El pasado 14 de Septiembre de 2019 entró en vigor las obligaciones sobre la autenticación reforzada derivada de la PSD2 (Payment Services Directive 2) que afecta de forma importante a los servicios de pago. Desde su entrada en vigor, la mayor parte de las operaciones de pago requerirán una autenticación reforzada (SCA - Strong Customer Authentication). Esta autenticación dotará de mayor seguridad, menor fraude y mejor experiencia de compra a los consumidores y comercios.
Aunque sabemos que los cambios normativos no son sencillos, estamos a tu lado para ayudarte en la adaptación a la nueva normativa. Te presentamos un breve resumen de los principales impactos:
¿Qué es SCA?
SCA o autenticación reforzada del cliente es la combinación de dos de tres factores de autenticación:
- Algo que sabes (PIN o password)
- Algo que tienes (un teléfono, la tarjeta, un token...)
- Algo que eres (huella dactilar, voz, etc.)
Cuando un cliente realice una compra en un comercio electrónico, tendrá que utilizar 2 de los tres factores anteriores para completar la operación, no siendo posible operar en modo no seguro.
En comercio físico ya se realiza el SCA al identificar en la transacción una tarjeta (posesión) y un PIN (conocimiento).
¿Hay alguna excepción para agilizar la experiencia de compra de mis clientes?
La normativa propone ciertas exenciones y operativa no sujeta a doble autenticación. A continuación te explicamos en qué consisten:
- Exenciones. Es posible no aplicar el "SCA" en los siguientes casos:
- Transacciones de ≤ 50€ en comercio físico. En España se pueden realizar pagos contactless sin necesidad de PIN para importes inferiores a 20 euros o bien 5 transacciones sin autenticar y por un máximo de 150 euros.
- Transacciones de ≤ 30€ en e-commerce. La entidad emisora de la tarjeta aceptará la operación sin autenticar a su cliente si la operación es igual o inferior a 30 euros o si desde la última vez que lo autenticó, el importe acumulado en compras anteriores es ≤ 100€ o el número transacciones exentas es ≤ 5.
- Exención en TNA de transporte o aparcamiento. Las operaciones en terminales no atendidos (TNA) realizadas en parkings, estacionamientos o transporte.
- Pagos recurrentes: operativa con el mismo importe, periodicidad y beneficiario. Se requiere autenticación en la primera transacción. Las suscripciones iniciadas con anterioridad a la entrada en vigor de SCA (Autenticación reforzada) no tendrán que ser autenticadas nuevamente.
- Excepción por TRA (Transaction Risk Analysis). En operaciones remotas, los proveedores de servicios de pago podrán no aplicar SCA, cuando tras un análisis de riesgo determinen que el nivel de riesgo es bajo.
- Lista blanca de beneficiarios. Los titulares de tarjeta podrán designar comercios como beneficiarios de confianza, siempre que el comercio tenga un preacuerdo con su entidad financiera. Se requerirá un SCA previo a la designación.
- Exclusiones. Algunas operaciones quedan fuera del alcance de esta normativa y por tanto se puede mantener tal y como están a día de hoy.
- "One leg transactions": cuando una de las dos partes queda fuera del Espacio Económico Europeo.
- Operaciones MOTO: en las que el pago se ha iniciado por teléfono, correo o email. Se engloba la mayor parte de operativa Key Entry.
- Pagos con tarjetas prepago anónimas tarjetas de fidelización...
- MIT (Merchant Initiated Transactions): Operaciones pago iniciadas por el comercio, sin que el pagador esté presente, siempre y cuando haya un acuerdo preexistente entre comercio y comprador. Se requiere una autenticación SCA en la primera compra. Se pueden considerar MIT los pagos repetitivos en los que el importe es variable (recibos). También en suscripciones digitales sin importe fijo, campañas de publicidad online o en cargos extras en el alquiler de un coche o reservas hoteleras ...
Para poder cumplir con todos los requisitos de PSD2 y aprovechar de las ventajas que ofrece, deberás adaptarte a la nueva versión 3DS 2.X. Aunque la fecha límite para habilitar este proceso de autenticación reforzada es finales de 2020, según el plan de industria definido entre las asociaciones de comercios y bancarias aprobado por BdE, SCA en comercio electrónico debería estar en funcionamiento a partir de Junio de 2020.
¿Debo llevarlo a cabo?
- Si tienes un TPV Virtual con comercio electrónico No seguro tienes que tener en cuenta que debes pasar a comercio electrónico Seguro y, por tanto, debes adaptar tu TPV al protocolo 3DS.
- Si tienes un TPV Virtual y ya eres comercio seguro, ya puedes autenticar con SCA. Sin embargo, para poder cumplir con todos los aspectos de 3DS deberás adaptarte a la nueva versión del protocolo de autenticación 2.x.
En el caso de que estés utilizando un módulo de pago para alguna de las plataformas disponibles, asegúrate de tenerlos actualizados a la última versión de "TPV VIRTUAL Redirección" y configurado y activo el "envío de datos EMV3DS".Descargar los módulos oficiales en la web de Redsys
En concreto, gracias a esta modificación su TPV Virtual permitirá:
- Únicamente con el nuevo protocolo 3DS 2.X. podrás aplicar alguna exención a la autenticación reforzada.Por ejemplo: permite aplicar la exención basada en medición de riesgo, utilizando un número significativamente mayor de elementos de datos de la transacción y clientes para autenticar de forma segura la mayoría de las transacciones sin la necesidad de que el cliente pase por una autenticación reforzada. Esto se conoce como autenticación sin fricción.
- Compatibilidad con entornos novedosos de aplicaciones móviles que permiten la autenticación móvil permitiendo una experiencia de usuario más fluida, incluso cuando se requiere SCA.
- Mejor integración con la experiencia de pago del cliente, para seguir haciendo más cómoda la compra.