La prórroga para la entrada en vigor de la normativa PSD2 llega a su fin, y con ello tanto el sector bancario como e-retailers deberán enfrentarse a toda una serie de cambios fundamentales a la hora de pagar vía online.

A pesar de aumentar la seguridad de los pagos online en las tiendas europeas, y permitir a los usuarios acceder a soluciones más prácticas, innovadoras y rentables ofrecidas por los proveedores de servicios de pago, también surgen otras incógnitas con su llegada. ¿Beneficiará o finalmente perjudicará a las tiendas online? ¿Cómo cambiará la relación entre bancos y fintechs?

La Asociación Española de la Economía Digital (Adigital) organizó una jornada especial con principales actores del ámbito de los pagos en el ecommerce, donde se esclareció aquellos aspectos que pueden afectar a los comercios y plataformas que operan a través del canal online.

La jornada comenzó con la ponencia de Arturo González, CEO de Eurobits, compañía con un historial de 15 años, cuyos objetivos son transformar la manera en la que personas y empresas interactúan con los servicios financieros. En su reflexión el ponente  aseguró que la directiva PSD2 “está cambiando continuamente y el resultado final es a día de hoy una incertidumbre”.

A día de hoy la PSD2, además de corregir los fallos de su antecesora PSD1, genera nuevos servicios reguladores por el Banco de España, y el cliente podrá acceder a los datos de cuentas bancarias de su entidad financiera, potenciando así la transparencia en los pagos.

A su vez, el CEO de Eurobits apuntó que una oportunidad del PSD2 es “poder introducir nuevas funciones de pago”, y en el caso del ecommerce, “poder acceder bajo consentimiento del cliente a los datos del usuario para poder financiar su compra”. Dos grandes opciones que, no obstante, “aún estamos en la punta iceberg. Existe en la posibilidad de acceder a más oportunidades que brinda la PSD2”.

Sin embargo, no todos son beneficios con la llegada de la PSD2. Una problemática es la diferenciación entre PSD2 y GDPR y qué puntos tienen en común. En este aspecto, el PSD2 regula la información de una cuenta bancaria, y el GDPR es el consentimiento para tratar dichos datos.

Otro punto polémico de la PSD2 es obligar a los bancos a presentar una interfaz de APIs que estén disponibles a terceros. Esto podría suponer que en septiembre, el Parlamento Europeo “haga reset” a toda la normativa de APIs de los bancos, según el CEO de Eurobits. En este sentido, Arturo González afirmó que la directiva “no puede suponer el deterioro del servicio proporcionado por terceros. Se ha convertido en un puente de dialogo entre los diferentes actores para generar grandes oportunidades para todos”.

Con respecto al ecommerce, la gran polémica es la Iniciación de pagos y el proceso de autenticación reforzada, es decir, queel banco obligue a redireccionar a 3DSecure y que el cliente tenga que volver a poner los datos bancarios a la hora de pagar.“Si losFintonics de este mundo no pueden configurar la experiencia de usuario para quesea cómoda es una problemática”, subrayó González.

¿Cómo afectan los cambios regulatorios al ecommerce?

Luis Peiró, Founding Partner de Nalba Advisors, indicó a los asistentes en qué aspectos repercutirá el PSD2 a los e-retailers, donde la consolidación de nuevos medios de pago y la necesidad de una identificación reforzada son los mayores impactos para los comercios online.

Autenticación reforzada: donde antes era opcional, es obligatoria

La obligación de autenticación fuerte (SCA) corre el riesgo de impactar de forma muy relevante a las tasas de conversión.

Para autenticarse, el ponente señaló el uso de dos o más elementos independientes de la siguiente lista:

De posesión, algo que el usuario posee: Smartphone, un ‘Token’ mediante hardware/software, y Smart card (Chip DDA+)

De conocimiento, algo que solo conozca el usuario: contraseña estática, PIN y número de tarjeta)

De inherencia, algo que el usuario posee para realizar una autenticación biométrica: huella, reconocimiento facial, huella del iris

“Aunque existen numerosos movimientos del ecosistema hacia una mejor UX de autenticación, la falta de claridad y de un enfoque común generará mucho ruido en el corto y medio plazo”, declaró Peiró.

Sin embargo, existen excepciones a la hora de obligar a una autenticación: transacciones de bajo valor, como los realizados de manera “contactless”, transacciones recurrentes, Transaction Risk Analysis (TRA), y beneficiarios de confianza (whitelisting).

La vía en la que se va a estructurar es el protocolo EMV 3DS, que será una pieza clave en la comunicación entre los emisores y adquirientes de cara a la autenticación de la operaciones de tarjeta.

En este aspecto, Peiró señaló la evolución entre el protocolo 3DS 2.0 y el 3DS 1.0, donde se aportarán importantes mejoras, como la autenticación mediante el uso de la biométrica a cambio de otros sistemas más convencionales como passwords estáticos, habilitarse a cualquier dispositivo móvil, estará activado automáticamente en contraposición al 3DS 1.0 que requería enrolamiento, incorpora un Dataset enriquecido y habilitado para “Risk Based Approach”, y casos de uso adicionales, como verificación de cuenta o tokenización, entre otros.

Además, el uso del 3DS 2.0 no implica autenticación reforzada, hecho que en el 3DS 1.0, según Peiró, era generalmente necesario. No obstante, “la asunción de responsabilidad en pagos de tarjeta mantendrá la lógica actual, con los limitantes legales de la obligatoriedad de Solicitud de Autenticación en ciertos casos. En otros medios de pago, por ejemplo, mediante transferencia directa o por iniciación, toda la responsabilidad (y en gran medida la UX) recaerá en el banco pagador”, subrayó Peiró.

Para solucionar la problemática de la autenticación reforzada, el Founding Partner de Nalba Advisors indicó que una estrategia adecuada de uso de exenciones en colaboración con PSPs y adquirientes será crítica para minimizar el impacto y mantener una buena UX. En este punto, las tres únicas transacciones que puede solicitar el adquiriente (de bajo valor, recurrentes o TRA), son fáciles de implantar y efectivas. En el caso de las TRAs son una exención clave para los comercios. Por otro lado, los beneficiarios de confianza o ‘whitelisting’ generan mucha incertidumbre, por lo que requerirá experiencia y control en manos de los emisores.

Marketplaces

Luis Peiró indicó que  el PSD2 afectará a aquellos marketplaces que sean intermediarios en el proceso de compra ente comprador y vendedor. El PSD2 ya no permite eximir de sus obligaciones a marketplaces bajo la denominación de agente comercial si gestionan fondos por cuenta tanto del comprador como del vendedor.

Según casuísticas, existen 3 alternativas posibles: representar contractualmente a los vendedores, licencia de PSP (salvo excepciones generales que deja la normativa), y contratar los servicios de un PSP.

En líneas generales, entrarán vigor 3 meses después de publicarse el Real Decreto.

Nuevos medios de pago

 PSD2 oficializa modelos de negocio existentes que actualmente funcionan en un entorno sin regular. En este caso modelos de iniciación de pagos (ordenar transferencias desde la cuenta del usuario en su nombre), de agregación de cuentas (proveer de información consolidada de una o más cuentas de pagos), consultas de saldo en cuenta (débito desacoplado), y emitir tarjetas de débito vinculadas a cuentas corrientes de cualquier entidad financiera.

Otros aspectos que afectarán a los ecommerce

Además de los 3 puntos que afectarán a los ecommerce, la información de cuentas tiene mayor sentido para bancos o especialistas. Esto impulsará la competencia en estas soluciones que suelen mejorar la conversión, sobre todo en tickets altos.

A su vez, otro detalle que cambiará de raíz son los surcharges, es decir, gastos o cuotas adicionales para la utilización de un medio de pago determinado. Tales cuotas estarán prohibidas con la entrada en vigor de la normativa, no así los descuentos o ventajas para favorecer algún medio de pago e incentivar su uso.

Bizum, Iniciador de Pagos preparado para el PSD2

En 2021, se estima que casi el 20% de todas las operaciones en ecommerce tengan como origen una transferencia bancaria. La cuenta gana protagonismo en los pagos, y con las iniciativas de pagos inmediatos (SCT INST en Europa), aparecen servicios de Directorio ID-IBAN en el marco de la PSD2.

Fernando Rodríguez Ferrer, Responsable de Desarrollo de Negocio de Bizum, explicó la propuesta de valor de la plataforma Bizum, una solución de pagos a través del móvil en tiempo real y de cuenta a cuenta, enfocado en el uso del teléfono móvil, y preparada para la normativa PSD2 mediante la autenticación reforzada.

“Dentro de los ecommerce existe la posibilidad de añadir un botón de Bizum para que el consumidor lo pueda escoger como método de pago. El cliente introduce el teléfono y la clave de Bizum, y se envía de la OTP al móvil. A continuación se realiza una revisión del pago e introducción de la OTP para su validación. Tras este proceso automáticamente recibe la confirmación del pago”, declaró Rodríguez Ferrer.

Desde su lanzamiento comercial en octubre de 2016, Bizum ha superado cifras de más de 2,4 millones de usuarios, más de 15 millones de transferencias, y un importe movido de más de 800 millones de euros.

Mesa Redonda sobre la normativa PSD2

La jornada finalizó con una mesa redonda en la que principales expertos de la parcela de los pagos dentro del ecommerce reflexionaron sobre los aspectos que cambiarán en la industria con la entrada en vigor del PSD2.

Un tiempo de debate que contó con las aportaciones de Joaquín Díaz de Terán, Sales Manager de Ingenico, Raúl Sánchez, COO de PayXpert, Pancho Pérez, eCommerce Software Catalyst de Comercia Global Payments, y  Juan José Llorente, Country Manager Spain & VP Sales Southern Europe de Adyen, moderados por Marc Nieto, Fundador y CEO de Mp Services.

Desde el punto de vista del comercio, la llegada de la PSD2 no todo son buenas noticias. Aspectos como la prohibición de los surcharges, o la autenticación reforzada, pueden repercutir o no sus ventas. En este sentido, Pacho Pérez afirmó que “los comercios están pendientes de lo que pueda pasar a corto plazo con la llegada del PSD2. Según qué tipo de negocio no todos los sectores lo están viendo igual. Con la nueva directiva  uno de los sectores que observan una gran oportunidad es el sector hotelero”.

Por su parte, Díaz de Terán indicó que “esta directiva se ha fijado en lo que estaba funcionando y han puesto puertas a aspectos que ya funcionaban, sin embargo es una decisión positiva porque con el nuevo marco regulatorio, se incentiva a clientes que no se fiaban de la seguridad del ecommerce a que compren online, o se logra evitar el blanqueo de capitales, entre otros beneficios”.

“En el ecommerce la penetración está avanzando. Los retailers a través del ensayo y un buen equipo, pueden obtener resultados positivos de las oportunidades que se generan gracias a la implantación del PSD2”, afirmó Llorente.

Otro asunto que se trató durante la mesa redonda es el lanzamiento del 3DSecure 1.0, el impacto en los comercios, y cómo evolucionará el nuevo 3Dsecure 2.0, si será la piedra de toque para la normativa PSD2  y si afectará en la tasa de conversión de las tiendas.

ParaRaúl Sánchez “el 1.0 no ha funcionado, con la llegada del 3DSecure 2.0, que a nivel de PSP hemos trabajado en API, aportará unos beneficios que pasarán de 15 datos que gestionaba una API en la versión el 1.0 a un total de 150”.

Por su parte, Country Manager Spain & VP Sales Southern Europe de Adyen, apuntó: “hemos desarrollado un 3dSecure dinámico, para adaptarse a la directiva PSD2 y a las excepciones que están permitidas y disponen el ecommerce”.

“Esta solución está pensada para que las marcas tengan mejor tasa de conversión que el 3DSecure 1.0. La implementación obligará a las tiendas a tener actualizados los datos del cliente para que en posteriores compras ya esté autentificado. Va haber una época en la que convivirán ambos, tanto 3DSecure 1.0 como 3DSecure 2.0.”, aseguró Díaz de Terán.