El uso de los teléfonos móviles está tan extendido actulamente (3.800 millones están en circulación en septiembre de 2021) que es difícil de creer que no existian hace unos años.
Como era de esperar, las interacciones de los consumidores con los servicios financieros han comenzado a migrar a la plataforma móvil.
- Los teléfonos inteligentes han desplazado a los ordenadores para las gestiones de banca diaria, como el acceso a cuentas en línea, transferencias de dinero, pagos P2P y pagos en línea.
- Los clientes pronto se suscribirán a más servicios bancarios a través de dispositivos móviles, utilizando tecnologías de verificación de identidad en línea como el reconocimiento facial y la expansión de la biometría en la banca.
¿ Y si me fio más de mis tarjetas tarjetas bancarias?
For the foreseeable future – and very likely beyond the next decade – cards and mobile are likely to coexist and share various payment scenarios.
En el futuro previsible, y muy probablemente más allá de la próxima década, es probable que las tarjetas y los dispositivos móviles coexistan y compartan varios escenarios de pago.
¿Cuál es la ventaja de esto?
En breve, las innovaciones reservadas para los teléfonos inteligentes, como la autenticación biométrica, también aparecerán en las tarjetas de pago.
Analicemos este documento técnico que puede leer o descargar que incluimos a continuación.
Descargate el documento Técnico
Descargue nuestro informe técnico: "Biometría para instituciones financieras: cómo la tarjeta de sensor de pago biométrico de Thales simplifica los hábitos de los consumidores".
¿Por qué usar la biometría en la banca?
La biometría actual y futura para casos de uso comercial
Con un factor de autenticación del tipo “lo que soy”, la biometría ha revolucionado la experiencia del usuario al brindar una dimensión de seguridad adicional pero conveniente.
La biometría encaja exactamente en el grupo de técnicas de identificación de "lo que soy" porque mide las características físicas o de comportamiento únicas de un individuo.
La autenticación biométrica, como la verificación de huellas dactilares o el reconocimiento facial, las dos modalidades biométricas principales, son ampliamente utilizadas en la actualidad por las agencias gubernamentales y se están desarrollando rápidamente para muchos otros casos de uso.
Por ejemplo, los 1,200 millones de pasaportes electrónicos en circulación en 2020 son un beneficio inesperado para el acceso, los viajes (kioscos de autoservicio y puertas automáticas) y la identificación civil, los procedimientos eKYC, el registro y la autenticación de clientes en línea, y más.
La biometría comercial entró en vigor a partir de 2013 con la introducción del primer iPhone 5 y su verificación de huellas dactilares TouchID. El reconocimiento facial se hizo popular con el iPhone X presentado en noviembre de 2017 (con FACE ID).
Según Counterpoint, los fabricantes distribuyeron más de mil millones de teléfonos inteligentes con sensor de huellas dactilares en 2018. En 2020, mil millones de teléfonos inteligentes vendrán con algún tipo de solución de desbloqueo facial.
Utilizadas por primera vez para desbloquear el teléfono, estas funciones ahora también se adoptan para iniciar sesión en aplicaciones móviles y realizar pagos móviles NFC en tiendas.
Principales modalidades biométricas en la banca
No hace falta decir que las cinco modalidades biométricas principales valoradas hoy en día para casos de uso comercial son impulsadas principalmente por teléfonos inteligentes.
Se trata de:
- Reconocimiento de huellas dactilares
- Venas de dedos o palmas
- Reconocimiento facial (con detección de prueba de vida)
- Reconocimiento de voz
- Escaneo de iris
Pronto surgirá una técnica biométrica adicional para los relojes conectados: imágenes infrarrojas (y reconocimiento) de las venas de la muñeca.
La biometría de huellas dactilares obtiene una buena calificación cuando se busca precisión y rentabilidad. Además, las huellas dactilares son muy estables en el tiempo, y las técnicas de reconocimiento tienen una larga historia.
La biometría en la banca: paso a paso
Hay dos pasos que se deben seguir para usar la biometría para servicios financieros en el dispositivo de un cliente:
- Registro: se realiza una vez por dispositivo. Este es el proceso de creación de datos de referencia para almacenarlos de forma segura en el dispositivo y luego usarlos para compararlos cada vez que se realiza una solicitud de verificación. El proceso de registro puede ser sin supervisión -a cargo del usuario- o con la asistencia de un empleado del banco en la sucursal.
- Verificación: realizada cada vez, los usuarios quieren identificarse. Este paso finaliza una captura biométrica que luego se compara con los datos de referencia.
Tiene sentido cuando lo piensa.
Protege la privacidad del usuario, ya que el proveedor de servicios no tiene que administrar los datos biométricos del cliente.
Tarjeta de crédito de huellas dactilares validando un pago de PDV (fuente: Thales)
El caso de uso de la tarjeta EMV: la identificación biométrica como método de pago conveniente
Primero, esta nueva tecnología de pago debe enfrentar numerosos desafíos.
- ¿Cumple con los métodos de seguridad de pago internacionales EMV?
- ¿Se ajusta estrictamente al tamaño y a la flexibilidad de las tarjetas de crédito existentes?
- ¿La vida útil del sensor de huellas dactilares coincide con la de la propia tarjeta?
- ¿De dónde obtiene la energía el sensor?
- ¿Es precisa esta nueva identificación de pago biométrico EMV?
Profundicemos.
Cumplimiento EMV
Las tarjetas bancarias EMV con chip y PIN admiten actualmente cinco tipos diferentes de métodos de verificación de tarjetas (CVM, por sus siglas en inglés):
- PIN sin conexión
- PIN en línea
- Firma
- Sin CVM
- CVM en el dispositivo del cliente (CD-CVM) / CVM en el dispositivo (OD-CVM), utilizados principalmente para pagos móviles de proximidad.
EMVco amplió esta lista (Boletín 185) en 2017 al definir un CVM biométrico.
El tipo de CVM utilizado para cada aplicación de pago varía ampliamente en todo el mundo y de un emisor a otro.
El aumento de los pagos sin contacto para transacciones de bajo valor ha aumentado el número de escenarios en los que no se utiliza CVM.
Al considerar la idea de usar una huella dactilar biométrica en lugar de un código PIN para el CVM para una tarjeta bancaria EMV, el diseño del producto debe ajustarse a los estándares de CVM existentes (los CVM biométricos ya están estandarizados para casos de uso de sensor en terminal y de sensor en teléfonos inteligentes).
En otras palabras, el sistema biométrico de la tarjeta proporciona el resultado de la verificación de huellas dactilares a la aplicación de pago. Luego, la aplicación usa la información para confirmar un pago o cambiar a otro CVM si se necesita otro método.
Pero hay más.
Conformidad con los estándares de tarjetas ISO
La incorporación de un sensor de huellas dactilares en el cuerpo de la tarjeta para pagos con y sin contacto en el punto de venta debe cumplir totalmente con los estándares ISO para las dimensiones físicas y la vida útil de la tarjeta.
La tarjeta aún debe poder usarse en cualquier terminal de PDV y en cualquier cajero automático. Se puede autorizar la opción de usar un PIN cuando no se pueda acceder al sensor biométrico porque la tarjeta se inserta por completo dentro de la ranura para tarjetas del cajero automático.
El desafío del suministro de energía
Un sensor de huellas dactilares es un dispositivo electrónico que requiere energía tanto para el registro como para realizar las mediciones diarias y para la coincidencia en la tarjeta (match-on-card).
Entonces, ¿cómo conseguimos que funcione esta nueva tecnología de pago?
Gracias a la solución de Thales, el PDV puede encender el sensor a través del portador inalámbrico ISO 14443 cuando la tarjeta está a 4 cm del dispositivo. No es necesario que haya una batería dentro de la tarjeta, ni recargarla.
Aquí, el sensor biométrico se activa mediante el campo magnético inalámbrico del PDV cuando la tarjeta está dentro del alcance (4 cm).
La precisión de las tarjetas de crédito biométricas
Un criterio típico para medir la precisión es la tasa de aceptación falsa (FAR, por sus siglas en inglés), que es el número de veces que se autorizará el pago a un usuario incorrecto.
Una tarjeta bancaria EMV con un código PIN como método de verificación de tarjeta (CVM) tiene una tasa de aceptación falsa (FAR) de 1 cada 10,000 porque un PIN de cuatro dígitos ofrece exactamente diez mil combinaciones posibles.
Los sensores de huellas dactilares actuales para tarjetas bancarias EMV suelen tener una FAR de 1 cada 20,000, lo que es más alto que un código PIN.
El tiempo importa aquí.
La mejora del rendimiento de la FAR seguirá siendo posible con las mejoras futuras y continuas de la solución.
Casos de uso con y sin contacto para tarjetas de pago biométricas
Reemplazo del PIN
La propuesta de valor más importante de una tarjeta EMV con sensor de huellas dactilares es la eliminación de la necesidad de ingresar un PIN de cuatro dígitos o una firma.
Esto puede ser un alivio para los consumidores que utilizan muchas tarjetas o que utilizan regularmente el pago móvil, ya que recordar varios PIN puede resultar difícil.
Para pagos EMV de contacto en la terminal de PDV, los usuarios siempre deben usar su PIN, o su firma, independientemente del monto.
Un CVM biométrico en la tarjeta aplicaría al 100% de las transacciones y haría que los pagos fueran mucho más convenientes para los tarjetahabientes.
Para los pagos EMV mediante tecnología sin contacto en la terminal de PDV, existen dos escenarios:
- Para montos bajos, y dependiendo del país donde se utilice la tecnología, un CVM biométrico se puede configurar como inactivo para montos pequeños, pero algunos emisores pueden requerirlo para una protección adicional y para preservar la conveniencia. Dado que este es un gesto muy natural, requerir la verificación de huellas dactilares por un monto pequeño tiene un efecto mínimo en la experiencia del usuario.
- Para montos elevados, el umbral varía de un país a otro, algunos emisores bloquean todos los pagos sin contacto y otros autorizan a aquellos con un CVM = PIN en línea. Para ese caso de uso, el CVM biométrico ofrece un beneficio considerable. Puede reemplazar el PIN en línea y brindar una experiencia de usuario verdaderamente fluida, incluso en países que solo admiten PIN fuera de línea.
Gracias al CVM biométrico, la tecnología sin contacto se puede utilizar de forma segura para todos los montos de pago y ofrece una experiencia del cliente similar tanto para la opción de contacto como para la opción sin contacto.
Transacciones sin contacto de alto valor
Al autenticar al tarjetahabiente sin ningún esfuerzo adicional gracias a su sensor de huellas dactilares integrado, la tarjeta de pago biométrica libera el potencial del pago sin contacto.
Cumple con los requisitos de seguridad de la directiva PSD2 y con los de la mayoría de las regulaciones de pago, que requieren que el tarjetahabiente sea identificado con regularidad, generalmente después de que se gaste una cierta cantidad acumulativa a través de sistemas sin contacto o después de una serie de pagos sin contacto (normalmente un máximo de cinco).
La verificación de huellas dactilares demuestra la identidad del tarjetahabiente durante cada transacción, por lo que las transacciones sin contacto se pueden autorizar independientemente del monto.
Se puede usar indefinidamente sin insertar la tarjeta bancaria biométrica en una terminal de pago de tanto en tanto. Si la terminal de PDV admite la tecnología sin contacto, no se necesita tocar el teclado ni insertar la tarjeta, y los clientes no necesitan firmar un ticket de venta.
La tarjeta también envía información al servidor del banco de que el tarjetahabiente ha sido autenticado biométricamente.
Esto puede facilitar significativamente su proceso de gestión de riesgos y evitar transacciones rechazadas innecesarias o llamadas de atención al cliente cuando el usuario está de viaje o usando su tarjeta en una ubicación inusual.
Identificación para tarjetas de beneficios de seguridad social
Otra propuesta de valor atractiva para la tarjeta EMV de huellas dactilares es que la biometría es un método de identificación, mientras que un código PIN es un método de autenticación.
Déjenos explicarle.
El tarjetahabiente puede compartir un PIN con otras personas, pero no puede compartir datos biométricos.
Los emisores pueden utilizar la identificación biométrica para asegurarse de que el titular genuino de la tarjeta realmente reciba los beneficios del uso de la tarjeta.
¿Las buenas noticias?
Los beneficios de la seguridad social se pueden distribuir a través de una tarjeta de pago EMV.
- Este método no afecta el rendimiento del pago EMV de la tarjeta.
- Proporciona una identificación concreta del tarjetahabiente.
- Ayuda a reducir el fraude.
La tarjeta de pago biométrico Thales Gemalto: características clave
Sin batería, sin preocupaciones.
Thales posee patentes para dispositivos con alimentación pero sin batería y ha elegido esta opción para su tarjeta de pago biométrico.
El sensor biométrico se activa mediante el campo magnético inalámbrico del PDV cuando la tarjeta está dentro del alcance (normalmente la distancia óptima es de 0 a 4 cm).
Posicionamiento intuitivo de las huellas dactilares
Se espera que la biometría proporcione una mayor conveniencia al usuario al no requerir que ingrese una contraseña. Es importante no agregar una nueva capa de dificultad, como requerir una posición complicada del dedo en el cuerpo de la tarjeta para medir la biometría.
Esta acción debe ser intuitiva y natural para los modos de contacto y sin contacto.
Creemos que a los usuarios les resultará fácil comenzar a usar estas tarjetas, ya sean diestros o zurdos.
Luz verde: ¡Adelante!
LED rojos/verdes para una mejor experiencia de usuario. La finalización o falla del CVM se puede indicar en el cuerpo de la tarjeta usando LED verdes y rojos.
- Cuando la verificación biométrica se complete con éxito, el usuario lo sabrá mediante una luz verde que se muestra en el cuerpo de la tarjeta mientras se aprueba la transacción.
- Si los datos biométricos no coinciden, una luz roja informará al usuario sobre el intento fallido del CVM.
Sin impacto en la terminal de PDV
Todas las terminales de PDV existentes están listas para aceptar pagos con y sin contacto utilizando la tarjeta con sensor biométrico.
No se requieren modificaciones de software.
El ingreso del código PIN o la firma aún se pueden usar como una solución de respaldo para un usuario que no pueda usar el sensor biométrico, por ejemplo, después de una lesión en el dedo.
Seguro desde el diseño
Todas las operaciones involucradas en la decisión de aceptación biométrica (incluido el cálculo de la puntuación de coincidencia) se ejecutan dentro del elemento seguro (coincidencia en SE).
El uso de un chip de seguridad aprobado por EMVCo, la plataforma Thales y las aplicaciones de pago biométrico implementan medidas de seguridad similares a las de las tarjetas de pago estándar.
Garantizan el cumplimiento de los requisitos de seguridad de los esquemas EMV, como el programa Mastercard-CAST y VISA VCSP.
También se han desarrollado activos de seguridad adicionales (datos o mecanismos) relacionados con la biometría.
- Este producto ha sido analizado por un laboratorio de evaluación de seguridad acreditado que lo ha calificado de resistente a un potencial “alto ataque”, según lo definido por el criterio de “Aplicación del potencial de ataque a tarjetas inteligentes y dispositivos similares” de JIL.
- En términos de prevención de fraude y de suplantación de identidad, la solución de Thales excede los niveles FAR y FRR requeridos por los esquemas de pago EMV.
- Su resistencia a la suplantación de identidad (tasa de coincidencia de presentación de ataques de impostores) también es evaluada por los esquemas de pago durante la certificación de la tarjeta.
Introducción a la tarjeta de pago biométrica
Suena simple, y lo es.
Autoregistro para credenciales distribuidas, sin base de datos central
Un sensor de huellas dactilares en el cuerpo de la tarjeta y el enfoque de "coincidencia en la tarjeta" significan que cuando los tarjetahabientes reciben una nueva tarjeta, solo necesitan pasar por un proceso de registro en la tarjeta misma.
Ese proceso se realizará solo una vez durante la vida útil de la tarjeta.
Al utilizar la tarjeta, los datos biométricos del usuario se compararán con los datos de referencia.
Además, es posible registrar múltiples huellas dactilares: las especificaciones del producto y los requisitos del emisor establecen este número.
La experiencia de fabricantes de teléfonos inteligentes como Apple y Samsung demuestra que la biometría comercial tuvo éxito cuando:
- Apareció la noción de autoregistro,
- Los datos de referencia ya no estaban en una base de datos central sino localmente en un dispositivo que permanece en posesión del usuario.
Proceso simple para registrar la huella dactilar en la tarjeta
Cuando los usuarios reciben su tarjeta de pago biométrico, tienen varias opciones para configurarla.
La solución más accesible y universal consiste en un pequeño lector de tarjetas, enviado junto con la tarjeta, que inicia el proceso de registro cuando se inserta la tarjeta.
El tarjetahabiente simplemente tiene que presentar un dedo en el sensor de la tarjeta varias veces para capturar la información de la huella dactilar.
Esto crea una plantilla de referencia, almacenada de forma segura en la tarjeta, que se utiliza para comparar la huella dactilar durante los pagos.
La operación se puede repetir para varios dedos si el emisor autoriza varias huellas dactilares. Thales ha diseñado varios lectores de tarjetas, probados y aprobados tras numerosas encuestas de usuarios y pruebas piloto.
Incluyen un modelo básico hecho de plástico reciclado y reciclable, y otros dispositivos más avanzados, incluido uno con una pantalla digital para mostrar instrucciones y un teclado.
Configuración segura de la tarjeta
Después de registrar la huella dactilar en la tarjeta, se necesita un paso adicional para asegurarse de que el titular genuino de la tarjeta la haya configurado.
Durante la primera transacción o el primer retiro de dinero en efectivo, se necesita el código PIN para finalizar la operación, activar la función de huella dactilar de la tarjeta y bloquear las plantillas de referencia almacenadas.
¿Por qué?
Este proceso evita que los estafadores registren su huella dactilar en una tarjeta robada y la utilicen para realizar transacciones.
Alternativamente, en países donde las transacciones con chip y PIN no son compatibles, la funcionalidad de huellas dactilares se puede activar después de un primer pago en línea exitoso.
También existe la posibilidad de un kiosco que permita la activación de tarjetas 24/7.
Thales ha desarrollado un kiosco multiservicio que permite la emisión instantánea de tarjetas en una sucursal bancaria. Podría desarrollarse para realizar más servicios relacionados con todos los aspectos de la verificación de identidad para el registro, incluida la personalización del CVM biométrico para tarjetas EMV.
9 pruebas piloto hasta diciembre 2020
Las tarjetas de pago biométricas de Thales se han implementado y probado ampliamente en pruebas con clientes de todo el mundo.
Hasta noviembre de 2020, se habían realizado pruebas piloto en nueve países durante 30 meses, generando un feedback positivo considerable.
Apreciaron, principalmente, la conveniencia adicional.
El 60% de los participantes dijo que estaría dispuesto a pagar €1 extra al mes por este nuevo servicio de su banco.
Desde 2018, los bancos pioneros en Chipre, Italia y Líbano han lanzado su primera tarjeta de pago biométrico sin contacto proporcionada por Thales.
En 2019 y 2020, varios bancos del Reino Unido, Francia y Suiza comenzaron las pruebas con los clientes y se están preparando para lanzamientos comerciales.
Los principales emisores planean los primeros despliegues importantes en Europa en los próximos trimestres.
Visite nuestro sitio web para obtener más información sobre nuestros lanzamientos recientes con las principales instituciones financieras.
La biometría y la tecnología sin contacto: la mejor experiencia con tarjetas EMV en la tienda
La biometría para la tarjeta EMV ofrece más que solo conveniencia.
Es el último elemento necesario para migrar toda la experiencia de la tarjeta a la tecnología sin contacto, independientemente del monto del pago.
El hecho de que la tarjeta mantenga su factor de forma ISO y pueda usarse en modo de contacto es un paso a largo plazo que garantiza que los pagos EMV sigan siendo el único dispositivo de pago verdaderamente universal durante muchos años.
La aceptación de los pagos sin contacto está creciendo rápidamente en todo el mundo, pero dentro de 10 o 20 años, es probable que todavía haya lugares en los que sea obligatorio insertar una tarjeta para completar una compra en el punto de venta.
La tarjeta de pago con sensor biométrico Thales Gemalto une el futuro con todo el legado del EMV.
Ofrece lo último en experiencia de usuario conveniente, así como la confianza asociada con la biometría.
Thales se está preparando para el futuro de los pagos donde coexistan tarjetas, dispositivos wearable y teléfonos móviles, cada uno con sus áreas de excelencia.
Ahora es su turno
Si tiene algo que decir sobre la biometría en la banca, o si tiene una pregunta sobre las nuevas tecnologías de pago y la tarjeta de pago biométrica en particular, o si este contenido le ha resultado útil, deje un comentario en el cuadro a continuación.
También aceptamos cualquier sugerencia sobre cómo podríamos mejorar nuestro contenido para artículos futuros.
