La nueva Directiva de Servicios de Pago de la UE, PSD2, no causó mucho revuelo cuando se introdujo en mayo del año pasado. Pero pronto la nueva ley comenzará a afectar a nuestros negocios online y los comercios deben prepararse para cumplir con los nuevos requisitos de seguridad a partir del 14 de septiembre. Te explicamos todo lo que necesitas saber sobre la nueva ley y cómo contar con un buen proveedor de servicios de pago (PSP) te ayudará en la transición sin perjudicar tus ratios de conversión ni a la relación con tus clientes.
La idea que subyace en la nueva directiva es, en parte, proteger a los consumidores del fraude, pero también promover la innovación en los pagos y los servicios financieros, con el mínimo impacto en las transacciones.
- 1. ¿Por qué es necesaria una maYor seguridad en Los Pagos?
Durante más de 15 años, el protocolo de seguridad 3DS ha funcionado para proteger las transacciones online, reducir el fraude en tarjetas y las retrocesiones, pero ha incrementado los ratios de abandono. La última actualización incluida en la PSD2, el 3DS v2, utiliza una gama más amplia de datos y autenticación biométrica para que los pagos online sean más seguros y fluidos que nunca.
Para evitar el fraude sin afectar a los ratios de conversión, PSD2 contiene nuevas regulaciones de seguridad para pagos digitales que entrarán en vigencia el 14 de septiembre. En el centro de estas regulaciones se encuentran lo que se denomina autenticación fuerte del cliente (Strong Customer Authentication) y comunicación segura.
- 2. ¿Qué es SCA?
En un nivel práctico, significa que los clientes deben identificarse utilizando al menos dos de los siguientes tres factores al realizar un pago online o iniciar sesión en sus cuentas bancarias.
- Algo que sabe: algo que solo el cliente sabe, como una contraseña o PIN.
- Algo que posee: como un teléfono o una tarjeta de claves.
- Algo que el cliente “es”, por ejemplo, características biométricas como reconocimiento facial o huella digital.
Esto significa que los consumidores, en la práctica, ya no podrán realizar
el pago con tarjeta online utilizando solo la información de sus tarjetas. En su lugar, tendrán que, por ejemplo, verificar su identidad en una aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella digital para aprobar la compra.
Sin embargo, existen algunas transacciones a las que no se aplican las reglas de SCA. Los pedidos realizados por correo electrónico y por teléfono (MOTO) no están sujetos a las reglas de SCA, así como a las transacciones iniciadas por el comerciante (Merchant Initiated Transaction). Un MIT es una transacción iniciada por el comerciante en lugar del titular de la tarjeta, por ejemplo, cuando un hotel almacena información de la tarjeta a través de un Token y le cobra al huésped los gastos del minibar después de que se haya realizado el check-out.
- 3. Exenciones de sca
Para facilitar las cosas tanto a los comercios como a los consumidores, PSD2 permite algunas exenciones de SCA. Lo que es importante tener en cuenta es que todas las transacciones que califican para una exención no serán exentas automáticamente. En el caso de transacciones con tarjeta, por ejemplo, es el banco emisor de la tarjeta el que decide si se aprueba o no una exención. Por lo tanto, incluso si una transacción califica para una exención, el cliente podría tener que realizar una SCA, si el banco emisor de la tarjeta decide exigirla.
– Transacciones de bajo valor
Esta exención será, lo más probable, la más utilizada. La exención dice que si un cliente realiza una compra por menos de 30 euros, puede quedar exento de realizar una autenticación sólida del cliente. Esta exención es limitada y si un cliente realiza cinco de estas transacciones seguidas o alcanza un valor de más de 100 euros, siempre se requerirá SCA.
– Suscripciones
Otro tipo de transacción que se puede eximir son los pagos recurrentes y de suscripción en los que la cantidad de cada transacción es la misma. Para estas transacciones, solo se requerirá SCA cuando el cliente se registre por primera vez para la suscripción y no para cada transacción individual.
– Análisis de riesgo
Las exenciones también se pueden hacer en base a lo que se llama “análisis de riesgo de transacción”. Esto significa que los comercios se podrán apoyar
en la tecnología antifraude que ofrece en un Proveedor de Servicios de Pago (PSP/Acquirer), como Ingenico ePayments, para solicitar exenciones para transacciones que se califiquen de “bajo riesgo” según los requisitos previstos por la PSD2/SCA. Ésta exención tiene un límite cuando se
trata del valor de transacción y solo se puede aplicar si el proveedor de servicios de pago tiene una tasa de fraude suficientemente baja para ese tipo específico de transacción.
– Listas blancas
El último tipo de exención se llama destinatarios incluidos en una lista blanca. La lista blanca significa que un consumidor puede registrar a ciertos destinatarios de pagos como “confiables” con el banco emisor de su tarjeta. Al hacer eso, no tendrán que llevar a cabo SCA al pagar a ese destinatario específico.
- 4. ¿Quién decide ahora si una Transacción es segura?
Bajo 3DS v2, los emisores de tarjetas son los responsables de decidir si autorizar una transacción. Si bien esto aleja la responsabilidad de los comercios, les asigna a responsabilidad de compartir más datos de alta calidad a los bancos emisores. Cuantos más datos compartan los comerciantes y cuanto mayor sea la calidad de los datos, mayor será la probabilidad de que las transacciones se autoricen y mejorará la experiencia del consumidor (CX).
- 5. Las cLaves Para La conversión: eL cLienTe no se ve afecTado.
Sabemos que como comercio no estás acostumbrado a compartir datos cualitativos a lo largo de la cadena de pago. Y eso no es tu culpa. En el pasado, todo lo que necesitabas proporcionarle al banco emisor era el número de la tarjeta del cliente, la fecha de caducidad y finalmente el CVV, junto con algunos datos adicionales, y eso era suficiente para que el banco emisor autorizara la transacción.
Los datos en los que los merchants deben enfocarse
Hay alrededor de 100 tipos de datos en total; Se requieren 20 y el resto son opcionales (aunque algunos son altamente recomendados). Algunos de ellos son datos que los comercios pueden proporcionar fácilmente y contribuirán a una experiencia del cliente sin fricciones, lo que finalmente lleva a
una mayor conversión. Por ejemplo, la información del cliente como nombre, dirección de correo electrónico, dirección de facturación, dirección de envío, etc. Además, puedes proporcionar datos que faciliten un contexto de la relación entre tu tienda y tu cliente: la antigüedad de la cuenta, la última vez que accedió a su cuenta, la última vez que se agregó una nueva tarjeta, si alguna información de la cuenta ha cambiado en los últimos treinta días o un año, si la dirección ha sido cambiada recientemente, si la contraseña ha sido cambiada recientemente, etc..
Estos datos pueden dar al banco emisor más confianza en que el comercio conoce al comprador. Como ves, son datos que se recopilan pasivamente con interacciones mínimas. Proporcionar esta información a los bancos emisores no agrega ninguna fricción a la experiencia del cliente y aumenta la seguridad de las transacciones.
Por supuesto, hay otros datos especificados en la norma que como comercio no puedes proporcionar, ya que son difíciles de recopilar. Esta información es muy específica, como la resolución de pantalla del dispositivo del consumidor o el BIN del adquirente que se utiliza para autorizar la transacción. Afortunadamente para eso contarás con la ayuda de un Proveedor de Servicios de Pago como Ingenico ePayments, que puede aprovechar todo el poder de su tecnología. Desde detectar el tipo de dispositivo, el tipo de navegador, el idioma del navegador, la longitud y el ancho de la pantalla, el huso horario, información que es increíblemente útil para la prevención del fraude pero que los comercios no están equipados para rastrear. Nosotros podemos compilarla por ti y enviarla
al banco emisor con la máxima seguridad, mejorando la experiencia para tus clientes.
En resumen, la transición y la implantación de la nueva normativa no matará la estrella de la conversión de tu negocio online, si vas de la mano de un buen PSP para ayudarte y asesorarte en el camino.
