José Manuel Villa: "Hacemos una inversión muy fuerte en asegurar tanto los datos como la interacción de los clientes con el banco"

BBVA Wallet es una aplicación que permite pagar utilizando el teléfono móvil en cualquier establecimiento que disponga de tecnología contactless. Desde su lanzamiento en España en 2013, la app ha acumulado más de 3 millones de descargas en todos los países en los que está presente.

José Manuel Villa, Head of Solutions Engineering, explica la apuesta por la seguridad de BBVA Wallet y el futuro de una aplicación que incorpora otras funciones además de la del pago móvil.

P: ¿Cómo es posible que cuando se acerque un teléfono a un datáfono se pueda producir un pago mediante la app BBVA Wallet?

R: La tecnología es la misma que la de las tarjetas contactless. Los fabricantes de teléfonos móviles y los creadores del software han habilitado el uso de una antena NFC que transmite la información del medio de pago al datáfono. Estos datos del usuario consisten en la numeración, fecha de caducidad, titular... además de mucha otra información no visible que hace que la transacción sea segura. Este intercambio que se produce es el mismo que el de una tarjeta de crédito que se lleve en el bolsillo.

Es incluso más seguro porque el mundo de Internet habilita que la tarjeta utilizada esté viva. Puede activarse o desactivarse, pueden establecerse límites o quitarlos en tiempo real y gracias a apps como BBVA Wallet que aprovecha la conexión a internet del dispositivo móvil. Es una mejora contundente con respecto a la tarjeta física, en la que el perfil va dentro de la tarjeta y no se puede actualizar en tiempo real.

P: Existe cierta preocupación por la seguridad de la tecnología contactless, ¿qué medidas incorporan las apps de BBVA para asegurar los datos de los clientes?

R: Cuando se lanzó por primera vez BBVA Wallet para utilizarse como medio de pago a través del móvil, se incrementaron aún más los niveles de seguridad que exigían las dos marcas principales de tarjetas: Visa y Mastercard. Con éstas, el usuario puede hacer pagos contactless por debajo de 20 euros sin necesidad de introducir el PIN, y en BBVA Wallet nosotros exigimos la introducción

del PIN por cualquier cantidad. Una medida de seguridad que va unida a un servicio novedoso como es BBVA Wallet. Es cierto que a lo largo del tiempo, y según los clientes han ido ganando confianza, esa limitación se ha igualado a la de las tarjetas y hoy el cliente puede decidir sobre qué límite de importe le debe requiere PIN o no el datáfono.

Más allá del pago móvil, como banco que somos, la seguridad es un elemento clave en nuestro modelo de negocio o aproximación a los clientes. Hacemos una inversión muy fuerte en asegurar tanto los datos como la interacción de los clientes con el banco a través de los medios digitales.

P: BBVA Wallet ha ido incorporando en el último año nuevas funciones como apagar o encender las tarjetas, cambiar el límite diario... ¿la intención es poder gestionar más funcionalidades desde la app?

R: Sin duda, BBVA Wallet es un producto al que yo llamo vivo. Según avanza el tiempo se va dotando de más funcionalidades que se adaptan a las necesidades que tienen nuestros clientes.

Tenemos una doble expansión. La primera en el número de funcionalidades, permitir a los clientes hacer más y más cosas a través de su dispositivo. Otra internacional, ya que BBVA Wallet es el primer producto global de BBVA. Además de España, México, Estados Unidos y Chile, en breve llegará a Colombia y a otros países del grupo.

Algunas novedades en el aspecto funcional que estamos viendo son los pagos P2P o la implementación y  mejora de la funcionalidad de fidelización, promociones y descuentos. Hay una amplia hoja de ruta en marcha.

La seguridad es un elemento clave de BBVA Wallet, siendo un método de pago más seguro que las tarjetas contactless tradicionales. Carlos Rosa, Técnico de Innovación y Desarrollo, incide en los mecanismos de seguridad de la aplicación y cómo se produce el intercambio de datos entre móvil y banco.

P: ¿Permanece algún rastro de esas transacciones en el teléfono?

R: La información que hay en el móvil es una información que nunca está en claro, es decir, nunca se pueden obtener los datos de una tarjeta. Ni siquiera si alguien modifica el teléfono puede obtenerlos, ya que están empaquetados en una librería de seguridad. Casi toda esta información están en la nube. En el móvil sólo quedan otros datos de los usuarios que no son tan confidenciales.

P: Hace pocos días, se conocía la noticia que hablaba de la existencia de un troyano en dispositivos Android que recoge los datos de la banca online de las apps bancarias, ¿puede afectar este tipo de virus a BBVA Wallet? ¿Alguna recomendación?

R: En caso de que un troyano tuviese capacidad de hacerse con los datos de Wallet, además de que estos no son datos sensibles, la mayor parte reside en memoria que es eliminada una vez cierra sesión el usuario. A la hora de realizar un pago, si el troyano modifica o hace uso de estos datos tenemos dos mecanismos para evitar el fraude:

1.- Caducan cada un transcurso de horas determinado

2.- Si esos datos no coinciden con los que el Banco tiene guardados en sus servidores, fallaría el pago.

P: ¿Y si se produce el robo de un teléfono? ¿Podrían utilizarse ese móvil para pagar?

R: Sucedería igual que ante el robo de una tarjeta contactless. Es decir, sí podrían realizar pagos por debajo de 20 euros sin PIN, pero con un límite de 10 pagos. Si se cae un móvil al suelo y alguien lo coge, podría pagar en un comercio con un máximo de 200 euros que aparentemente se perderían (10 pagos de 20€). Digo aparentemente porque los bancos han llegado a un acuerdo con VISA y han asumido ese fraude. Si se comunica al banco el robo del teléfono y ha habido operaciones por debajo de 20 euros, queda un histórico de esas transacciones, por lo que se devolvería el dinero al usuario.

En un caso así, la primera acción que debe tomar el usuario es la de cancelar el pago móvil. Lo puede hacer desde el call center de BBVA. Aun así, los usuarios no deben tener miedo a que se les pierda el móvil. De hecho, el tiempo medio que pasa hasta que un usuario se percata de la pérdida de su móvil es menor que el que transcurre si le sucede con el monedero físico.

P: Una imagen compartida en redes sociales ha puesto la alarma sobre la seguridad de los pagos contactless, ¿podría suceder algo similar con BBVA Wallet?

R: Un TPV o datáfono puede realizar un pago con una tarjeta o móvil sin introducir el PIN, pero la proximidad tiene que ser tan cercana que al final estaría tocando el bolsillo, es decir, la persona se daría cuenta. Pese a esto, ese TPV está dado de alta con el nombre de un comercio en el banco que se haya solicitado y sería bastante sencillo dar con la persona que ha hecho todas esas transacciones.

Es importante señalar que el móvil y una tarjeta contactless funcionan igual. Es decir, el móvil puede generar más inseguridad, pero la gente no es consciente que las nuevas tarjetas funcionan de la misma forma. Por lo que el modo de actuar es el mismo, no porque llevemos el móvil en la mano hace que el método de pago sea más inseguro que una tarjeta que se lleva en el bolsillo.