Redactado por Julia Kowalski, Política pública, Stripe
En la última década, la Unión Europea ha mejorado significativamente la seguridad de los clientes en las transacciones en línea a través de la Segunda Directiva de Servicios de Pago, o PSD2. Esta normativa histórica ha reducido el fraude al tiempo que ha permitido a los consumidores realizar transacciones con mayor confianza.
Pero también tiene algunos puntos ciegos que, según las empresas con las que trabajamos, dificultan su funcionamiento. Uno de ellos es que la PSD2 no distingue suficientemente entre las transacciones B2C (pagos entre empresa y consumidor), en las que se necesitaban medidas de seguridad más estrictas, y las transacciones B2B (pagos entre empresas), en las que no. Como resultado, las compañías europeas se han visto frenadas por protocolos de seguridad que no necesitan. Nuestro informe European Tech Voices ha demostrado que las trabas para crecer y escalar siguen siendo altas para las más de un millón de empresas europeas innovadoras a las que apoyamos.
¿Hasta qué punto es un problema? Cuando la gente piensa en pagos, tiende a imaginar transacciones de consumo, como pagar una cena o comprar un sofá, donde la PSD2 ha sido de gran ayuda. Pero la inmensa mayoría de los pagos se realizan entre empresas. Los pagos B2B globales superan los 120 billones de dólares anuales, seis veces el valor de los pagos al consumidor. La magnitud de este mercado hace urgente que la Unión Europea aclare la normativa sobre autenticación de pagos entre empresas.
Afortunadamente, la UE tiene ahora la oportunidad de hacerlo. El Parlamento Europeo y los Estados miembros de la UE están ultimando una ley sucesora, la Directiva 3 y el Reglamento sobre Servicios de Pago, o PSD3/PSR. Recomendamos que aprovechen esta oportunidad para diferenciar entre transacciones B2C y B2B, manteniendo importantes protocolos de autenticación en las opciones del consumidor cuando tengan sentido, y permitiendo a las empresas optar por no utilizarlos en las transacciones B2B cuando no lo tengan.
Protocolos de seguridad incompatibles
Uno de los elementos más importantes de la PSD2 fue la introducción de una mayor seguridad del cliente en las transacciones en línea a través de la autenticación fuerte del cliente (SCA). Los consumidores experimentan esto como una autenticación de pago en dos pasos, como cuando se les pide que introduzcan un PIN y un código SMS para completar una compra en línea. La PSD2 y la SCA han contribuido a crear un mercado único europeo de pagos y han impulsado el auge de las nuevas empresas de tecnología financiera.
Pero las disposiciones de la SCA se redactaron de forma tan amplia que se aplican también a las empresas, y eso ha causado problemas. Actualmente, las compañías europeas tienen que seguir exactamente los mismos protocolos de seguridad cuando gestionan pagos en línea que sus empleados cuando realizan operaciones bancarias en línea en casa.
Esto supone más seguridad de la que necesitan las empresas y no es suficiente. Muchas empresas que utilizan Stripe nos han comentado que SCA crea ineficiencias debido a la aplicación de controles demasiado complicados. Al mismo tiempo, las empresas que dependen exclusivamente de SCA pueden estar menos protegidas que si pudieran seguir los estándares existentes y de confianza para la autenticación corporativa.
Las empresas tienen necesidades de seguridad diferentes
Los protocolos de seguridad que siguen las grandes empresas son ya órdenes de magnitud superiores a los de los pagos de los consumidores. Incluso antes de que se aprobara la PSD2, las empresas europeas recurrían a diversas medidas para la gestión de la identidad y la seguridad corporativas, como controles centralizados de inicio de sesión único, tokens de hardware o certificados para ordenadores portátiles. Y la eficacia de los controles de seguridad corporativos se comprueba periódicamente mediante prácticas como las auditorías programadas.
Superponer la SCA a esas prácticas es como pedir a un corredor que complete vueltas adicionales después de haber corrido un maratón. Por eso creemos que es importante que los reguladores europeos utilicen la DSP3 para aclarar los requisitos de las SCA teniendo en cuenta el tamaño de las empresas. Las grandes empresas deben tener la flexibilidad de utilizar sus propias evaluaciones de riesgos para determinar si activan o desactivan diferentes partes de la SCA.
Además, los requisitos de autenticación deben revisarse en el marco de la DSP3 para que el nivel de autenticación sea proporcional al riesgo de la actividad realizada. Las empresas deben poder utilizar diferentes niveles de autenticación, cuando una acción sensible al pago pueda desencadenar una autenticación más fuerte que el mero hecho de pasar tiempo en una interfaz de pago.
Un buen ejemplo de por qué esto es importante es la reautenticación en un panel de pago tras un periodo de inactividad. Esto es algo que las empresas que utilizan Stripe saben muy bien, ya que pasan gran parte del día en el panel de Stripe, enviando facturas, gestionando las obligaciones fiscales, gestionando las relaciones de facturación, reduciendo las bajas involuntarias y realizando un seguimiento de las métricas empresariales.
Los requisitos SCA de la PSD2 exigen que las empresas vuelvan a autenticarse en el panel de Stripe tras cinco minutos de inactividad. Es el tipo de norma que tiene sentido para proteger a los consumidores, pero que no se ajusta al funcionamiento de las empresas.
Por ejemplo, no es raro que las empresas controlen sus pagos cada 15-30 minutos en un día de gran volumen. O en otro escenario, un líder empresarial podría estar dando una presentación o demostración en vivo a un inversor o clientes donde el tiempo activo en un tablero se intercala con la inactividad debido a las discusiones en vivo.
En ambos casos, SCA obligaría al usuario del cuadro de mandos a volver a autenticarse varias veces sin ninguna ventaja perceptible para la seguridad. Ambas actividades tienen lugar en entornos bien protegidos que siguen siendo seguros incluso cuando la actividad está en pausa. El riesgo de fraude es menor que en cualquier escenario análogo de consumo, y los requisitos revisados de SCA bajo PSD3 deberían tener esto en cuenta.
Una oportunidad para mejorar la normativa
La misión de Stripe es hacer crecer el PIB de Internet. Para hacerlo de forma eficaz es necesario crear una infraestructura financiera coordinada con un marco regulador bien diseñado para los pagos en línea. Por eso esperamos que la Comisión Europea, el Parlamento Europeo y los Estados miembros de la UE tengan en cuenta las importantes diferencias entre las transacciones B2B y B2C a la hora de revisar la DSP.
Ya nos anima ver que el Parlamento Europeo propone un mandato para que la Autoridad Bancaria Europea (ABE) tenga en cuenta el tipo de pagador -consumidor o empresa- a la hora de desarrollar sus normas técnicas reguladoras sobre SCA junto con las normas finales de la DSP3. Los Estados miembros de la UE deberían seguir el ejemplo del Parlamento Europeo y aprovechar la DSP3 como una oportunidad para mejorar el funcionamiento de la autenticación para los 27 millones de empresas europeas.
