Si gestionas un eCommerce, sea cual sea el tamaño o sector, seguro que tienes marcado en rojo el 14 de septiembre en tu calendario. Ese día entra en vigor la implantación de la parte de la normativa PSD2 (Directiva europea sobre los Servicios de Pago) referida a SCA (Strong Customer Authentication). Se trata de una regulación compleja, con matices, excepciones y exclusiones. De su conocimiento y correcta aplicación dependerá en gran medida la evolución de los resultados del comercio online en los próximos meses.
Para ayudarte en la planificación y facilitarte el proceso de toma de decisiones, hemos elaborado un plan de acción que esperamos que se convierta en tu manual de ayuda para adaptarte a SCA.
- No te compliques con la normativa, pero apréndete muy bien estos 3 puntos:
- -> Según norma, de obligado cumplimiento, la mayoría de las transacciones de venta online tendrán que estar autenticadas por dos de tres factores de seguridad a partir del 14 de septiembre. O lo que es lo mismo, tendrán que procesarse por un protocolo de “Compra segura” (3D Secure) adaptado. Los 3 factores son:
-Algo que sé (PIN, password, …)
-Algo que tengo (un teléfono móvil, un token, …)
-Algo que soy (biometría) - -> La buena noticia es que la habilitación del SCA o Doble Factor de Autenticación no te corresponde a ti como comercio. Son los emisores de los sistemas de pago, o sea, los bancos y las marcas de tarjetas, los encargados de adaptar los protocolos e informar a sus usuarios para que conozcan y dispongan del doble factor de autenticación a partir de Septiembre. A ti, como responsable de un ecommerce, te toca asegurarte de procesar como “compra segura” (3D Secure) todas las operaciones que realmente lo requieran.
-> Como toda norma que se precie, existen excepciones e incluso exclusiones. Este punto es muy importante si te interesa poder procesar algunas o la mayoría de las transacciones sin necesidad de autenticar con los 2 factores.
- -> Según norma, de obligado cumplimiento, la mayoría de las transacciones de venta online tendrán que estar autenticadas por dos de tres factores de seguridad a partir del 14 de septiembre. O lo que es lo mismo, tendrán que procesarse por un protocolo de “Compra segura” (3D Secure) adaptado. Los 3 factores son:
2. Sabemos que te preocupa el impacto que el SCA va a suponer en el nivel de fricción y en los ratios de denegaciones, conversión y fidelización. Por eso te detallamos cada una de las exclusiones y excepciones, para que identifiques bien las que pueden aplicar en tu caso particular.
Exclusiones:
Las operaciones “excluidas” se enviarán por el comercio como
“compra no segura” (No 3D Secure). La entidad emisora del medio
de pago o tarjeta podrá aceptarlas o denegarlas, pero nunca
requerir una autenticación a su cliente.
- “One leg transactions”: cuando o bien medio de pago (tarjeta, cuenta…) o bien el cobro (TPV…) quedan fuera del Espacio Económico Europeo.
- Operaciones en las que el pago se ha iniciado por teléfono, correo o email.
- Pagos con tarjetas prepago anónimas.
- MIT (Merchant Initiated Transactions o pagos repetitivos, suscripciones): operaciones iniciadas por el comercio, con el pagador “ausente” en el momento del pago, siempre y cuando haya un acuerdo preexistente entre comercio y comprador. Se requiere una autenticación SCA en el pago inicial, en la primera compra. Se pueden considerar MIT los pagos repetitivos, en procesos tipo “batch” en los que el importe es variable. También en suscripciones digitales sin importe fijo como, por ejemplo, campañas de publicidad online o en cargos extras en el alquiler de un coche o reservas hoteleras …
Excepciones:
A diferencia de las “exclusiones”, las “excepciones” se tienen que
enviar por una canal de “compra segura” (3D Secure). La entidad
emisora de la tarjeta o medio de pago puede aceptarlas o denegarlas,
pero también, requerir una autenticación de su cliente antes de
responder.
- Transacciones de ≤ 30€. La entidad emisora también está regulada y solo la aceptará sin autenticar a su cliente si, desde la última vez que lo autenticó, el importe exento acumulado de su cliente en compras anteriores es ≤ 100€ o el número transacciones exentas es ≤ 5.
- Transacciones recurrentes: operativa periódica con mismos importes, sistema de pago, periodicidad y beneficiario. Se requiere autenticación en la primera transacción. Muy importante: las suscripciones iniciadas con anterioridad al 14 de Septiembre no tendrán que ser autenticadas.
- Excepción por TRA (Transaction Risk Analysis). Operaciones claramente de bajo riesgo de fraude, siempre y cuando el ratio global de fraude de la Entidad de Pago que procesa el pago del comercio (el banco o la plataforma propietaria del TPV Virtual), esté identificado y certificado por el Regulador:
- Operaciones < 500€ si ratio <0’01%
- Operaciones < 250€ si ratio <0’06%
- Operaciones < 100€ si ratio <0’13%
- Lista blanca de beneficiarios. La única que no puedes solicitar como comercio. Aplica a entidades emisoras de sistemas de pago que han habilitado protocolos para que sus clientes les puedan reportar sus “comercios de confianza” y les hayan autorizado para que no se aplique autenticación cuando compren en ellos.
3. Contacta con tu proveedor de TPV Virtual o pasarela de pagos y pregúntale qué acciones están llevando a cabo para poder procesar excepciones y exclusiones. El cambio normativo lleva asociado un cambio tecnológico y tu pasarela de pagos tiene que estar preparada.
Existen nuevas especificaciones del protocolo 3D Secure adaptado a los requerimientos de PSD2/SCA. El nuevo canal incluye nuevos campos que el comercio tiene que informar obligatoriamente como, por ejemplo, los referidos a ciertos parámetros del navegador del comprador. También hay campos que se tendrán que enviar si quieres acogerte a alguna de las excepciones.
- Si habitualmente procesas en 3D Secure, todo esto que te hemos explicado, quizás te interesa mucho, y como profesional del ecommerce es importante que lo sepas, pero realmente no afecta demasiado a tu tienda online. Simplemente tienes que asegurarte que tu proveedor de pasarela de pagos o TPV Virtual esté actualizando su tecnología con el nuevo protocolo.
- En cambio, si te interesa procesar todas o parte de las operaciones sin autenticar, analiza bien las exclusiones y excepciones que te hemos explicado y, si consideras que puedes aplicarte alguna de ellas, comunícaselo a tu proveedor de TPV Virtual. Éste deberá informarte sobre cómo proceder y configurar el envío de los campos adicionales necesarios.
- En cualquier caso, te recomendamos que durante las primeras semanas después del 14 de septiembre, intensifiques los controles sobre la conversión de las ventas en tu tienda online. Si detectas incrementos inusuales en los ratios de denegaciones, deberías contactar con un proveedor de plataforma de pagos para que te asesore.
- Al margen de todo lo anterior, si eres el gestor de un marketplace o plataforma online con gestión de fondos de terceros, tienes que saber que otra de las normas asociadas a PSD2 requiere que tu empresa disponga de una Licencia de Entidad de Pago del Banco de España o bien delegar la gestión en un partner con licencia, como PAYCOMET.