Precarga, control de accesos, firma electrónica, cifrado e-mail, transporte, micropagos, monedero electrónico o fidelización son algunas de las aplicaciones que permiten las tarjetas bajo el estándar EMV o tarjetas chip. Sin embargo, y pese a que la adopción del estándar debería haber concluido en enero de este año 2005, la situación dista mucho de ser la prevista y el período migratorio se ha extendido más de lo esperado, particularmente en España. Recogemos algunas de las claves de este sistema de pago expuestas en el 8† Congreso de Tarjetas organizado por IIR.
Clara Baonza


En 1995, las compañías Europay Internacional, MasterCard Internacional y Visa Internacional desarrollaban un nuevo estándar denominado por sus iniciales (EMV), con el que se pretendía desarrollar una especificación para sistemas de pago con dos premisas fundamentales: interoperabilidad global e incremento de la seguridad para evitar el fraude. Cuatro años más tarde, en 1999 los tres grupos crearon la organización EMVCo encargada de administrar, mantener y promover las especificaciones de aplicaciones, terminales y tarjetas de circuitos integrados EMV para sistemas de pago y de actuar como autoridad certificadora de compatibilidad entre tarjetas de crédito/débito y entre los terminales lector que soportan dichas tarjetas.
Desde entonces se han ido fijando unas fechas clave para el despliegue mundial de este estándar y para conseguir una migración tranquila y segura, toda vez que en cada país existe una serie de restricciones o regulaciones de los emisores. La última especificación es la EMV 2000, versión 4.0. y se espera una implantación total en el año 2007.
Una de las principales especificaciones del estándar EMV es que se aplica con tarjetas que llevan incorporados circuitos integrados, las comúnmente denominadas tarjetas chip o tarjetas inteligentes. El éxito de este tipo de tarjeta obliga a una sustitución progresiva de las actuales tarjetas de banda magnética. No obstante, esta aplicación puede coexistir con otras aplicaciones que se encuentren tanto en la tarjeta como en el terminal.
Uno de los mayores beneficios de las tarjetas EMV es su alto nivel de seguridad que conlleva la transformación de un soporte pasivo, tal y como se consideraban las tarjetas financieras, en uno activo con el que se deben tomar decisiones durante la transacción (validación del titular de la tarjeta, verificación del PIN, autenticación de la tarjeta o de la información on-line/off-line, etc.). Gracias a este tipo de tarjetas es posible detectar, de manera preventiva, transacciones irregulares realizadas fuera de la operativa habitual del cliente como operaciones de mayores importes, incremento de frecuencia de uso, distintos lugares donde se realizan, etc. Así, por ejemplo, con este sistema en funcionamiento las 24 horas del día puede avisarse al cliente mediante una llamada, un correo electrónico o un SMS de este tipo de operaciones “extrañas” o aquellas que el cliente haya elegido previamente.

Elección de la tecnología
La gran diferencia entre las tarjetas de banda magnética habituales y las tarjetas inteligentes, tal y como se ha definido en el estándar EMV, es la introducción de criptografía con la que asegurar la integridad y confidencialidad de los datos intercambiados en una operación entre el titular y las entidades adquirentes y/o emisoras.
El EMV define las características de la interfaz entre la tarjeta y el terminal y la selección de aplicación. Así las cosas, las tarjetas que cumplen con el estándar EMV contienen certificados y claves criptográficas que son utilizadas cuando el titular realiza sus operaciones, asegurando la integridad y confidencialidad de los datos, además de autenticar las partes involucradas en la misma (titular, adquirente y emisor).
Las capacidades tecnológicas del chip y el sistema operativo utilizado determinan el precio de la tarjeta dependiendo de múltiples parámetros (capacidad de memoria, posibilidades criptográficas, con o sin contactos, lenguajes de programación, etc.) y condicionan sus posibles aplicaciones.

Estándar para aplicaciones financieras
Hay que tener en cuenta que el EMV es un estándar para aplicaciones financieras sobre un chip, pero ni es un chip ni es un sistema operativo. Así pues, la selección del chip estará relacionada con los servicios de valor añadido a prestar por cada compañía (véase cuadro 1). Si se elige un chip con capacidades criptográficas avanzadas se podrá almacenar en su interior datos, tales como los certificados digitales, de forma segura (éstos son la base de múltiples aplicaciones como el control de acceso a aplicaciones en entornos cerrados o abiertos, la encriptación-desencriptación de un e-mail, la firma electrónica de documentos, formularios, correo electrónico, etc.). Es, por lo tanto, un dispositivo especialmente adecuado para almacenar certificados: es personal, portable e interoperable.
De igual modo, la elección de un sistema operativo tendrá que surgir de un compromiso entre interoperabilidad y flexibilidad/capacidad de desarrollo. Un sistema que permita trasladar funciones de crédito y débito desde la banda magnética al chip e incluir en el mismo funciones y usos complementarios. Deberá también permitir generar firmas digitales con algoritmos de clave pública (RSA) lo que, además de otras aplicaciones como la firma electrónica, posibilita la autenticación dinámica de la tarjeta (DDA) tal y como se define en las especificaciones EMV. Esta característica permite verificar, con una firma exclusiva en cada operación, que la tarjeta es auténtica.

79 millones de tarjetas EMV en Europa
En febrero de 1998 el Consejo de Visa Europa puso en marcha un Plan Europeo de Migración a Chip en siete años. En este plan se reconocía la necesidad de mover la infraestructura de medios de pago a una plataforma más segura (para reducir el fraude y retener la confianza de los clientes de tarjetas) y más flexible (para mejorar el servicio al cliente y mejorar la rentabilidad de los agentes implicados: entidades financieras, sistemas de pago, procesadores).
Así, en septiembre de 2004 existían 79 millones de tarjetas EMV emitidas en toda Europa, lo que representaba el 31% de todos los productos Visa, el 40% de todos los productos con bandera Visa (excluido Visa Electrón) y el 60% de todos los productos Premium de Visa (oro, platinum, infinite). Los cálculos de la compañía apuntaban a más de 90 millones de tarjetas en diciembre de 2004 y que en junio de 2005 estuviesen el 50% de las tarjetas migradas a EMV.
En cuanto a los cajeros, la compañía asegura que 4,1 millones de transacciones de cajeros EMV habían pasado por VisaNet en enero de 2005. Esta cifra representa el 28% del volumen compensado y el 40% del valor.
Por último, Visa Europe señala que en diciembre de 2004 los terminales adaptados a EMV habían permitido 164 millones de transacciones (un 39% de volumen compensado y el 37,2% del valor).
En opinión de esta compañía la migración a EMV está progresando positivamente dado que los emisores han priorizado sus tarjetas con mayor uso internacional y las de mayor valor; mientras que los adquirientes han favorecido, en un primer momento, a los establecimientos con mayor número de transacciones internacionales y las de alto riesgo.
España, sin embargo, lleva un considerable retraso en la adopción de este estándar. Se calcula que sólo un 5% de las tarjetas, un 8% de los terminales y un 35% de los cajeros de nuestro país cumplen con el EMV.
El plan preveía además un cambio de responsabilidad efectivo el 1 de enero de este 2005 por el cual, los emisores que no hayan migrado las tarjetas a EMV son los responsables del fraude en terminales y cajeros EMV (2006 en el caso de Asia, África y Oceanía; 2008 en Iberoamérica; 2010 en Canadá y sin determinar en EEUU). Del mismo modo, los adquirientes que no hayan instalado terminales bajo este estándar serán los responsables del fraude por falsificación, incluyendo transacciones autorizadas on-line por el emisor, y del fraude por pérdida o robo de tarjetas chip con PIN.
Las ventajas de este sistema, entre otras, es que al añadir un chip EMV en la tarjeta se reduce significativamente las posibilidades de fraude por falsificación, si el terminal está adaptado también, y se protege al emisor de responsabilidad financiera en caso de fraude por falsificación de tarjetas en terminales no EMV.
Además, conseguir que el PIN sea el principal método de verificación reduce las posibilidades de fraude por robo o pérdida si el terminal es Chip+PIN y protege al emisor de responsabilidad financiera en caso de fraude por robo o pérdida en terminales sin capacidad de PIN.
Los emisores sólo pueden retroceder transacciones en casos de fraude auténtico (excluye el denominado “first party”); si el fraude se ha cometido con una tarjeta o un número de tarjeta con chip que haya sido cancelada o bloqueada y en el caso del fraude que ha tenido lugar en un entorno no EMV y/o PIN.
En el caso de adquiriente, que debe adaptar los terminales e instalar un terminal con teclado auxiliar para PIN, las ventajas son las mismas que para el emisor y sólo pueden reclamar una transacción cuando un terminal EMV (y PIN) está instalado y activo y la utilización del chip (y el PIN) hubieran prevenido el fraude.