José Luis Zimmermann, Director General de adigital, se mostraba así de contundente con respecto de la entrada en vigor de la PSD2, la famosa directiva europea de medios de pago, durante un encuentro celebrado ayer con medios de comunicación por VISA, en el que – además de Zimmermann – también participaron Andrea Fiorentino, Head of Products & Solutions South Europe de VISA y Pilar Clavería, Adviser for Payments de la AEB (Asociación Española de la Banca).

El pasado 14 de septiembre entraba en vigor la PSD2, sobre la que se aplicará una moratoria – tal como anunciamos en primicia en Ecommerce News – cuya duración (oscilará entre 12 y 18 meses, que es el periodo que los diferentes Bancos Centrales Europeos han pedido a Bruselas) se hará pública presumiblemente a finales de la presente semana o la próxima por parte de la EBA (European Banking Authority).

Adigital, como asociación responsable de los merchants que operan online en nuestro país, ve «como una losa más para las empresas» este escenario donde se pretende «construir un marca regulatorio que garantice mayor seguridad para el consumidor», cuando las estadísticas demuestran precisamente que el fraude online que existe en Europa está por debajo de la media global del 0,1% del total de transacciones, siendo en España aún más baja esa cifra.

Partiendo de dicha base, y desde el punto de vista de Zimmermann, «esta directiva perjudica la competitividad del comercio electrónico europeo con respecto de otros países donde no se aplican leyes como PSD2 o la GDPR«, a lo que matizaba «no digo que no sea necesario, pero sí que es una losa más».

Pérdidas multimillonarias para el sector

Otro de los puntos de debate durante el encuentro fue el % de pérdidas que se hubiera ocasionado para los vendedores online, la entrada en vigor y aplicación directa de la PSD2. Tanto Zimmermann como Clavería apuntaron que «hubiera sido muy elevado, por encima de un 20-25% de las transacciones se hubiera caído directamente», lo que podría significar varias decenas de millones de euros diariamente, «con el consiguiente impacto negativo en la experiencia de compra del usuario, que se vería en muchos casos incapacitado de pagar online con su tarjeta, con el consecuente retorno a un comercio y formas de pago tradicionales», apostillaba Clavería.

¿Cómo estamos de preparados?

Desde el punto de vista del comercio, estamos bastante lejos de estar preparados. Tal como afirmaba Zimmermann, «no estaríamos en este punto si hubiera un alto punto de preparación. En los comercios – especialmente en los más pequeños – aún hace falta mucha puesta en marcha, algo que depende finalmente de los proveedores de servicios de pago».

Uno de los principales problemas radica en el déficit comercial exterior; es decir, no somos un país que venda más fuera online, de lo que importamos, por lo que «no se hace un verdadero esfuerzo a la hora de informar a países más maduros y exportadores, donde hay más consciencia en esta materia», señalaba el representante de adigital.

Excepciones a la SCA (Strong Customer Authentication)

Una de las medidas más controvertidas en la Directiva es la SCA, la autenticación reforzada que ya explicamos en este artículo. Sin embargo, poco se ha contado sobre las excepciones a la norma, cuándo no será necesario que el banco tenga que comprobar la seguridad de la transacción:

1. Terminales y puntos de venta con contactless (en comercio físico)
2. 5 operaciones consecutivas siempre y cuando el importe total no sea mayor de 150€
3. Beneficiarios de confianza (las White List)
4. Transferencias entre cuentas de una misma entidad y usuario
5. Transacciones de bajo riesgo
6. Pagos recurrentes
7. Operaciones frecuentes de banco y beneficiarios de confianza

White List ó Listas Blancas

Las White List o Listas Blancas serán listados de tiendas online de confianza, donde el usuario suele comprar habitualmente y (se entiende) nunca ha sufrido problemas de seguridad en el pago. Será el propio usuario el que elija qué tiendas visita habitualmente y son de su confianza, las cuales a través de una API pueden conectar con su banco para configurarse y guardarse como ecommerce seguros, y que pasan a formar parte de dicha lista blanca. VISA en su día anunció el lanzamiento de esta herramienta, que ya está operativa en algunos países como UK, tal como recogimos en Ecommerce News.

La desaparición del SMS

Otro de los aspectos destacable que se mencionaron durante la jornada fue la desaparición del SMS como vía para securizar una compra online. Con el 3DSecure, otro estándar de la industria de los pagos impulsado por VISA, lo habitual es autenticar una compra en un segundo paso con una clave recibida por SMS.

Según los expertos, hay una tendencia a la desaparición de esta herramienta, en tanto en cuanto no termina de ser 100% segura, además de poco usable para el comprador tener que recordar un código de 6-8 dígitos. La tecnología que lo vendrá a sustituir probablemente sea más cercana a los tiempos modernos y enfocados a la biométrica.