La PSD2 y la autenticación reforzada
La Directiva europea de servicios de pago (PSD2), transpuesta al derecho francés desde 2019, exige una autenticación reforzada, conocida como SCA (Strong Customer Authentication), para todos los pagos en línea y el acceso a las cuentas bancarias.
La SCA requiere combinar al menos dos factores de tres categorías: algo que sabes (contraseña, PIN, pregunta secreta), algo que tienes (teléfono, token físico, tarjeta con chip) y algo que eres (huella dactilar, reconocimiento facial, voz).
Por tanto, la contraseña no es un retroceso: es el primer factor de una autenticación multifactor. El segundo factor suele ser una notificación push en la app de tu banco o un código por SMS. Es esta combinación la que constituye la autenticación reforzada que exige la normativa.
Los bancos franceses van con retraso
Varios bancos tradicionales franceses siguen usando contraseñas de 6 dígitos o códigos numéricos cortos. No se trata de una debilidad técnica deliberada, sino de una limitación heredada de implementación. Los sistemas centrales de algunas entidades datan de los años 1980-1990, y migrarlos cuesta cientos de millones de euros.
Los neobancos y bancos en línea (Revolut, N26, Lydia, Boursorama) han migrado a arquitecturas modernas que admiten biometría nativa, notificaciones push instantáneas y códigos dinámicos de un solo uso. Sus sistemas se diseñaron para el móvil desde el primer día.
Esta brecha genera una percepción injusta: los grandes bancos parecen menos seguros cuando, en realidad, aplican la misma normativa. La diferencia está en la experiencia de usuario, no en el nivel real de protección.
Lo que puedes hacer
Sea cual sea tu banco, unas cuantas acciones sencillas maximizan tu nivel real de protección.
- →Activa siempre la biometría en la app de tu banco si está disponible.
- →Utiliza un gestor de contraseñas para generar y guardar una contraseña larga y única para cada banco.
- →No reutilices nunca el PIN de tu tarjeta de débito como contraseña de otro servicio: es el error más frecuente.
- →Activa las notificaciones de transacción en tiempo real para detectar de inmediato cualquier operación no autorizada.
- →Revisa con regularidad las sesiones activas en tu app: la mayoría de los bancos te permiten ver y cerrar las conexiones en curso.
La protección real no reside en la complejidad de la contraseña, sino en la activación del segundo factor de autenticación. Un código de 4 dígitos combinado con una confirmación biométrica es objetivamente más seguro que una contraseña de 20 caracteres sin 2FA. Concentra tus esfuerzos en el ajuste correcto.
- Directive (EU) 2015/2366 (PSD2) of the European Parliament and of the Council on payment services in the internal market, 2015 — EUR-Lex
- Commission Delegated Regulation (EU) 2018/389 — Regulatory Technical Standards for Strong Customer Authentication, 2018 — EUR-Lex
- European Commission, Strong Customer Authentication requirement of PSD2 comes into force, 2019
Comprueba la seguridad de tus apps