Revisamos la nueva normativa europea sobre los servicios de pago denominada PSD2 que hace referencia a la SCA (Strong Customer Authentication) y que afecta de lleno a los ecommerce.

Esta nueva normativa entró en vigor el pasado 14 de septiembre, aunque se ha concedido una prórroga que oscilará entre 12 y 18 meses, a petición de los distintos Bancos Centrales Europeos a Bruselas y que se hará pública en breve, por parte de la EBA (European Banking Authority).

Os mantendré informados.

.

Qué es la PSD2

PSD son las siglas de Payment Services Directive o en español, Directiva de servicios de pago.

Es una directiva de la Unión Europea denominada PSD, Directiva 2007/64 / CE, y actualmente reemplazada por la PSD2, Directiva (UE) 2015/2366 que ha sido la que entraba en vigor el pasado 14 de septiembre en todos los países de la Unión Europea.

La PSD creó para regular los servicios de pago y proveedores de servicios de pago en toda la Unión Europea (UE) y el Espacio Económico Europeo (EEE).

El objetivo de la Directiva era aumentar la competencia y participación en la industria de pagos (bancos y no bancos), y proporcionar mecanismos para nivelar la protección del consumidor y los derechos y obligaciones para los proveedores y usuarios de pagos.

Hasta aquí todo muy bien.

La principal novedad con esta nueva ley PSD2 es que va a cambiar la forma en que los usuarios se relacionan con su banco a través de internet y por lo tanto, la forma en que se compra o vende en los comercios online.

 

Y esto nos lleva a la SCA (Strong Customer Authentication).

Qué es la SCA

La SCA o Autenticación reforzada de clientes, como su nombre indica, implica la implantación de mecanismos más seguros a la hora de realizar los pagos a través de los diferentes medios de pago electrónicos que existen a día de hoy.

La autenticación reforzada combina dos elementos diferentes para verificar la identidad del cliente que realiza un pago electrónico, esto se denomina 2FA (Two factor authentication).

Según esta nueva normativa, la mayoría de las transacciones de venta online tendrán que estar autenticadas por dos de tres factores de seguridad, es decir, tendrán que procesarse por un protocolo de “Compra segura” (3D Secure) adaptado.

Los 3 factores son: 

  • Algo que solo conozca el usuario, como, por ejemplo, una contraseña.
  • Algo que tenga el usuario, como un teléfono móvil, un DNI o una tarjeta.
  • Algo que forme parte de él (identificación de rasgos biométricos), como su huella dactilar, el reconocimiento facial, su ojo.

 

Pasos doble autenticación SCA

Exclusiones y excepciones a la norma PSD2

Lo bueno es que existen muchas excepciones al proceso de doble autenticación, por lo que el momento del pago no será tan temible como podemos esperar.

Exclusiones:

  • «One leg transactions», cuando el medio de pago (tarjeta, cuenta…) o bien el cobro (TPV…) queda fuera del Espacio Económico Europeo.
  • Operaciones en las que el pago se ha iniciado por teléfono, correo o email.
  • Pagos con tarjetas prepago anónimas.
  • Pagos repetitivos o suscripciones. Se requiere una autenticación SCA solo en el pago inicial o primera compra.

Excepciones

  • Transacciones de ≤ 30€. También se aceptará no autenticar a un cliente si, desde la última vez que lo autenticó, el importe exento acumulado de su cliente en compras anteriores es ≤ 100€ o el número transacciones exentas es ≤ 5.
  • Transacciones recurrentes: operativa periódica con mismos importes, sistema de pago, periodicidad y beneficiario. Se requiere autenticación en la primera transacción.

Nota importante: las suscripciones iniciadas con anterioridad al 14 de Septiembre no tendrán que ser autenticadas.

 

  • Excepción por TRA (Transaction Risk Analysis). Operaciones de bajo riesgo de fraude, siempre que el ratio global de fraude de la Entidad de Pago que procesa el pago del comercio, esté identificado y certificado por el Regulador. Por ejemplo: Stripe tiene unos ratios de fraude muy bajos.

 

  • Lista blanca de beneficiarios. Aplica a entidades emisoras de sistemas de pago que han habilitado protocolos para que sus clientes les puedan reportar sus “comercios de confianza” y les hayan autorizado para que no se aplique autenticación cuando compren en ellos.

 

Si tienes clientes fieles que compran en tu eCommerce de forma recurrente, solicítales que te incluyan en la lista blanca de beneficiarios.

 

Cómo afecta la nueva ley PSD2 a tu eCommerce o tienda online

La buena noticia es que la habilitación del SCA o Doble Factor de Autenticación no te corresponde a ti como comercio electrónico.

 

Son los emisores de los sistemas de pago, o sea, los bancos y proveedores de servicios de pago como PayPal o Stripe, los encargados de adaptar los protocolos e informar a sus usuarios para que conozcan y dispongan del doble factor de autenticación a partir de Septiembre.

Tú, como responsable de un ecommerce, tendrás que asegurarte de que todos los medios de pago que ofreces a tus usuarios, están adaptados a la nueva normativa PSD2 SCA.

 

De lo contrario, te arriesgas a perder carritos de la compra por incumplimientos de la normativa y que tu tasa de conversión se vea afectada a la baja. 😱

Eso sí, con la PSD2 las plataformas de pago se incorporarán directamente en los eCommerce y todo el proceso de compra se hará sin abandonar la web. 🙂

 

Adaptación de los ecommerce a la nueva ley PSD2

Los medios de pago más habituales en los ecommerce, como Stripe, Paypal o pasarelas de pago como Redsys, ya están preparadas para cumplir la nueva normativa, por lo que no te tienes que preocupar al respecto. Eso sí…

Actualiza todos los plugins o módulos correspondientes a los medios de pago de tu plataforma de comercio electrónico para asegurarte que estás cumpliendo la nueva normativa PSD2 SCA.

 

Si los medios de pago que usas ya están aplicando la nueva ley PSD2, es recomendable que intensifiques los controles sobre la tasa conversión de tu tienda online. 

Si detectas incrementos inusuales en los ratios de denegaciones, contacta con tu proveedor de plataforma de pagos para que te asesore.

Stripe ha lanzado una súper guía sobre el cumplimiento de la normativa PSD2 SCA, te dejo aquí un enlace por si lo quieres consultar.