La semana pasada se hizo el EMV Tour 2013 en Buenos Aires. EMV es un estándar de interoperabilidad para transacciones financieras creado en 1999; la sigla se forma con las iniciales de sus tres socios fundacionales (Europay, MasterCard y Visa), a los que en 2009 se sumó American Express. La especificación EMV define los requerimientos técnicos para las tarjetas con microcircuitos integrados y para la infraestructura que en el mundo financiero se llama de adquirencia, las terminales punto de venta (POS) y los cajeros automáticos (ATM).
México y Brasil ya migraron la casi totalidad de su sistema financiero a las tarjetas con chip, Venezuela y Colombia avanzaron bastante, y el resto de los mercados de América Latina están dando sus primeros pasos.
El primer argumento de los impulsores de EMV es la reducción del fraude. Las tarjetas con chip son más seguras que sus primas con banda magnética. La otra ventaja es que facilita el proceso de aprobación de las transacciones, lo cual significa mayores ventas. A un nivel global, el reporte Nilson estimó que las pérdidas por fraude de tarjetas alcanzaron los $6.89 mil millones en $14.6 billones de compras de bienes y servicios en 2009.
La migración es compulsiva por varias razones. A partir de un fuerte trabajo de lobbie los bancos centrales de casi todos los países exigen a los actores del ecosistema financiero ir a EMV. Pero además, como hay pruebas de que EMV es más seguro, existe consenso sobre la inversión de responsabilidad que obliga a quien no tiene EMV (banco, red de POS o ATM, comerciante) a asumir el costo del fraude. La aplicación práctica de este nuevo concepto depende de cada país y de su grado de implantación de los pagos por EMV.
Así como la industria migra a EMV, también lo hace el fraude, que tiende a explotar el punto más débil de la cadena. Y más allá de la obvia migración geográfica hacia mercados mas retrasados en la implementación de tajetas con chip, el otro fenómeno es la migración del fraude desde el canal presencial hacia el no presencial.
Y este último tipo de movimiento preocupa particularmente a los impulsores de EMV, porque la mayoría del trabajo sobre este estándar se hizo en los 90’s, cuando Internet no era un espacio para transacciones de pago. Así, la autenticación basada en datos dinámicos (Dynamic Password Authentication, DPA), que es una de sus mayores fortalezas en transacciones presenciales, queda prácticamente invalidada cuando el usuario no está ahí para que el comerciante meta su tarjeta en la ranura.
EMV tiene capacidades criptográficas y varios métodos de verificación (de la tarjeta, de la iformación -en línea o no-, del usuario y de la transacción), pero en general ellos requieren la tarjeta presencial. Al momento de comprar por Internet la tarjeta con chip no es en sí misma un segundo factor de seguridad, y por lo tanto, no resulta mucho más segura que una con banda magnética.
Acá es donde los móviles tienen un rol, al convertirse en la herramienta que le de a EMV un medio de autenticación dinámica en transacciones no presenciales. El dispositivo se convierte en un elemento que el usuario tiene (segundo factor de seguridad) y que -a diferencia de la tarjeta-, es capaz de generar una autenticación dinámica en ausencia del POS o el ATM (por ejemplo vía SMS).
En este punto hay divergencias. Unos proveedores dicen que la función de segundo factor se logra más allá de los chips y por lo tanto de EMV, por ejemplo, con un mobile soft token. Otras versiones, sobre todo las que estimulan los fabricantes de chips (por ejemplo, Gemalto), insisten en que los niveles de seguridad que se logran en el entorno de hardware de un chip “siempre serán superiores” a los de cualquier aplicación de software.
Como sea, el efecto dinamizador más visible de la migración regional a EMV sobre el tema pagos móviles se está dando sobre Near Field Communication (NFC). Las transacciones NFC entre un teléfono móvil y un terminal POS utilizan el estándar de protocolo ISO/IEC 14443, que ya es usado para las tarjetas de crédito y débito EMV.
Así, por ejemplo, en México y Brasil se deberá utilizar una aplicación de pago sin contacto que soporte transacciones EMV. Esto les permite a los clientes utilizar sus teléfonos habilitados para NFC para pagos en la red de terminales sin contacto de crédito y débito EMV que ya existe. Otro tema es cuántos teléfonos (que deben ser smartphones) existen en el parque actual de esos mercados.