Plan de acción para la aplicación de PSD2 – SCA

psd2

La normativa PSD2 (Directiva Europea Sobre Los Servicios De Pago), es una regulación compleja, con matices, excepciones y exclusiones.

¿Qué es PSD2?

Es el nombre que se la da a la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo sobre servicios de pago en el mercado interior.

Esta regulación busca principalmente la transparencia, la seguridad y la estandarización de los servicios digitales, así como la protección de los derechos de los usuarios en Europa.

¿Cómo afecta a tu comercio?

El punto al que sin duda prestamos más atención es la SCA (Strong Customer Authentication o Autenticación Reforzada de los usuarios). Para hacerte más sencilla su aplicación y ayudarte a tomar decisiones hemos preparado los siguientes puntos:

1. ¿De qué trata la PSD2 SCA? La mayoría de las transacciones de venta online tendrán que estar autenticadas mínimo por dos de estos tres factores de seguridad a partir de la entrada en vigor. O lo que es lo mismo, tendrán que procesarse por un protocolo de “Compra segura” (3D Secure) adaptado.

Factores de autentificación

Estos elementos de verificación de la identidad deben ser independientes, de forma que el incumplimiento de uno de ellos no comprometa la fiabilidad de los otros.

Pero esta habilitación del SCA o Doble Factor de Autenticación no te corresponde a ti como comercio. Son los emisores de los sistemas de pago, o sea, los bancos y las marcas de tarjetas, los encargados de adaptar los protocolos e informar a sus usuarios para que conozcan y dispongan del doble factor de autenticación.

Ten en cuenta que a ti, como responsable de un ecommerce, te toca asegurarte de procesar como “compra segura” (3D Secure) todas las operaciones que realmente lo requieran.

Así que te recomendamos analizar tu operativa, comunicarte con tus proveedores de pago, informarte de las medidas que necesitas implementar y por último, hacer un seguimiento tu operativa, para que en caso de cualquier imprevisto se pueda resolver rápidamente.

2. Ahora que entendemos el impacto que PSD2 SCA va a suponer en el nivel de fricción y en los ratios de denegaciones, conversión y fidelización.

Por eso te detallamos cada una de las exclusiones y excepciones, para que identifiques bien las que pueden aplicar en tu caso particular.

EXCLUSIONES

Las operaciones “excluidas” se enviarán por el comercio como “compra no segura” (No 3D Secure). La entidad emisora del medio de pago o tarjeta podrá aceptarlas o denegarlas, pero nunca requerir una autenticación a su cliente.

¿Cuáles son las operaciones excluidas?

“One leg transactions”: cuando o bien medio de pago (tarjeta, cuenta…) o bien el cobro (TPV…) quedan fuera del Espacio Económico Europeo.

MO/TO: Operaciones en las que el pago se ha iniciado por teléfono o correo postal.

Pagos con tarjetas prepago anónimas.

MIT (Merchant Initiated Transactions o pagos repetitivos, suscripciones): operaciones iniciadas por el comercio, con el pagador “ausente” en el momento del pago, siempre y cuando haya un acuerdo preexistente entre comercio y comprador.

Se requiere una autenticación SCA en el pago inicial, en la primera compra. Se pueden considerar MIT los pagos repetitivos, en procesos tipo “batch” en los que el importe es variable. También en suscripciones digitales sin importe fijo como, por ejemplo, campañas de publicidad online o en cargos extras en el alquiler de un coche o reservas hoteleras …

EXCEPCIONES

A diferencia de las “exclusiones”, las “excepciones” se tienen que enviar por una canal de “compra segura” (3D Secure). La entidad emisora de la tarjeta o medio de pago puede aceptarlas o denegarlas, pero también, requerir una autenticación de su cliente antes de responder.

• Transacciones de ≤ 30€. La entidad emisora solo la aceptará sin autenticar a su cliente si, desde la última vez que lo autenticó, el importe exento acumulado es ≤ 100€ o el número transacciones exentas es ≤ 5.

• Transacciones recurrentes. Operativa periódica con mismos importes, sistema de pago, periodicidad y beneficiario. Se requiere autenticación en la primera transacción. Muy importante: las suscripciones iniciadas con anterioridad a la fecha de entrada en vigor no tendrán que ser autenticadas.

• Excepción por TRA (Transaction Risk Analysis). Operaciones claramente de bajo riesgo de fraude, siempre y cuando el ratio global de fraude de la Entidad de Pago que procesa el pago del comercio (el banco o la plataforma propietaria del TPV Virtual), esté identificado y certificado por el Regulador:

– Operaciones < 500€ si ratio <0’01%
– Operaciones < 250€ si ratio <0’06%
– Operaciones < 100€ si ratio <0’13%

Lista blanca de beneficiarios. No la puedes solicitar como comercio. Aplica a entidades emisoras de sistemas de pago. Consiste en la habilitación de protocolos para que sus clientes les puedan reportar “comercios de confianza”.

3. Al contactar con tu proveedor de TPV Virtual o pasarela de pagos, pregúntale qué acciones están llevando a cabo para poder procesar excepciones y exclusiones.

El cambio normativo lleva asociado un cambio tecnológico y tu pasarela de pagos tiene que estar preparada.

Existen nuevas especificaciones del protocolo 3D Secure adaptado a los requerimientos de PSD2/SCA.

El nuevo canal incluye nuevos campos que el comercio tiene que informar obligatoriamente como, por ejemplo, los referidos a ciertos parámetros del navegador del comprador. También hay campos que se tendrán que enviar si quieres acogerte a alguna de las excepciones.

4. En el caso de que ya proceses tus operaciones en Compra Segura, tienes que conocer esta información como profesional del ecommerce, pero realmente no afecta demasiado a tu tienda online.

Simplemente tienes que asegurarte que tu proveedor de pasarela de pagos o TPV Virtual esté actualizando su tecnología con el nuevo protocolo y que los nuevos campos obligatorios ya estén implementados en los formularios.

5. En cambio, si te interesa procesar todas o parte de las operaciones sin autenticar, debes analizar muy bien las exclusiones y excepciones que te hemos explicado y, si consideras que puedes aplicarte alguna de ellas, comunícaselo a tu proveedor de TPV Virtual. Éste deberá informarte sobre cómo proceder y configurar el envío de los campos adicionales necesarios.

6. Al margen de lo anterior, si eres un Marketplace o una plataforma que gestiona fondos de terceros, la PSD2 además requiere que tu Marketplace disponga de una Licencia de Entidad de Pago del Banco de España o bien delegar la gestión en un partner con licencia, como PAYCOMET.

Enlaces relacionados:
Diario Oficial Unión Europea: Regulación PSD2
Moratoria Banco de España PSD2 SCA

Artículo relacionado

Artículos relacionados

16/09/2019

El Banco de España emitió una nota informativa donde afirma que revisará... (Leer más)

Suscríbete a la newsletter
  • Email Address: