La autenticación reforzada se define legalmente como la “basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes –es decir, que la vulneración de uno no compromete la fiabilidad de los demás–, y concebida de manera que se proteja la confidencialidad de los datos de identificación”.
Por ejemplo, solo el usuario conoce la clave de su tarjeta, solo él porta un elemento como el teléfono móvil, al que se puede enviar por el proveedor una clave adicional para autorizar una operación de pago, y solo en el cliente concurren determinados aspectos no transferibles a terceros, como ciertos rasgos biométricos (iris, huella dactilar…).
El correcto funcionamiento de este sistema minimizará las operaciones autorizadas por error y, sobre todo, las fraudulentas, facilitando la atribución de responsabilidad, cuando corresponda, bien al proveedor de servicios de pago –del ordenante o del beneficiario–, bien al propio usuario o al comercio que le ofrece bienes y servicios cuyo pago se realiza con alguno de estos medios electrónicos.
