Una mañana de invierno en Londres, un amigo me ofreció comprar un café en una conocida cafetería utilizando su app. Cuando ésta le pidió la contraseña, se dio cuenta de que se la habían cambiado y accedido a los datos de su tarjeta para hacer compras por Internet. El hecho de que la app no tuviese restricciones en el número de tentativas de la contraseña hizo que copiasen toda la información de su teléfono. Es solo un ejemplo, de los muchos que suceden a diario, en el uso de aplicaciones y plataformas de pago. Hoy en día, la industria de pagos pasa por un proceso de transformación sin precedentes con una clara estrategia enfocada al usuario (el antiguo cliente) y su experiencia, que también debe contemplar el ámbito de la seguridad.
El mercado favorece una experiencia de usuario más universal, más sencilla y "conveniente". La palabra "conveniencia", que ha nacido en otros sectores digitales, ha llegado a la banca y viene para romper paradigmas. El usuario demanda cada vez más "conveniencia" (comodidad) y rapidez a la hora de realizar una transacción. Y la clave para el crecimiento sostenido de pagos en la banca digital pasa por encontrar el balance entre la necesidad de realizar una transacción de manera sencilla y sin barreras, pero con seguridad.
La innovación en métodos de pago siempre se ha orientado hacia una alternativa rápida y sencilla de reemplazar el metálico: tarjetas, cheques, mobile payments. Aquí el principal elemento de incentivo al cambio ha sido siempre "la conveniencia" (comodidad).
Los agentes del cambio, en este caso los bancos digitales, conducen al usuario a cambiar sus hábitos a través de una mejor experiencia, ofreciendo comodidad, aumentando el engagement del usuario y midiendo y produciendo nuevas herramientas para la gestión del riesgo y para mejorar los procesos de concesión de créditos, usando para ello todos los datos de los usuarios que tienen a su alcance y las herramientas de Big Data Analytics que la tecnología pone a su disposición.
La seguridad es condición sine qua non para el éxito de este proceso de cambio, pero siempre facilitando la adopción masiva de dicho cambio por parte de los usuarios. Los expertos hacen hincapié en que la sencillez y rapidez del interfaz son requisitos necesarios para que las innovaciones en este espacio tengan su aceptación en masa. El timing para esta adopción empezó con el pago a través del operador (Carrier Billing) a principios de este siglo. Rápidamente se vio su aceptación masiva por parte de los usuarios debido a la comodidad del método de pago. Eso sí, en este caso el riesgo era "compartido" entre el operador móvil y el usuario.
En el contexto actual, "conveniencia" también implica asumir ciertos riesgos derivados de vulnerabilidad y exposición. Las vulnerabilidades pueden surgir por el uso de wifis públicas, métodos de autenticación débiles, descarga de apps con malware incrustado, uso de métodos débiles para acceder al teléfono (no usar contraseña), no contar con un antivirus instalado... ¡Fijémonos en que la mayoría surgen de la adopción de malas prácticas!
El mercado está desarrollando nuevos métodos de pago (paypal, SamsungPay, Applepay, etc.) que agilizan y facilitan el abono de las operaciones. Destaca el pago mediante la huella digital del usuario, donde la autorización de un pago se valida con el diseño de la huella grabado en el móvil, sin chequeo previo contra un servidor. Aunque estos nuevos métodos cada vez son más seguros, los usuarios también deben hacer un buen uso de ellos.
La EBA (European Banking Authority), en la implementación de la directiva de pagos PSD2, ha sido encomendada para desarrollar nuevos estándares de autenticación digitales de forma que "la seguridad" tenga el mismo peso que "la conveniencia". Así, el usuario no se verá ya en el dilema de elegir entre seguridad vs. "conveniencia". No obstante, las entidades financieras deben trabajar paralelamente para desarrollar métodos cada vez más seguros, que se ajusten a esta nueva normativa, que continúen velando por la seguridad de las operaciones que realicen los usuarios.
¿Podemos entonces crear un entorno más seguro para nuestros usuarios? Por supuesto que sí. Observándoles cómo interactúan con nuestros productos y servicios, podremos aprender de ellos y entenderles mejor. Así, anticiparemos mejor los puntos débiles (blindspots) en los procesos de autenticación y validación que nos permitirán mejorar la arquitectura de las apps de pago. El dato es siempre propiedad de nuestro usuario, pero compete al sistema financiero y de pagos, asegurarle que dispone de información y herramientas para poder tomar una decisión informada sobre cuándo la "conveniencia" le pueda salir cara. Este camino hay que hacerlo juntos.
Entidades
