psd2 SCA

SCA ¿Es la nueva normativa PSD2 una amenaza para tu empresa?

Nuevos cambios en el horizonte digital llegarán en breve con la entrada en vigor de la ‘autenticación reforzada de cliente’ (SCA) que representará un importante impacto sobre las transacciones online.

El próximo 14 de septiembre, la SCA ( Strong Customer Authentication) será obligatoria para realizar pagos online. Antes era suficiente un número de tarjeta y una dirección para hacer pequeños pagos, pero ahora serán necesarios al menos dos de tres factores sobre:

1.- Algo conocido (como una contraseña).

2.- Algo que tienen (como un token o un teléfono).

3.- Algo que son (como la huella digital o el reconocimiento facial).

¿Qué es la segunda Directiva sobre servicios de pago  PSD2?

PSD2 ( Payment Services Directive 2 )  son las normas que regulan la industria de pagos en la Unión Europea. La reglamentación pretende ofrecer una mayor protección para los participantes que compran y venden en Internet.

Para estar al día con la nueva normativa, será necesario ofrecer la Autenticación reforzada de clientes (SCA, strong customer authentication) para los pagos realizados por compradores europeos, y evitar el fraude en operaciones realizadas con tarjetas no presentes.

Entre las intenciones de la nueva norma también se espera una mejora de la competencia, la innovación y el crecimiento del mercado de pagos electrónicos, ofreciendo las adaptaciones adecuadas a las nuevas tecnologías. Cuando se realiza un pago online, el comercio tiene que utilizar los procesos que aplican los intermediarios que a su vez, tramitan la operación en la compañía de la tarjeta.

¿Qué cambia?

La normativa permite la apertura bancaria a servicios de pagos a terceras empresas o TPPs (Third Party Payment Service Providers) y permitirá el acceso a las cuentas de los clientes y realizar operaciones en su nombre si disponen de las autorizaciones correspondientes. Los TPPS estarán obligados a cumplir los mismos requisitos que los proveedores de servicios de pago tradicionales: registro, autorización y control de las autoridades.

El comprador, podrá autorizar al comercio para realizar operaciones en su nombre a través de una API (Application Programm Interface) que permite una comunicación directa entre el banco y el comercio. La primera PSD, ha permitido el desarrollo de nuevos de pagos online como los PIS o pagos de iniciación, que permiten pagar desde la cuenta del consumidor a la cuenta del comercio a través de un “puente”, como PayPal, por ejemplo, o los AIS (Servicios de información de cuenta) que gestionan la información de diferentes cuentas de un usuario en un solo sitio, ofreciendo una visión general de la situación financiera como Fintonic, por ejemplo.

Con éstas nuevas posibilidades las empresas podrán mejorar los detalles en el análisis de los consumidores y optimizar en el asesoramiento para adelantarse a las necesidades o descubrir nuevas oportunidades, personalizar condiciones de financiación y consolidar la fidelización.

En resumen, la nueva Directiva PSD2 tiene como objetivos reducir los costes operativos a los consumidores, facilitar las gestiones, asegurar la libre competencia, ofrecer eficacia y aumentar la protección y la seguridad.

Todos estos cambios junto a otros también importantes como la GDPR, sobre la regulación de los datos personales implican grandes retos para las empresas y proyectos en Europa. Los cambios aportarán definiciones y actualizaciones necesarias para el desarrollo, en armonía con las nuevas posibilidades que ofrecen las nuevas tecnologías, cuyo crecimiento es en general mucho más acelerado que las normas orientadas a facilitar el uso correcto y ético de esas mismas tecnologías.

Las normas se fundamentan en la protección del consumidor en Europa compensando el avance del fraude online que utiliza técnicas cada día más sofisticadas y que suponen daños de miles de millones de euros. El comercio digital en Europa según las estimaciones alcanzará el trillón de dólares en 2022, y las actividades delictivas también crecerán en paralelo.

La cara amarga de la SCA será el alto coste para empresas y proyectos que operan online en el mercado Europeo, especialmente para las que no se adapten a los cambios y sufran alteraciones en las transacciones, fallos, costes y caída de conversiones que pueden llegar a suponer más de 150.000 millones en pérdidas.

¿Cómo prepararse para los nuevos cambios?

Actualmente sólo el 20% de los comerciantes europeos están informados y preparados para el cambio de paradigma en la economía digital y se espera que las mayoría de las empresas comiencen sus modificaciones en el último momento como ya sucedió con la adaptación al Reglamento General de Protección de Datos.

En cierto sentido la nueva normativa es una temática pesada para las empresas pero también para los reguladores estatales, las redes de tarjetas y las entidades bancarias que mantienen diferentes interpretaciones de la normativa expresada por la UE y utilizan sus propias normas y políticas. Los criterios detallados, el ámbito de cuestiones técnicas y las exenciones que no obligan a la doble autenticación crean un desconcierto en el que todo parece confuso.

Para prepararse para los cambios las entidades tienen que analizar su experiencia de pago para desarrollar o mejorar método más adecuado, incluyendo los medios tradicionales pero también los más avanzados y que representarán un gran desarrollo en los próximos años, especialmente los relacionados con Blockchain, monederos digitales, dispositivos con tecnología biométrica, sistemas de pago locales o peculiares, sistemas online basados en criptomonedas o valores digitales y cambiables en los nuevos intermediarios dedicados a exchange, todo además cumpliendo con las exigencias obligadas de la SCA.

Los métodos de pago no son un tema menor que podamos dejar en manos del desarrollador web. Es imprescindible que la empresa realice un riguroso estudio para conocer los más adecuados para el modelos de negocio, teniendo muy en cuenta las preferencias de los usuarios y ofreciendo todas las opciones posibles con procesos optimizados al detalle para ofrecer la mejor experiencia de pago al cliente.

Las empresas tendrán que adaptar su actividad para diferenciar cuándo aplicar la SCA y cuando no, ya que no se aplicará en todas las operaciones dado que existen exenciones para transacciones recurrentes y pagos monedero que no superen los 30 €. Además, los clientes podrán crear documentos de autorización en su banco emisor para realizar pagos recurrentes y evitar la autenticación en determinadas compras.

Lo que puede parecer un pequeño retoque en las pasarelas de pago puede transformarse en una gran tormenta, peligrosa para las entidades poco preparadas que operan en diferentes mercados europeos, dado que la gestión de las exenciones podría representar una relación con bancos locales, y hay más de 6.000 entidades bancarias diferentes en Europa. Un futuro cercano hostil que puede perjudicar a muchas empresas desprevenidas que no han considerado en tiempo y forma la complejidad de los retos que aportará la nueva normativa.

Riesgos, crisis y oportunidades

El riesgo, siempre llega con oportunidades. Las mejores experiencias de pago y una gestión astuta de las exenciones ofrecerán una gran ventaja competitiva para las empresas más adaptadas.

Los cambios aportarán fortaleza a las empresas de tecnologías de vanguardia y restará mucha energía a las empresas tradicionales offline que todavía están pensando en su transformación digital. Aumentará la innovación y el desarrollo de aplicaciones orientadas al comercio móvil, donde SCA puede empujar a un crecimiento en el uso de herramientas de seguridad biométrica.

El aumento de la confianza en la economía de Internet asegura sus buenas perspectivas de crecimiento a largo plazo y en consecuencia aumentará de forma significativa el número de operaciones y las ventas de las empresas más adaptadas.

Aplicación de la autenticación reforzada será necesaria en:
– Accesos a cuentas de pagos en línea;
– Transacciones de pago electrónico;
– Acciones que impliquen riesgo de fraude u otros abusos.

Cuando el usuario sufriera un cargo no autorizado con motivo de la no utilización de una autenticación reforzada para cualquiera de los 3 casos mencionados anteriormente, el proveedor de servicios deberá resarcir al usuario de las pérdidas sufridas.

Para detallar las especificaciones que tendrán que cumplir los proveedores de servicios de pago se crea el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y estándares de comunicación abiertos comunes y seguros.

Entre las especificaciones incluidas en el Reglamento destaca el control sobre las medidas de seguridad de los proveedores de servicios de pago que tendrán que documentar, probar, y auditar que cumplen con las medidas de seguridad exigidas.

También se destacan las especificaciones sobre la Exención de SCA en operaciones periódicas, transacciones contactless por importe inferior a 50 euros y otras operaciones de pequeños importes.

Transacciones que se ven afectadas

  • Pagos superiores a 30€ o que sumen más de 100€ desde que el usuario tuvo que identificarse mediante SCA por última vez.
  • Transacciones emitidas y recibidas en la Unión Europea. Si un cliente paga desde un país fuera de la UE, no tiene que someterse a la doble autenticación.
  • Transacciones solicitadas por el cliente, no por la entidad de cobro. Los débitos periódicos iniciados por la empresa no requieren la doble autenticación.

Transacciones exentas de autenticación reforzada

  • Operaciones de bajo riesgo y/o de pagos inferiores a 30€.
  • Pagos con tarjetas corporativas.
  • Transacciones verificadas por el cliente en su lista de autorizados. Representa pagos habituales a comercios de confianza para el cliente.
  • Las transacciones en las que una parte se encuentra fuera de la UE
  • Los pagos presenciales, excepto los contactless superiores a 50€

 


 

¿Cómo afectará SCA a proyectos WordPress WooCommerce?

Si tu proyecto está desarrollado bajo WooCommerce puedes respirar tranquilo. El equipo de Automattic ya está preparando las  actualizaciones necesarias para una correcta adaptación.

Si además utilizas Stripe como medio de pago posiblemente estás en el camino correcto porque ya lo tienen implementado y sólo es necesario activarlo en tu cuenta. El proceso funciona correctamente y genera confianza sin perjudicar la experiencia de usuario. Si tienes dudas sobre los cambios realizados por Stripe en relación a second Payment Services Directive (PSD2)    puedes consultar la guía que han publicado con los detalles sobre el tema en el siguiente enlace:     Strong Customer Authentication

https://stripe.com/es/guides/sca-payment-flows#introduction


 

Asesoramiento gratuito para tu web

Los clientes del Club 3w2 disponen de asesoramiento gratuito sobre la adaptación de sus proyectos a la nueva normativa.

Si necesitas adaptar los sistemas de pago de tu web, contacta aquí   y consulta gratis  a los desarrolladores profesionales de 3w2  los cambios que requiere tu empresa o proyecto en Internet.