carga de cumplimiento.

La interacción entre las Directrices de Externalización de la ABE y DORA crea una densa red de obligaciones de cumplimiento para cualquier TSP que se aventure en la DA. Ofrecer con éxito estos servicios requerirá no solo destreza técnica, sino también una inversión significativa en estructuras de gobernanza, marcos de gestión de riesgos, documentación robusta, preparación para auditorías y una resiliencia operativa demostrable. Este entorno complejo puede favorecer inadvertidamente a los TSP más grandes y establecidos con los recursos y la experiencia para navegar estos exigentes requisitos.

Una consecuencia crucial de la DA bajo el marco propuesto es el cambio en la responsabilidad por transacciones fraudulentas donde la SCA falla.

• Las propuestas preliminares indican que el tercero que realiza la SCA delegada (p. ej., comerciante, pasarela, monedero) se vuelve responsable de los daños financieros resultantes del fraude si no aplican la SCA correctamente. Este es un cambio fundamental con respecto al típico traspaso de responsabilidad bajo 3DS, donde la responsabilidad a menudo se traslada al emisor si la SCA se aplica con éxito.
• Además, el borrador del PSR introduce una posible responsabilidad para los proveedores de servicios técnicos y los operadores de esquemas de pago si un fallo de la SCA es atribuible a sus sistemas o infraestructura. Este punto específico enfrenta una fuerte oposición, especialmente de Mastercard, que argumenta que se basa en conceptos erróneos sobre las responsabilidades de implementación de la SCA.
• Los emisores, aunque potencialmente delegan el proceso de SCA, no quedan completamente absueltos. Siguen siendo responsables de ciertos tipos de fraude, como el "spoofing", donde un estafador se hace pasar por el banco. El Parlamento Europeo incluso ha propuesto ampliar estos derechos de reembolso en casos de fraude de pago autorizado (APP fraud).

Esta responsabilidad directa impuesta a los TSP por fallos de la SCA bajo la DA representa un riesgo financiero significativo. Si bien la promesa de una mejor experiencia de usuario y tasas de conversión es atractiva, el costo potencial del fraude podría actuar como un considerable disuasivo para muchos TSP que contemplan ofrecer servicios de DA. Estrategias sólidas de mitigación de riesgos, que podrían incluir tarifas de servicio más altas o seguros especializados, pueden convertirse en requisitos previos necesarios para la adopción generalizada de la DA por parte de comerciantes y pasarelas.

La autenticación delegada tiene el potencial de remodelar fundamentalmente la experiencia de usuario en los pagos con tarjeta, especialmente en comparación con el proceso tradicional de 3-D Secure (3DS).

Actualmente, el proceso 3DS para los desafíos de SCA generalmente implica una transferencia en la que el cliente interactúa con un elemento controlado por el emisor. Tradicionalmente, esto significaba una redirección completa del navegador desde el sitio web o la aplicación del comerciante al dominio del emisor (p. ej., su aplicación bancaria o una página de autenticación específica). Cada vez más, las versiones más nuevas de 3DS presentan este desafío en línea a través de un iframe incrustado en la página del comerciante. Aunque un iframe evita una salida completa de la página, ambos métodos de redirigir el enfoque del usuario a un paso controlado por el emisor pueden ser discordantes, añadir tiempo al proceso de compra y contribuir al abandono del cliente.

La DA ofrece una vía para eliminar esta fricción del proceso. Al permitir que el comerciante, la pasarela de pago o el monedero digital realicen la SCA directamente en su propio entorno, el paso de autenticación puede integrarse sin problemas en el flujo de compra. Esto promete una experiencia más fluida, rápida y cohesiva para el cliente. Cuando se combina con métodos de autenticación modernos y de baja fricción como la biometría integrada en el dispositivo (Face ID, escáneres de huellas dactilares) o las passkeys, la DA podría reducir significativamente la fricción en el proceso de compra, lo que podría llevar a tasas más bajas de abandono de carritos y mayores tasas de conversión de pagos. Datos del mundo real, como el aumento del 7% en la conversión y una autenticación cuatro veces más rápida reportados por Stripe para transacciones que utilizan su solución de DA con titulares de tarjetas Wise, subrayan este beneficio potencial.

Hacer realidad este potencial requiere un importante trabajo técnico y comercial de base. Implica establecer nuevos puntos de integración y protocolos de comunicación entre comerciantes/pasarelas/monederos y emisores. Los esquemas de pago como Visa y Mastercard juegan un papel importante aquí. Mastercard, por ejemplo, ha desarrollado su Identity Check Express que permite a los comerciantes y a Mastercard autenticar al consumidor en nombre del emisor dentro del flujo del comerciante. De manera similar, Stripe ha construido sus capacidades de DA basadas en acuerdos bilaterales con emisores específicos como Wise.

Estos desarrollos sugieren que la DA es más que una simple actualización regulatoria. Actúa como un impulso para rediseñar los flujos de autenticación de pagos. Mover el punto de autenticación del dominio del emisor de vuelta hacia el entorno del comerciante o del monedero crea oportunidades para decisiones de autenticación más ricas y conscientes del contexto, y experiencias de usuario que son menos disruptivas que el modelo de redirección tradicional. Este cambio arquitectónico necesita la integración de métodos de autenticación modernos como las passkeys directamente en los procesos de compra. Sin embargo, esta transición depende del establecimiento de medidas de seguridad robustas, una asignación clara de responsabilidades (como se discutió anteriormente) y marcos de confianza, probablemente regidos por una combinación de reglas de esquemas, acuerdos bilaterales y el cumplimiento de las estrictas regulaciones de externalización y DORA.

Aunque las propuestas de la PSD3/PSR establecen las bases legislativas, la forma final de la autenticación delegada estará significativamente influenciada por el diálogo y el lobbying continuo de los principales actores de la industria. Bancos, PSP, proveedores de tecnología y comerciantes están interpretando activamente estos borradores y abogando por cambios que se alineen con sus modelos de negocio y objetivos estratégicos. Muchos esfuerzos de lobbying en la UE son accesibles a través del Registro de Lobbies de Alemania (nota: este registro está principalmente en alemán, y muchos de los documentos presentados también se enviaron a otros organismos de la Unión Europea). El siguiente análisis se basa en los resúmenes y documentos disponibles de estas presentaciones públicas.

Como uno de los principales proveedores de infraestructura de pagos, Stripe ve una oportunidad significativa en la DA. La consideran una herramienta crucial para mejorar las tasas de conversión de pagos y la experiencia de compra del cliente al reducir la fricción. Stripe ha lanzado proactivamente su propia solución de DA, basada en acuerdos bilaterales con emisores como Wise, demostrando su compromiso con este modelo incluso antes de que la PSD3/PSR se finalice. Sus esfuerzos de lobbying parecen centrarse en garantizar que el entorno regulatorio apoye la innovación y minimice las cargas. Las áreas clave incluyen abogar por procesos de reautorización simplificados para las entidades con licencia existentes bajo la PSD3, buscar una mayor claridad y flexibilidad con respecto a las exenciones de SCA (como los umbrales de Análisis de Riesgo de Transacción (TRA) y las Transacciones Iniciadas por el Comerciante (MIT)), asegurar que las plataformas que utilizan soluciones como Stripe Connect no se vean innecesariamente cargadas con requisitos de licencia de agente, y presionar por el acceso directo a los sistemas de pago para los PSP no bancarios.

PayPal, una importante institución de dinero electrónico y proveedor de monederos, es un firme defensor de un enfoque de la SCA basado en resultados. Argumentan que las regulaciones deberían priorizar la eficacia de seguridad demostrable de un método de autenticación —particularmente su resistencia a amenazas modernas como el phishing— en lugar de adherirse estrictamente a las categorías de factores tradicionales de Conocimiento/Posesión/Inherencia definidas en la PSD2. Destacan el éxito de su implementación de passkeys, que redujo significativamente el fraude mientras mejoraba el éxito en el inicio de sesión. En consecuencia, PayPal insta a los legisladores que diseñan el PSR a centrarse en la fortaleza general de las soluciones de autenticación, permitir combinaciones de factores fuertes incluso si son de la misma categoría (p. ej., dos factores de posesión), equilibrar la seguridad con la usabilidad y evitar mandatos tecnológicos demasiado prescriptivos.

Mastercard se opone firmemente a la clasificación amplia de toda la DA como externalización en el borrador. Argumentan, junto con otros grupos de la industria, que solo los modelos de autenticación donde el emisor carece de control sobre el proceso de SCA deberían estar sujetos al rigor completo de los requisitos de externalización. Su posición de lobbying refleja esto: buscan una clarificación de que la DA no es una externalización "crítica", abogan por acuerdos de externalización escalables o multilaterales para facilitar la adopción de la DA, y quieren que se elimine por completo la responsabilidad propuesta para los esquemas y los TSP relacionada con los fallos de la SCA. Además, Mastercard presiona para que se exija a los comerciantes que envíen información adicional, como datos de comportamiento y ambientales, a los emisores para mejorar la evaluación de riesgos, solicita que se permita explícitamente a los TSP procesar datos biométricos sin el consentimiento explícito del usuario específicamente para fines de SCA, y sugiere ajustar las exenciones de SCA para casos de uso específicos de bajo riesgo.

Las asociaciones comerciales y los organismos de la industria se hacen eco en gran medida de las preocupaciones planteadas por los principales actores. Payments Europe, por ejemplo, refleja la postura de Mastercard sobre la definición de externalización, enfatizando que solo los escenarios donde el emisor pierde el control deberían activar las reglas de externalización. Bitkom, que representa a la industria digital, también pide claridad sobre este punto y aboga por la regulación explícita de la biometría conductual para la SCA. Estos grupos insisten constantemente en la necesidad de neutralidad tecnológica y flexibilidad dentro del marco de la SCA para fomentar la innovación y evitar la exclusión digital. CCIA Europe plantea preocupaciones prácticas sobre la viabilidad de implementar los amplios derechos de los emisores para auditar y controlar las disposiciones de seguridad de los TSP en los acuerdos de DA.

Tabla: Posiciones clave de la industria sobre la autenticación delegada y la SCA bajo la PSD3/PSR

La fuerte y coordinada oposición al enfoque actual de la propuesta subraya una tensión fundamental. La industria desea los beneficios de experiencia de usuario e innovación que potencialmente ofrece la DA, pero busca evitar las significativas cargas de cumplimiento asociadas con la externalización regulada bajo las Directrices de la ABE. Su alternativa propuesta —definir la externalización basándose en si el emisor retiene el control— tiene como objetivo crear un espacio para la DA que sea menos intensivo desde el punto de vista regulatorio. La resolución de este debate durante las discusiones legislativas será crucial para determinar la viabilidad práctica y el atractivo de la DA para muchos TSP.

A pesar de esta incertidumbre regulatoria, actores líderes como Stripe y Mastercard no están esperando. Están desarrollando y desplegando activamente soluciones de DA ahora, utilizando marcos existentes como acuerdos bilaterales y reglas de esquemas, a menudo incorporando tecnologías avanzadas como la biometría y los estándares FIDO. Esta estrategia proactiva les permite capturar una cuota de mercado temprana, demostrar la viabilidad técnica de la DA, potencialmente dar forma a los estándares emergentes y preparar a sus clientes para el panorama futuro. Este enfoque no está impulsado únicamente por la mejora de la experiencia del consumidor; también sirve para vincular a los clientes más estrechamente con el proveedor de pagos en lugar del emisor, todo mientras se navegan los riesgos inherentes de un entorno regulatorio en evolución y los cambios de responsabilidad asociados. A medida que la industria explora estos nuevos modelos de DA, el papel de las tecnologías de autenticación avanzadas como las passkeys se vuelve cada vez más central para lograr tanto los objetivos de seguridad como los de experiencia de usuario.

Las passkeys, basadas en el estándar WebAuthn de la FIDO Alliance, representan un avance importante en la tecnología de autenticación, y esta sección discutirá cómo podrían ayudar a cerrar la brecha para la Autenticación Reforzada de Cliente (SCA) en un contexto de autenticación delegada (DA).

La principal fortaleza de las passkeys es el uso de criptografía de clave pública para crear credenciales únicas para cada sitio web o aplicación. Este mecanismo las hace inherentemente resistentes a los ataques de phishing, ya que la credencial solo funciona en el sitio legítimo para el que fue creada, y se basa en el desbloqueo seguro del dispositivo (a menudo mediante biometría) en lugar de secretos compartidos como las contraseñas. Esta combinación ofrece el potencial tanto de una seguridad mejorada como de una experiencia de usuario más fluida.

Desde un punto de vista técnico, las passkeys parecen ideales para los escenarios de autenticación delegada. En un flujo de DA, un comerciante o una pasarela que realiza la SCA podría solicitar al usuario que se autentique usando una passkey almacenada en su dispositivo (teléfono, ordenador). Esta autenticación ocurre directamente dentro del entorno del comerciante o del TSP, aprovechando las capacidades biométricas integradas del dispositivo (como Face ID o escaneo de huellas dactilares) para la verificación, eliminando así la necesidad de redirecciones o engorrosos códigos de un solo uso (OTP). Esto se alinea perfectamente con el objetivo de la DA de crear procesos de compra más fluidos y seguros. Pero echemos un vistazo a cómo un emisor podría controlar y verificar una autenticación de terceros con passkeys.

Sin embargo, integrar las passkeys en el mundo regulado de la SCA, especialmente bajo la DA, se enfrenta a desafíos. La rígida categorización de tres factores (Conocimiento, Posesión, Inherencia) de la PSD2 creó ambigüedad sobre cómo encajan las passkeys, particularmente en lo que respecta al elemento de "Posesión" y la independencia de los factores cuando la biometría desbloquea el dispositivo que contiene la passkey. La aparición de las passkeys sincronizadas (que pueden estar disponibles en múltiples dispositivos) complica aún más esta clasificación.

Aunque la PSD3/PSR introduce cierta flexibilidad al aclarar que los factores de autenticación solo necesitan ser independientes (la vulneración de uno no afecta al otro) en lugar de pertenecer necesariamente a diferentes categorías, como se establece explícitamente en la propuesta de reglamento:

Esto no resuelve completamente la ambigüedad de la clasificación ni proporciona un respaldo explícito para que las passkeys sincronizadas cumplan con la SCA. Esta incertidumbre regulatoria refuerza los argumentos de actores como PayPal, que abogan por un enfoque de la SCA basado en resultados, centrándose en los resultados de seguridad probados (como la resistencia al phishing) que ofrecen métodos como las passkeys, en lugar de forzarlos a entrar en cajas categóricas potencialmente obsoletas. (Para un análisis más profundo de la SCA basada en resultados y las passkeys, consulte nuestro análisis de la SCA basada en resultados)

Dado el uso generalizado de las passkeys sincronizadas por parte de usuarios y comerciantes, y las limitaciones del SPC, el marco de la PSD3/PSR debería aspirar a crear una vía clara para aprovechar estas relaciones de passkeys existentes dentro de la autenticación delegada. Este enfoque se centraría en la seguridad práctica y basada en resultados en lugar de estar limitado por implementaciones técnicas específicas concebidas antes de la maduración de las passkeys sincronizadas. Para lograr esto, son necesarios varios desarrollos clave, centrados en ajustes regulatorios, mecanismos de confianza operativa y la evolución de los estándares de la industria. Un modelo de DA preparado para el futuro que aproveche las passkeys sincronizadas podría implicar varios desarrollos clave que discutiremos a continuación.

La generalización efectiva de las passkeys sincronizadas en la DA comienza con una clara Habilitación y Mandatos Regulatorios bajo la PSD3/PSR. Esto implica las siguientes consideraciones clave:

• Respaldo explícito de las passkeys sincronizadas para la DA: La PSD3/PSR debería aclarar explícitamente que las passkeys sincronizadas, cuando se usan apropiadamente, pueden cumplir con los requisitos de la SCA en un contexto de DA. El enfoque debería estar en el vínculo criptográfico verificable, la resistencia al phishing lograda y la independencia del proceso de autenticación, en lugar de una adhesión rígida a las categorizaciones de factores de SCA previas a las passkeys.
• Mandato de datos de autenticación enriquecidos: En línea con las solicitudes de la industria (como las de Mastercard), la regulación debería exigir que los TSP que realizan DA incluyan datos de autenticación completos y estandarizados (p. ej., detalles de la autenticación con passkey, elementos relevantes de la aserción FIDO y señales de riesgo contextuales) dentro de la información de la transacción de pago enviada a las redes de pago y a los emisores. Esto se basa en mecanismos existentes como el campo threeDSRequestorAuthenticationInfo utilizado en EMV 3DS para los datos FIDO del comerciante 1.

Más allá de la claridad regulatoria, la Operacionalización de la Confianza con Passkeys en Poder del Comerciante es crucial para una adopción generalizada. Esto requiere sistemas y procesos robustos para:

• Verificación por parte del emisor de la DA iniciada por el comerciante: Los emisores necesitarían sistemas robustos para recibir y verificar criptográficamente las aserciónes de autenticación generadas a partir de las passkeys. Crucialmente, en muchos escenarios de DA, la passkey utilizada podría ser una que el usuario ya ha creado con el comerciante para acceder a los propios servicios del comerciante.
• Desafío dinámico y control del emisor: Para mantener el control del emisor y asegurar el enlace dinámico, una transacción de DA podría funcionar de la siguiente manera:
  • El emisor (o la red de pago en su nombre) proporciona un desafío único y específico de la transacción al TSP (comerciante/pasarela).
  • El TSP solicita al usuario que autorice la transacción firmando este desafío (más los datos críticos de la transacción) utilizando su passkey sincronizada existente registrada con el comerciante.
  • La aserción firmada se devuelve al emisor para su verificación.
• Transferencia condicional de DA: Una autenticación inicial más fuerte directamente con el emisor (quizás usando una passkey registrada por el emisor o un flujo de desafío 3DS robusto) podría establecer una relación de confianza para una passkey de comerciante específica. Las transacciones de DA posteriores que utilicen esa misma passkey de comerciante verificada podrían proceder con el modelo de desafío dinámico descrito anteriormente, ofreciendo una experiencia de usuario más fluida siempre que la passkey siga siendo válida y se cumplan los parámetros de riesgo.

Finalmente, el éxito a largo plazo de la DA basada en passkeys dependerá de la Evolución de los Estándares y un cambio firme hacia una Perspectiva de SCA Basada en Resultados. Esto implica:

• Papel de los organismos de la industria: Organizaciones como la FIDO Alliance (incluidos sus grupos de trabajo centrados en pagos) y EMVCo son cruciales para desarrollar y estandarizar los protocolos y las señales de confianza necesarios para soportar dichos modelos de DA de forma segura y escalable. Esto incluye definir cómo las aserciónes de autenticación de las passkeys en poder del comerciante pueden ser presentadas y verificadas de manera fiable por los emisores en un contexto de DA.
• Más allá de las definiciones rígidas de la SCA: El objetivo final debería ser la transición hacia un enfoque de la SCA basado en resultados. Si un método de DA que utiliza passkeys sincronizadas (incluso aquellas creadas con el comerciante) puede proporcionar de manera demostrable una autenticación multifactorial resistente al phishing que esté vinculada dinámicamente a la transacción, debería considerarse conforme. Esto prioriza el resultado de seguridad real sobre la adhesión a interpretaciones tradicionales, y a veces obsoletas, de los elementos de la SCA, fomentando así la innovación y aprovechando tecnologías ya familiares para los usuarios.

Esta evolución permitiría al ecosistema de pagos capitalizar la significativa inversión y adopción existentes de las passkeys sincronizadas tanto por parte de los usuarios como de los comerciantes, creando un camino para una autenticación delegada más segura, fluida y ampliamente accesible.

El diagrama de secuencia anterior ilustra un futuro potencial para la autenticación delegada (DA) aprovechando las passkeys dentro del ecosistema de pagos. Describe un flujo simplificado donde los comerciantes, usando passkeys, podrían realizar la Autenticación Reforzada de Cliente (SCA) en nombre de los emisores. Esta visión se alinea con la dirección de la PSD3/PSR y la creciente adopción de la tecnología de passkeys.

Prueba de realidad: Sin embargo, este futuro imaginado aún no es el estándar actual. Se deben abordar varios desafíos prácticos para una adopción generalizada. Los marcos regulatorios, particularmente bajo la próxima PSD3/PSR, necesitan aclarar completamente cómo las passkeys sincronizadas encajan en la Autenticación Reforzada de Cliente y cómo se gestionará la responsabilidad en los escenarios de autenticación delegada. Los estándares técnicos esenciales, incluidos aquellos para que los emisores verifiquen las passkeys en poder de los comerciantes y para garantizar un enlace dinámico de transacciones consistente en todas las plataformas, aún están madurando. Construir una amplia confianza de los emisores en los procesos de autenticación liderados por los comerciantes también es un paso crítico. Además, garantizar una experiencia de usuario fluida, gestionar potencialmente múltiples passkeys por usuario y lograr un soporte universal de navegadores/plataformas para todas las funcionalidades específicas de pago requeridas siguen siendo esfuerzos continuos. Finalmente, abordar cualquier percepción de seguridad persistente en torno a los ecosistemas de passkeys sincronizadas y la fiabilidad de la atestación será importante para generar plena confianza.

A pesar de estos obstáculos —muchos de los cuales son específicos de la legislación europea sobre SCA que, es importante recordar, solo se aplica en Europa— la tecnología subyacente para un sistema de este tipo ya está en gran medida implementada. Esto se evidencia por la realidad actual: la adopción generalizada de passkeys por parte de grandes actores fuera de la UE, como PayPal, y el uso extensivo por parte de numerosos bancos de EE. UU. (incluidos los que utilizan Banno de Jack Henry y muchos otros). Por lo tanto, el flujo representado es técnicamente factible y capitalizaría este fuerte impulso existente de adopción de passkeys por parte de usuarios y comerciantes, en lugar de ir en su contra. Este enfoque podría allanar el camino para experiencias de pago más seguras y fluidas a nivel mundial.

La propuesta de PSD3 y PSR representa una evolución significativa en el marco regulatorio de pagos de la UE, con el objetivo de construir sobre los cimientos de la PSD2 mientras se abordan sus limitaciones y se adapta a un mercado en rápida digitalización.

Un desarrollo clave es la habilitación explícita de la autenticación delegada (DA), que permite a terceros como comerciantes y monederos realizar la Autenticación Reforzada de Cliente (SCA) en nombre de los bancos emisores. Sin embargo, esta habilitación viene con una advertencia crucial dentro de la UE: la clasificación de la DA como "outsourcing". Esto desencadena una compleja red de obligaciones de cumplimiento bajo las Directrices de la ABE sobre Acuerdos de Externalización y la Ley de Resiliencia Operativa Digital (DORA). Además, las propuestas trasladan la responsabilidad por una SCA fallida directamente a la entidad que realiza la autenticación delegada.

Esto crea una tensión fundamental, particularmente en el contexto europeo. Por un lado, está el impulso regulatorio por una mayor seguridad, control y resiliencia, manifestado a través de estrictos requisitos de externalización y resiliencia operativa. Por otro lado, está el fuerte deseo de la industria por la innovación, la flexibilidad y la mejora de las experiencias de usuario, que la DA, especialmente cuando se combina con métodos modernos como las passkeys, promete ofrecer. Los intensos esfuerzos de lobbying en torno a la definición de "outsourcing" para fines de DA resaltan este conflicto. Es notable que, si bien estos obstáculos regulatorios específicos son prominentes en la UE, la tecnología de passkeys subyacente está experimentando una sólida adopción global y una implementación exitosa en otros mercados con paisajes regulatorios diferentes.

La tasa de adopción futura y el impacto de la autenticación delegada, especialmente dentro de la UE, dependen críticamente de los detalles finales del proceso legislativo, en particular en lo que respecta al alcance de las reglas de externalización, la asignación de responsabilidad y, crucialmente, el reconocimiento explícito de las passkeys sincronizadas como un mecanismo compatible con la SCA dentro de la DA. La capacidad de la industria para establecer marcos de confianza prácticos y escalables entre los emisores y los TSP que realizan la autenticación también será primordial.

Las passkeys, en particular las passkeys sincronizadas, están intrínsecamente alineadas con los objetivos de la DA, ofreciendo una robusta resistencia al phishing y el potencial de experiencias de usuario fluidas y basadas en biometría. Representan una alternativa convincente a las contraseñas tradicionales y los OTP. El desafío no radica en la viabilidad técnica de usar passkeys para la DA —como lo demuestra su exitosa adopción global para diversos fines de autenticación— sino en navegar los requisitos regulatorios específicos de la UE y establecer criterios claros y basados en resultados para su aceptación bajo la SCA. Un enfoque que priorice los resultados de seguridad demostrables de las autenticaciones con passkeys (p. ej., verificabilidad criptográfica, resistencia al phishing, enlace dinámico) sobre la adhesión rígida a las categorizaciones de factores tradicionales será esencial para desbloquear todo su potencial en la DA.

Para las empresas que operan en el ecosistema de pagos europeo, los próximos años requieren un seguimiento cuidadoso de la finalización de la PSD3, el PSR y los estándares técnicos asociados de la ABE. Las organizaciones deben evaluar proactivamente cómo la autenticación delegada, impulsada por el ecosistema de passkeys en maduración, podría remodelar sus estrategias de pago y autenticación. Esto implica no solo evaluar el potencial de tecnologías como las passkeys sincronizadas, sino también prepararse para los cambios operativos y de cumplimiento necesarios para construir una confianza verificable con los socios en los acuerdos de DA.

Para los proveedores de soluciones de autenticación, la oportunidad radica en desarrollar ofertas que sean seguras, fáciles de usar y diseñadas para ayudar a los clientes (TSP) a cumplir con los exigentes requisitos de cumplimiento de la DA dentro del panorama de la PSD3/PSR. Esto incluye facilitar el intercambio seguro de datos de autenticación y apoyar mecanismos que permitan a los emisores verificar con confianza las transacciones de DA realizadas con passkeys en poder del comerciante, fomentando en última instancia las experiencias de pago seguras y fluidas que la PSD3/PSR busca lograr aprovechando el impulso global de la tecnología de passkeys.