El próximo 14 de septiembre entrará en vigor de forma efectiva la Directriz Europea PSD2, dejando atrás la conocida PSD1, que durante más de 10 años se encargó de armonizar toda la legislación relacionada con los servicios de pago dentro de la Unión. Hablamos con Steven Beamer, Sales AdvisorIngenico ePayments sobre cómo afectará al comercio electrónico y los pagos a través de Internet.
¿Por qué es necesaria ahora una mayor seguridad en los pagos online?
Pronto la nueva Directiva de Servicios de Pago de la UE, PSD2, comenzará a afectar a nuestros negocios online y los comercios deben prepararse para cumplir con los nuevos requisitos de seguridad a partir del 14 de septiembre. Durante más de 15 años, el protocolo de seguridad 3DS ha funcionado para proteger las transacciones online, reducir el fraude en tarjetas y las retrocesiones, pero ha incrementado los ratios de abandono. La última actualización incluida en la PSD2, el 3DS v2, utiliza una gama más amplia de datos y autenticación biométrica para que los pagos online sean más seguros y fluidos que nunca.
La idea que subyace en la nueva directiva es, en parte, proteger a los consumidores del fraude, pero también promover la innovación en los pagos y los servicios financieros, con el mínimo impacto en las transacciones.
¿Cuáles serán los principales cambios que afectarán a los comercios online?
Para evitar el fraude sin afectar a los ratios de conversión, PSD2 contiene nuevas regulaciones de seguridad para pagos digitales. En el centro de estas regulaciones se encuentran lo que se denomina autenticación fuerte del cliente (Strong Customer Authentication) y comunicación segura. El SCA, en un nivel práctico, significa que los clientes deben identificarse utilizando al menos dos de los siguientes tres factores al realizar un pago online o iniciar sesión en sus cuentas bancarias.
-
- Algo que sabe: algo que solo el cliente sabe, como una contraseña o PIN.
-
- Algo que posee: como un teléfono o una tarjeta de claves.
- Algo que el cliente «es», por ejemplo, características biométricas como reconocimiento facial o huella digital.
Esto significa que los consumidores, en la práctica, ya no podrán realizar el pago con tarjeta online utilizando solo la información de sus tarjetas. En su lugar, tendrán que, por ejemplo, verificar su identidad en una aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella digital para aprobar la compra.
¿Se aplicará el SCA a todas las transacciones online?
Existen algunas transacciones a las que no se aplican las reglas de SCA. Los pedidos realizados por correo electrónico y por teléfono (MOTO) no están sujetos a las reglas de SCA, así como a las transacciones iniciadas por el comerciante (Merchant Initiated Transaction). Un MIT es una transacción iniciada por el comerciante en lugar del titular de la tarjeta, por ejemplo, cuando un hotel almacena información de la tarjeta a través de un Token y le cobra al huésped los gastos del minibar después de que se haya realizado el check-out.
Tenemos entendido que la normativa contempla también exenciones para esta autenticación fuerte del consumidor…
Así es. Para facilitar las cosas tanto a los comercios como a los consumidores, PSD2 permite algunas exenciones de SCA. Lo que es importante tener en cuenta es que todas las transacciones que califican para una exención no serán exentas automáticamente. En el caso de transacciones con tarjeta, por ejemplo, es el banco emisor de la tarjeta el que decide si se aprueba o no una exención. Por lo tanto, incluso si una transacción califica para una exención, el cliente podría tener que realizar una SCA, si el banco emisor de la tarjeta decide exigirla.
Transacciones de bajo valor: Esta exención será, lo más probable, la más utilizada. La exención dice que si un cliente realiza una compra por menos de 30 euros, puede quedar exento de realizar una autenticación sólida del cliente. Esta exención es limitada y si un cliente realiza cinco de estas transacciones seguidas o alcanza un valor de más de 100 euros, siempre se requerirá SCA.
Suscripciones: Otro tipo de transacción que se puede eximir son los pagos recurrentes y de suscripción en los que la cantidad de cada transacción es la misma. Para estas transacciones, solo se requerirá SCA cuando el cliente se registre por primera vez para la suscripción y no para cada transacción individual.
Análisis de riesgo: Las exenciones también se pueden hacer en base a lo que se llama «análisis de riesgo de transacción». Esto significa que los comercios se podrán apoyar en la tecnología antifraude que ofrece en un Proveedor de Servicios de Pago (PSP/Acquirer), como Ingenico ePayments, para solicitar exenciones para transacciones que se califiquen de «bajo riesgo» según los requisitos previstos por la PSD2/SCA. Esta exención tiene un límite cuando se trata del valor de transacción y solo se puede aplicar si el proveedor de servicios de pago tiene una tasa de fraude suficientemente baja para ese tipo específico de transacción.
Listas blancas: Un último tipo de exención se llama destinatarios incluidos en una lista blanca. La lista blanca significa que un consumidor puede registrar a ciertos destinatarios de pagos como «confiables» con el banco emisor de su tarjeta. Al hacer eso, no tendrán que llevar a cabo SCA al pagar a ese destinatario específico.
¿Quién decide ahora si una transacción es segura?
Bajo 3DS v2, los emisores de tarjetas son los responsables de decidir si autorizar una transacción. Si bien esto aleja la responsabilidad de los comercios, les asigna la responsabilidad de compartir más datos de alta calidad a los bancos emisores. Cuantos más datos compartan los comerciantes y cuanto mayor sea la calidad de los datos, mayor será la probabilidad de que las transacciones se autoricen y mejorará la experiencia del consumidor (CX).
Como comercio online..cómo puedo asegurarme de que voy a cumplir todos estos requisitos?
En resumen, la transición y la implantación de la nueva normativa no matará la conversión de tu negocio online ni tus ventas se verán afectadas, si vas de la mano de un buen PSP para ayudarte y asesorarte en el camino. Te recomendamos asistir al webinar del próximo dia 11 donde explicaremos todos estos cambios y requisitos de una manera gráfica y con casos de uso.
