Nueva normativa para pagos seguros en Europa

Nueva normativa para pagos seguros en Europa
Anterior

Pronto entrará en vigor la directiva europea PSD2 que añadirá una nueva capa de seguridad a los pagos online pero que obliga a adaptar los procesos de compra de tiendas online.

Actualización en la normativa PSD2, autenticación reforzada (SCA).

El próximo 14 de septiembre entra en vigor la actualización de nuevos requisitos para la certificación de pagos con tarjeta de la normativa PSD2 (Payment Service Providers). Esta nueva regla refuerza la seguridad de los pagos online mediante SCA (Strong Customer Authentication). Mediados de septiembre es la fecha límite para que todas las empresas dentro del marco de la Unión Europea cumplan con la norma técnica de PSD2 recogida en la directiva (UE) 2015/2366.

Antecedentes: la Directiva de Servicios de pago (PSD)

Primero debemos saber que la normativa comenzó en 2007 con la Primera Directiva de Servicios de pago (PSD) para crear un mercado eficiente e integrado para los servicios de pago en la UE, estableciendo un conjunto único de herramientas y estándares para los pagos transfronterizos en euros y haciendo estas transacciones tan fáciles como los pagos nacionales. De esta manera se fomenta la competencia e innovación en los servicios de dinero electrónico.

La nueva directiva: PSD2

La PSD2 es el resultado de una revisión que pretende profundizar en estos objetivos, fue hecha en 2013 y aprobada en 2015 por la Unión Europea. Ésta busca nivelar el juego entre países y proveedores de servicios de pago, mejorando la posición del consumidor. Además esta normativa estandariza los pagos online o mediante el uso del móvil.

Con la entrada del sistema de autenticación reforzada (SCA) se pretende combatir el fraude de los pagos en línea efectuados por los clientes europeos. Para que una empresa pueda aceptar pagos, deberá crear un flujo de autenticación adicional utilizando al menos dos de los tres elementos siguientes:

Contraseñas o PIN Token del teléfono u otro dispositivo Huella digital o reconocimiento facial

A partir del 14 de septiembre los bancos europeos no realizarán operaciones si no se cumplen estos criterios, salvo excepciones.

¿Cuándo es necesario el SCA?

Este nuevo sistema de autenticación será necesario siempre que el cliente sea quien inicie la operación del pago en línea dentro de Europa. En los casos donde la transacción la inicia el comerciante, no se requerirá una validación tan exigente (a excepción de algunos casos).

Para pagos en línea, se utilizarán estos requisitos en las transacciones donde la empresa y el banco del titular de la tarjeta se encuentren dentro del Espacio Económico Europeo (EEE).

Queda por saber cómo afectará el Brexit para la aplicación del SCA en el Reino Unido.

¿Cómo afecta esto a las tiendas online?

Uno de los inconvenientes más claros es la obligatoriedad de utilizar de una autenticación reforzada, cuando antes era opcional. Esto obviamente impacta en una de las partes más críticas del proceso de compra de una tienda online: el proceso de pago. A partir de ahora, habrá un nuevo punto de fricción a la hora de pagar: será necesario que el usuario verifique que está autorizado para realizar dicha operación.

Sin embargo hay excepciones, como:

  • transacción de bajo valor, como los pagos contactless (menos de 30€, pero con límites: solo puede usarse 5 veces seguidas o por una suma de 100€ antes de requerir una nueva validación),
  • transacciones recurrentes por un mismo importe, como una suscripción a un servicio,
  • transacciones que han superado un análisis de riesgos o TRA (Transaction Risk Analysis)
  • pagos realizados a destinatarios de confianza (whitelisting),
  • pagos realizados a través de venta telefónica,
  • transacciones iniciadas por el comercio en lugar del cliente.

Además hay que señalar que el PSD2 afecta también a los marketplaces que sean intermediarios: no les permite eximir sus obligaciones si gestionan fondos por cuenta de terceros, tanto del comprador, como del vendedor.

A su vez, otro detalle que cambia de raíz son los surcharges o gastos adicionales para la utilización de un medio de pago determinado. Estas cuotas están prohibidas con la entrada en vigor de la normativa, pero no así los descuentos o ventajas para incentivar el uso de un medio de pago concreto.

¿Que nos espera?

El día 14 de septiembre se termina el plazo y todos los negocios deben de estar adaptados a la nueva normativa si no quieren no ver reducida  su tasa de conversión de forma significativa. El manejo exitoso de las exenciones se convertirá en un elemento clave para conseguir una experiencia de pago cómoda y fácil para el cliente, para evitar una primera impresión negativa cuando compren por internet.

Para las tiendas online, en función del tipo de integración con pasarelas de pago, serán necesarios más o menos cambios. En general, los principales proveedores ya se están adaptando a la nueva situación y están publicando soluciones y actualizaciones.

Por otro lado, las principales redes de tarjetas bancarias, Visa y Mastercard, ya están implementando su adaptación a esta normativa: 3D Secure 2. Actualmente, la gran mayoría de tarjetas europeas ya usa 3D Secure; con la nueva versión se refuerza la seguridad y se cumple con la directiva PSD2. En este sentido, muchos consumidores ya están acostumbrados a realizar algún tipo de validación a la hora de realizar pagos online; ya sea tarjeta de coordenadas, PIN o código por SMS.

Se espera que las entidades reguladoras nacionales y los bancos apoyen las exenciones y creen soluciones para ayudar a administrar la complejidad del nuevo sistema; que en breve tendremos que cumplir todos.