La forma de comprar ha canviat. Milions de persones compren a tot el món cada minut. Pagar qualsevol cosa amb targeta o mòbil, és normal. Ara més que mai, la seguretat és fonamental.
Per això entra en vigor la normativa europea de pagaments, que posa en marxa l'Autenticació Reforçada de Clients, un sistema de seguretat per als teus clients basat en 3 pilars:
Com el seu pin
Com el seu mòbil o targeta
Com la seva empremta o reconeixement facial
L'economia digital creix, i la forma de comprar també: telèfons mòbils, ordinadors, tablets i fins i tot assistents de veu, s'utilitzen cada dia per a comprar. A causa del volum creixent d'aquestes compres, necessitem verificar que el titular de la targeta realment és qui diu ser. La Directiva de Serveis de Pagament 2 (PSD2) té com a objectiu, entre altres qüestions, millorar la seguretat en transaccions presencials i els pagaments online través de l'Autenticació Reforçada de Clients.
En primer lloc, revisar els teus TPV, tant físics com virtuals. Si tots els teus TPV són segurs (3DS), és a dir, els TPV físics accepten xip i PIN i els TPV virtuals processen totes les transaccions com a "comerç electrònic segur", no et preocupis, no has de fer res.
Si tots o algun dels teus TPV no són segurs, has de posar-te en contacte amb nosaltres sense demora i t'oferirem solucions que et permetin continuar operant amb la millor experiència de pagament dels teus clients.
1. Introducció
"PSD2" és l'acrònim utilitzat per a denominar a la segona Directiva (UE) 2015/2366, de 25 de novembre, de serveis de pagament.
Aquesta directiva és la regulació europea que recull el marc normatiu que aplica als pagaments electrònics a Europa.
La PSD2 regula l'execució de pagaments electrònics en tots els països de la Unió Europea, així com els drets i obligacions dels usuaris de serveis de pagament enfront dels seus "proveïdors de serveis de pagament" (bancs, entitats de diners electrònics, etc) així com les relacions entre aquests proveïdors.
A més, aquesta directiva tracta d'adaptar la normativa als canvis experimentats en el panorama dels pagaments i regular l'aparició de nous serveis de pagaments electrònics. En aquest sentit, els tres objectius principals de la PSD2 són:
1. Augmentar la protecció dels consumidors i la transparència.
2. Promoure la competència i la innovació.
3. Augmentar la seguretat dels pagaments electrònics.
La PSD2 va entrar en vigor al gener de 2016 i resulta d'aplicació des de gener de 2018. No obstant això, algunes de les seves disposicions, com les relatives a l'autenticació reforçada de clients, entraran en vigor el 14 de setembre de 2019.
2.Aspectes clau de la psd2
1.Requisits de seguretat més estrictes en els pagaments electrònics (autenticació reforçada del client).
La PSD2 ha fet de la seguretat en els pagaments electrònics un dels seus eixos vertebradors. La norma prescriu l'aplicació obligatòria de mesures i procediments de seguretat específics en les operacions de pagament electròniques, i especialment, en les quals tenen lloc a distància. Aquestes mesures i procediments s'articulen entorn del concepte de “autenticació reforçada del client "SCA", per les seves sigles en anglès). Quant a la seguretat en les operacions de pagament, la PSD2 se centra especialment en les transaccions de caràcter remot realitzades a través d'Internet. Aquest èmfasi és una conseqüència directa del notable increment que aquestes transaccions,especialment les realitzades per dispositius mòbils, han experimentat en els últims anys, impulsades per l'auge del comerç electrònic. El requisit de realitzar autenticació reforçada del client quan s'inicia una transacció de pagament electrònic, consisteix en l'obligació dels proveïdors de serveis de pagament (PSPs) que emeten instruments de pagament, d'autenticar la identitat de l'ordenant, basant-se en l'ús de dos elements de seguretat independents (factors d'autenticació) cada vegada que aquest realitzi un pagament en un comerç físic o electrónico.la autenticació reforçada del client es basa en l'ús combinat de dos dels següents tipus de factors d'autenticació:
Alguna cosa que únicament l'ordenant coneix, per exemple, el PIN de la seva targeta.
Alguna cosa que únicament l'ordenant posseeix,per exemple, una targeta, un telèfon.
Alguna cosa que ordenant és, per exemple, un tret biomètric com l'empremta digital, l'iris.
D'aquesta manera, el PSP emissor de l'instrument de pagament pot estar segur que l'ordenant és qui diu ser. No obstant l'anterior, existeixen una sèrie d'exempcions i excepcions legals que permeten no haver de demanar els dos factors d'autenticació sempre, la qual cosa beneficia l'experiència de l'usuari sense reduir la seguretat del pagament. D'una banda, hi ha diversos tipus de pagaments que, per la seva pròpia naturalesa, la PSD2 els exclou del requisit de sol·licitar autenticació reforçada.
Es tracta de: pagaments iniciats per correu postal o per telèfon; pagaments de productes o serveis quan existeixi un acord entre el comerç i el titular que permeti al comerç realitzar els càrrecs sense que el titular hagi de realitzar una acció anterior que el desencadeni (per exemple, pagament de subscripcions, de subministraments etc.), i els pagaments amb targetes prepagament anònimes.
A més, el requisit de SCA només aplica quan tant el PSP de l'ordenant, com el PSP del comerç estan en l'Espai Econòmic Europeu (EEE) pel que els pagaments amb targetes emeses fora del EEE no estan sotmesos a SCA.
D'altra banda, es preveuen una sèrie de situacions en les quals es permet que els PSPs emissors d'instruments de pagament no apliquin SCA, per considerar-se de menor risc. Aquestes situacions són:
Els nous requisits de SCA, lligats als supòsits d'exempcions i excepcions a la seva aplicació, suposen un canvi en la forma en què els usuaris de serveis de pagament van a realitzen les seves compres.
Així, en els pagaments presencials amb targeta física, l'ús de targetes EMV xip i la introducció del PIN, serà suficient per a complir els requisits d'autenticació reforçada, en existir un factor de possessió (la targeta EMV) i un factor de coneixement (el PIN), però és possible que l'usuari de serveis de pagament noti que se li sol·licita el PIN amb major freqüència, fins i tot en pagaments de baix import, ja que a partir d'ara, a més de l'import de l'operació, es tindrà en compte per a sol·licitar o no el PIN, el nombre de pagaments que es realitzin amb un mateix instrument de pagament, o la suma dels seus imports fins a un límit.
En els pagaments per Internet, el canvi en la forma de pagament es notarà una mica més, perquè els ordenants ja no podran realitzar pagaments online introduint únicament la informació impresa de les seves targetes (número de targeta, data de caducitat i codi de seguretat). En el seu lloc, hauran de, per exemple, verificar la seva identitat introduint durant el procés de pagament un codi addicional que rebran en el seu mòbil o mitjançant l'aplicació bancària que estigui connectada al seu telèfon i que requereixi una contrasenya o empremta dactilar per a aprovar una transacció, o amb el mateix PIN de la targeta utilitzat en l'operativa presencial.
No obstant l'anterior, cal destacar, que si bé l'autenticació reforçada de clients entrarà en vigor el 14 de setembre de 2019, existeix una moratòria per a l'aplicació de SCA en els pagaments per internet, per la qual cosa de moment en aquest tipus d'operacions els usuaris de serveis de pagament no notaran canvis.
2. Nous serveis de pagament basats en l'accés als comptes per tercers.
Una altra de les novetats fonamentals de la PSD2, és l'obligació per als bancs de permetre l'accés als comptes dels seus clients a tercers proveïdors de serveis de pagament perquè aquests puguin prestar determinats serveis de pagament. Els serveis basats en l'accés als comptes bancaris per tercers, es coneixen com a serveis de "Open Banking"
L'objectiu d'aquesta nova obligació és, segons la PSD2, fomentar la competència i la innovació. Així, la PSD2 obliga fonamentalment als bancs, a concedir a tercers ("Proveïdors de Serveis de Pagament a Tercers" o "TPP") accés als comptes dels seus clients, perquè puguin prestar dos tipus de serveis: iniciació de pagaments i informació sobre comptes.
3. Es reforcen els drets dels consumidors
La PSD2 inclou una sèrie de disposicions que atorguen una major protecció als consumidors. En aquest sentit, la PSD2 augmenta els requisits d'informació precontractual que els proveïdors de serveis de pagament han de proporcionar als usuaris finals, especialment en relació amb les comissions aplicables.
A més, la PSD2 també impedeix que els comerços minoristes europeus demanin als consumidors europeus despeses addicionals en funció del mitjà de pagament utilitzat en la transacció (l'anomenat "recàrrec", que a Espanya ja estava prohibit per a les targetes dels consumidors) o que els comerços minoristes cobrin quantitats a les quals el client no ha donat el seu consentiment específic.
Així mateix, la PSD2 redueix la responsabilitat de l'usuari en pagaments no autoritzats. Excepte en cas de frau o negligència greu, l'import màxim que un usuari de serveis de pagament podria veure's obligat a desemborsar de realitzar-se una operació de pagament no autoritzada descendeix de 150 a 50€.
Finalment, es prohibeixen els mètodes de fixació de preus no transparents i es preveu la creació d'una figura competent a nivell nacional per a manejar les queixes dels serveis de pagament de particulars i de les associacions de consumidors.
L'Autenticació Reforçada de Clients, també coneguda com “Strong Customer Authentication” o “SCA” per les seves sigles en anglès, suposa l'aplicació de noves mesures de seguretat que faran que els pagaments amb targeta siguin encara més segurs, ja que serà la forma en la qual les entitats Emissores identificaran als titulars de les targetes quan ordenin pagaments en comerços presencials o per internet.
Aquestes noves mesures de seguretat s'han introduït a través de la nova Directiva de Serveis de Pagament, també coneguda com PSD2, una norma que hem de complir tots els proveïdors de serveis de pagament (com els bancs) que estiguem dins de l'Espai Econòmic Europeu.
L'autenticació reforçada suposa que els titulars de targetes hauran d'identificar-se davant l'entitat Emissora de la seva targeta utilitzant almenys dos factors d'autenticació quan realitzin determinats pagaments electrònics. Així, l'entitat Emissora demanarà al titular 2 dels següents 3 tipus de factors d'autenticació:
Aquests nous requisits tenen menor impacte en els pagaments amb targeta presencials, gràcies a les targetes amb xip i PIN. En aquests casos, ja es compleixen els requisits d'autenticació reforçada ja que existeix un factor de possessió (la targeta) i un factor de coneixement (el codi PIN), i l'única cosa que notarà el titular quan compri és que el terminal li demanarà que introdueixi la seva PIN amb més freqüència, fins i tot encara que es tracti d'imports inferiors a 20€.
En els pagaments en comerç electrònic l'impacte serà major, perquè els titulars de targetes ja no podran realitzar pagaments online utilitzant la informació impresa de les seves targetes (número de targeta, data de caducitat i codi de seguretat). En el seu lloc, l'entitat Emissora li demanarà 2 dels 3 possibles tipus de factors d'autenticació esmentats anteriorment, que en la majoria dels casos, serà una clau OTP que rebrà en el seu mòbil per SMS i una mica més, que dependrà del perfil més o menys tecnològic del titular.
Tot això haurà d'efectuar-se a través d'un protocol segur, per la qual cosa els comerços que no ho siguin, hauran de migrar a 3DSecure.
No, existeixen una sèrie d'exempcions i excepcions legals que permeten no haver de demanar els dos factors d'autenticació sempre, la qual cosa beneficia l'experiència de l'usuari sense reduir la seguretat del pagament.
D'una banda, hi ha diversos tipus de pagaments que, per la seva pròpia naturalesa, la PSD2 els exclou del requisit de sol·licitar autenticació reforçada. Es tracta, de pagaments iniciats per correu postal o per telèfon, els pagaments de productes o serveis quan existeixi un acord entre el comerç i el titular que permeti al comerç realitzar els càrrecs sense que el titular hagi de realitzar una acció anterior que el desencadeni (per exemple, pagament de subscripcions, de subministraments etc.), i els pagaments amb targetes prepagament anònimes.
A més el requisit de SCA només aplica quan l'emissor i l'adquirent estan en algun dels països de l'Espai Econòmic Europeu (EEE), per la qual cosa els pagaments amb targetes emeses fora del EEE no estan sotmesos a SCA.
D'altra banda es preveuen una sèrie de situacions baix les quals és possible que els Emissors decideixin no aplicar SCA.
Aquestes situacions són:
La PSD2 no obliga directament als comerços, sinó als proveïdors de serveis de pagament, però no és possible demanar als titulars de les targetes els dos factors d'autenticació que es requereixen per a aplicar correctament SCA, o bé decidir no demanar-los-hi en els casos permesos legalment, sense l'adaptació tècnica dels terminals i passarel·les de pagament dels comerços, sent responsabilitat de les entitats Adquirents fer que els seus comerços implementin les adaptacions necessàries per a poder complir amb la norma, en els casos en què aquesta actualització depengui del comerç, ja que hi haurà uns altres, en els quals l'actualització la podrà realitzar l'Adquirent.
Les entitats Emissores poden ser sancionades amb quantioses multes en cas que no compleixin amb els requeriments de SCA pel que podran denegar l'autorització de les operacions de pagament, en cas que no puguin aplicar SCA, o no puguin estar segures que es tracta d'un pagament no subjecte o exempt de SCA, la qual cosa tindria conseqüències directes per el comerç, que perdria vendes i clients.
En primer lloc, revisar els teus TPV, tant físics com virtuals. Si tots els teus TPV són segurs (3DS), és a dir, els TPV físics accepten xip i PIN i els TPV virtuals processen totes les transaccions com a "comerç electrònic segur", no et preocupis, no has de fer res.
Si tots o algun dels teus TPV no són segurs, has de posar-te en contacte amb nosaltres sense demora en […], on t'oferirem solucions que et permetin continuar operant amb la millor experiència de pagament dels teus clients.
L'autenticació reforçada de clients serà obligatòria a partir del 14 de setembre de 2019, no obstant l'anterior, un recent comunicat de l'Autoritat Bancària Europea faculta a les autoritats nacionals, en el nostre cas, el Banc d'Espanya, per a acordar una pròrroga en relació als pagaments per internet. Aquest ajornament podria donar marge a comerços i proveïdors de serveis de pagament (bancs) per a implementar els canvis necessaris, però en qualsevol cas, el més convenient és començar a realitzar-los al més aviat possible. Et mantindrem informat de qualsevol novetat sobre aquest tema.
El col·lectiu de les treballadores de l'antiga fàbrica de catifes de Can Morató reberen ahir els reconeixements Clara Hammerl de l'Ajuntament de Pollença, en el trancurs de l'acte institucional de lliurament d'aquestes distincions, concedides, en honor al seu nom, a dones o a col·lectius de dones nascudes, que visquin o hagin treballat a Pollença, per tal de donar visibilitat a seva la contribució a la millora de la societat en tots els àmbits (laboral, social, artístic, esportiu ...).Al mateix acte, també es lliurà l'obsequi commemoratiu de la distinció a Colonya, com a dipositària d'aquest reconeixement simbòlic a totes les dones treballadores de la Fàbrica de Can Morató, especialment a les que ja no hi són, que tindrà un lloc d'honor a la nova seu institucional de l'entitat.La nostra més cordial enhorabona a aquestes dones treballadores, pioneres en l'àmbit laboral femení i fonamentals en el treball exquisit que es realitzava a l'antiga fàbrica de catifes de Can Morató.Colonya felicita també a l'Ajuntament de Pollença per aquesta iniciativa del reconeixements Clara Hammerl que posen en valor i visibilitzen l'aportació de les dones a la nostra societat.https://sompollenca.com/video/2021/06/06/un-viatge-a-traves-de-la-vida-de-can-morato/https://sompollenca.com/municipi/2021/08/09/reconeixements-clara-hammerl-per-a-les-treballadores-de-can-morato/
Veure més
En els darrers mesos ha sorgit un nou mètode d'estafa anomenat vishing, on els ciberdelinqüents intenten enganyar les seves víctimes amb trucades telefòniques o missatges de veu que pretenen suplantar la identitat de l'entitat bancària, amb la finalitat de robar informació sensible personal o bancària i les credencials d'usuari, a través de la mentida i la manipulació. Com funciona el Vishing?El procediment més comú és l'enviament de correus electrònics que sol·liciten que es truqui a un número de telèfon que té un contestador automàtic en el qual se li demana a l'usuari informació confidencial.Altres vegades, la trucada telefònica complementa un atac previ per Phishing: El ciberdelinqüent obté la informació confidencial mitjançant un correu electrònic o una web fraudulenta (phishing) però necessita alguna informació addicional que s'exigeix quan es té activat el Doble Factor d'autenticació. En aquest cas, es necessita un codi SMS o un altre tipus de clau per poder validar les operacions, transferències o compres fraudulentes. D'aquesta manera, els cibercriminals truquen per telèfon al client identificant-se com personal de l'entitat i després de donar-li confiança i alarmar-lo d'alguna manera mitjançant arguments d'urgència o de risc, li demanaran la clau que necessiten.Que he de fer en cas de Vishing?Et recomanam seguir aquestes senzilles instruccions:Sospita si reps una trucada d'un servei conegut que no esperes i, sobretot, d'aquelles comunicacions que sol·licitin realitzar una acció de manera urgent, com facilitar informació sensible.No facilitis informació personal ni revelis les teves credencials bancàries. La teva entitat mai et demanarà informació confidencial per e-mail, SMS o qualsevol altre canal poc segur, en aquest cas, una trucada telefònica.Verifica la identitat de la persona que s'ha posat en contacte amb tu. Si el remitent proporciona un número per tornar la trucada, pot ser part de l'estafa, així que no el facis servir. En lloc d'això, cerca el número de telèfon públic oficial de l'empresa o institució que se suposa que t'està contactant i crida'ls pel teu compte o acudeix personalment a la seva oficina.Penja si sospites. En el moment en què sospites que es tracta d'una trucada telefònica fraudulenta, no sentis l'obligació d'haver de mantenir la conversa. Simplement penja i bloqueja el número de telèfonUtilitza una aplicació d'identificació de trucada: les innombrables alternatives de veu sobre IP possibiliten la creació de nombres falsos de forma molt senzilla.Esperam haver aclarit els vostres dubtes respecte a aquest nou mètode d'estafa. Recordeu, la seguretat dels sistemes d'informació és responsabilitat cada un de nosaltres. Si teniu qualsevol dubte, podeu contactar amb nosaltres i us ajudarem encantats.
Veure més
Tant si ets arrendatari com inquilí, la pregunta és la mateixa: qui paga l'assegurança de l'habitatge llogat?La resposta és senzilla: ambdós. Cada un amb la seva pròpia assegurança per cobrir diferents coses. Però abans s'han de tenir en compte alguns conceptes per poder diferenciar l'assegurança de la llar com a propietari i l'assegurança de la llar per a inquilins.-Continent: Es refereix a l'immoble, a l'estructura de l'edifici i als materials que el construeixen, com les parets, teulades, sòl, etc. També entrarien en aquesta categoria els elements de subministraments, com les canonades del gas, electricitat, etc. Correspon al propietari fer-se càrrec d'aquesta part.-Contingut: Engloba tot el que es troba a l'interior de l'habitatge, com els mobles, objectes personals, aparells electrònics, etc. En aquest cas, és l'inquilí qui ha de comptar amb una assegurança per al contingut de l'immoble i, així, protegir totes les seves pertinences dins la llar en cas de robatori.-Responsabilitat Civil: Es tracta de la cobertura que cobreix les reparacions i indemnitzacions produïdes a la casa i que afecten un tercer. Dependrà de la situació i, sobretot, de la culpabilitat. Si es deu a un error de l'inquilí, serà la seva assegurança qui se'n farà càrrec. En canvi, si es tracta d'avaries que produeixen humitats que afectin el veïnat, per exemple, serà el propietari qui haurà de reparar els desperfectes.En definitiva, el més recomanable és que tant el propietari com l'inquilí comptin amb la seva pròpia assegurança per tal que ambdós estiguin protegits.A Colonya Caixa Pollença t'oferim l'assegurança a midaA diferència d'altres assegurances, no és obligatori contractar una assegurança de la llar, però no tenir-ne una pot suposar una imprudència. Per això és aconsellable comptar amb una assegurança que es faci càrrec de qualsevol imprevist i cobreixi totes les teves pertinences.A Colonya t'oferim assegurances personalitzades, tant per a propietaris com per a llogaters , ja que cada persona és distinta i té diferents necessitats. D'aquesta manera tendràs una assegurança que s'ajusti al teu pressupost, al teu estil de vida i a la teva llar.A més, comptes amb doble atenció per si ho necessites (de la companyia asseguradora i de Colonya Assegurances) i es farà una aportació solidària d'un 5% de la prima neta del primer any de contractació de les pòlisses d'assegurances a la nostra fundació.Ja saps, informa't a la nostra web o acosta't a qualsevol de les nostres oficines per poder oferir-te l'assegurança que realment necessites.*Aquesta entrada del blog s'ha basat en l'article que podeu veure aquí.
Veure més
Amb el creixement de les noves tecnologies, els telèfons mòbils i les seves aplicacions bancaris, la por a un possible robatori cibernètic ha anat incrementant als darrers anys. Això s'ha fet més evident amb la possibilitat de poder pagar les teves compres amb una targeta contactless o des del teu telèfon mòbil amb només apropar-lo al terminal TPV del negoci. En aquest article intentarem desmentir algunes de les falses històries i llegendes urbanes que han sorgit respecte a aquest nou mètode de pagament.1. Poden robar-me sense donar-me conta.Segur que alguna vegada hem escoltat alguna història sobre algú que ha sofrit un robatori, aprofitant una aglomeració de persones, amb un TPV des del qual activaren les seves targetes contactless o les targetes guardades al smartphone i pogueren extreure els seus diners sense que es donés conta. Hi ha diverses raons per no creure aquestes històries:- Per fer que un TPV pugui llegir les targetes contactless o captar el senyal d'un wallet (apps de pagament amb targetes mitjançant el telèfon), hauria d'estar a una distància no superior a 4 centímetres. En definitiva, el lladre hauria d'estar pràcticament damunt teva, fregant l'assetjament físic, el qual seria molt sospitós.- A més de la teva targeta contactless, normalment tenim altres de l'estil a la cartera, ja sigui l'abonament del transport, el d'accés a l'oficina, al gimnàs o inclús d'un altre banc. Quan varies d'aquestes targetes estan juntes és impossible que pugui llegir només el senyal d'una d'elles, per tant no es podria realitzar el pagament.-Els wallets no et permeten iniciar el pagament sense que s'hagi desbloquejat el telèfon mòbil. Aquesta mesura de seguretat obliga a realitzar l'autenticació al mateix telèfon, el que permet que no sigui necessari introduir el PIN de la targeta al TPV, evitant que algú ens pugui espiar i augmentant la seguretat.-Cada TPV està associat a un establiment o comerç i el seu amo és el responsable del seu ús. En el cas que hi hagi alguna mena de pagament fraudulent seria senzill identificar al propietari del terminal.2. Poden entrar al meu smartphone i quedar-se amb les meves dades.També és comú sentir a la gent dir que poden introduir un virus al teu mòbil o que algú pot hackejar-lo per accedir a les teves targetes i clonar-les per usar-les lliurement. Però, en realitat, als wallet no es guarda cap número de targeta, només un token que fa referència a aquesta targeta. L'emmagatzematge de la informació es fa a l'element segur del mòbil, la seva seguretat és difícilment franquejable.Només la marca de la targeta (Mastercard) i el banc saben la correspondència entre aquest token i la targeta física real. Quan es realitza un pagament online, només viatja el token junt amb una clau d'ús única per pagament. A més, tots els wallets tenen sistemes de seguretat transparents per comprovar que el telèfon no ha estat manipulat, que l'aplicació ha sigut descarregada de la tenda corresponent i que és la versió certificada pel mateix banc.3. Sabran tots els meus moviments i usaran les meves dades.Molts usuaris es pensen que la informació que s'utilitza per realitzar les compres s'utilitza per recavar informació i oferir publicitat personalitzada. A Colonya, som conscients que la informació privada i confidencialitat els nostres clients és una cosa sagrada i mai compartim cap mena d'informació sobre les seves compres.Esperam que aquest article hagi servit per fer que els que tenien dubtes recuperin la confiança i utilitzin aquest nou mètode de pagament. De totes maneres, si en algun moment tens algun dubte o vols saber més informació, no dubtis en posar-te en contacte amb nosaltres. T'ajudarem a fer que les teves compres no només siguin més còmodes, també més segures.*Aquesta entrada del blog s'ha basat en l'article que podeu veure aquí.
Veure més