Llega la PSD2. Llega rápido, golpeando primero a los miembros de la Unión Europea. Es la situación del GDPR otra vez. ¿Cuál es tu papel en este asunto? Sintonízanos y descúbrelo. Pero sólo para darte un spoiler, no hay escapatoria y lloverán las sanciones para aquellos que no puedan cumplirla, una vez que pase la fecha límite, el 14 de septiembre.
No pretendemos asustarle. Simplemente exponemos lo obvio y esperamos aclarar un poco las cosas. Como siempre, cuando se produce un cambio de esta magnitud, la confusión es inevitable. Y la confusión nunca conduce a nada bueno. Como no queda tanto tiempo, será mejor que nos pongamos manos a la obra y dejemos a un lado la visión artística para poder ocuparnos de las cuestiones prácticas. ¿Qué es la PSD2 y qué se espera de nosotros?
PSD2: anunciada, firmada y confirmada
14 de septiembre de 2019. Esta fecha pasará a la historia (a la historia bancaria, al menos) como el día en que se implantó la PSD2. Ya has recorrido este camino antes. ¿Recuerdas la primavera pasada? ¿Recuerdas el GDPR? Muchas conversaciones, muchas dudas, mucha confusión. Sin embargo, de alguna manera, el mundo salió adelante. El GDPR entró en vigor y el mundo tuvo que cumplirlo. Entonces, ¿por qué tanto miedo a la DSP2?
Esta es la segunda Directiva sobre Servicios de Pago y cuanto más envejecemos, más complicado y complejo se vuelve todo. Los pagos no son una excepción y el fraude tampoco. Puesta sobre la mesa por primera vez, allá por 2015, la PSD2 se creó a partir de una necesidad acuciante de mejorar la detección del fraude y aumentar la seguridad. Todo el propósito de la PSD2 es mejorar y enriquecer la gama de servicios que forman parte del ecosistema de pagos, equilibrando la balanza de poder entre las entidades financieras, las tecnologías de pago y terceros.
CAMBIOS CLAVE EN PSD2
Hasta aquí, todo bien. Llegados a este punto, puede que te estés preguntando qué tiene que ver la PSD2 con tu negocio de suscripciones.
Además de abrir las puertas al sector de los pagos y centrarse en nivelar la competencia, la DSP2 se ha propuesto crear un entorno en línea más seguro. Esto implica grandes inversiones en tecnologías innovadoras para asegurar las transacciones y proteger a los consumidores.
Uno de los principales cambios introducidos por la PSD2 es la implantación de la autenticación fuerte de clientes (SCA, por sus siglas en inglés), destinada a mejorar la seguridad y minimizar el fraude.
Y aquí es donde entran en juego tanto usted, el comerciante, como los PSP.
Sin integraciones de terceros. Sin costes ocultos. Sin pérdidas de tiempo.
Una solución tan única como las necesidades de su empresa.
¿Qué es el SCA?
La autenticación fuerte del cliente entra en vigor el 14 de septiembre y, a partir de ese momento, para aceptar pagos en línea, el flujo de pago deberá incluir una autenticación adicional. Según la PSD2, todas las operaciones de pago en línea requerirán autenticación mediante al menos dos de los tres procedimientos posibles:
El objetivo frente al reto
Aunque el objetivo de la autenticación en dos pasos es reducir el fraude y mejorar la seguridad, nos enfrentamos a un gran reto, el de satisfacer las exigencias de los consumidores de disfrutar de una experiencia fluida y sin fricciones.
Sin embargo, aunque existe el riesgo de asustar a los consumidores, los comerciantes deben ser conscientes de que, a partir del 14 de septiembre, los bancos empezarán a rechazar los pagos sin la autenticación en dos pasos.
3D Secure 2.0: el lado positivo de la PSD2
Es necesario aplicar la PSD2. Dado que la versión 2.0 es su única opción viable, debe cumplirla. Sin embargo, detrás de cada nube hay un resquicio de esperanza y, en este caso, vuelve a ser la 2.0. No lo decimos para levantarte el ánimo. No. La versión 2.0 viene a resolver varios problemas del pasado, aportando mejores experiencias de usuario. En otras palabras, los clientes obtienen lo mejor de ambos mundos: seguridad y compras sin fricciones.
Veámoslos uno por uno.
3D Secure 1.0
Al principio, 3D Secure llegó como el caballero de la brillante armadura, pero no permaneció en ella demasiado tiempo. Pronto empezaron a surgir algunos retos, y de los grandes.
Con 3D Secure, todo el proceso de pago se complica al instante, ya que se añade un paso más. Sí, la experiencia puede ser más segura, pero también es mucho más incómoda para el cliente, ya que su trayecto se interrumpe bruscamente. Esto podría provocar un descenso de la tasa de conversión, algo que nadie desea. Además, las compras dentro de la aplicación no están permitidas, pero sí las compras a través del navegador.
Y analicemos un poco el tema de la seguridad porque las cosas no siempre son lo que parecen. Ahora bien, el objetivo de utilizar 3D Secure 1.0 era abrir una ventana emergente y redirigir al cliente a una nueva página. En ciertos tipos de ataques, del tipo "man-in-the-middle", se pueden robar datos recreando la ventana emergente, pudiendo así robar información personal de los clientes. Además, el comerciante no tiene ningún control sobre el aspecto de la interfaz. Por tanto, la experiencia del usuario es muy deficiente.
3D Secure 2.0
Como hemos dicho, la buena noticia es que existe la versión 2.0, que responde eficazmente a estos retos. Y no es porque lo digamos nosotros. Es la PSD2 la que exige cambios y mejoras. Publicada en 2016, en Las Vegas por EMVCo, la versión 2.0 es un auténtico salvador de la conversión.
Las compras dentro de la aplicación se admiten en dispositivos móviles y de otro tipo, lo cual es una gran noticia, dado que las compras dentro de la aplicación son una parte importante para garantizar experiencias satisfactorias a los clientes.
En la versión 2.0, el análisis de riesgos se realiza en segundo plano. El cribado de la compra lo realiza el servidor ACS. Si el riesgo es bajo, ACS autentica al cliente. Esto se hace en silencio, sin molestar más al cliente. El proceso en sí mismo es sin fricción, ya que el cliente no es consciente de ello. Una vez autenticado, se le redirige inmediatamente a la pantalla de confirmación de la compra.
Además, permite integrar el proceso de autenticación en la experiencia de pago. Esta mejora en particular es muy prometedora, porque aporta una gran flexibilidad, además de seguridad. Básicamente, el paso adicional de la versión 1.0, que era, de hecho, responsable del descenso de la tasa de conversión, se sustituye no por una opción, sino por tres: la opción pasiva (el intercambio de información se realiza sin molestar al cliente), la verificación en dos pasos (se proporciona un código numérico al cliente por SMS o correo electrónico) y la biométrica (reconocimiento facial o huella dactilar).
Esto es flexibilidad y sólo mejorará porque los bancos tienen libertad para innovar, pudiendo simplificar aún más el proceso de autenticación en el futuro. Y la seguridad no se ve comprometida.
Como ya no es necesario completar el proceso de autenticación en una pantalla distinta, el riesgo de sufrir ataques "man-in-the-middle" disminuye considerablemente. Así que, sí, la seguridad no se ve comprometida en absoluto.
Dado que la PSD2 es una normativa que apoya las nuevas tendencias y cambios dentro del ecosistema de pagos, Apple Pay o Google Pay recibirán reconocimiento, ya que estos métodos de pago tienen una capa de autenticación ya implementada (contraseña o reconocimiento facial/huella dactilar). Por tanto, ya han recorrido la mitad del camino en cuanto al cumplimiento de los nuevos requisitos.
Además, la versión 2.0 permite a los bancos emisores determinar si es necesaria o no una autenticación adicional, por supuesto como resultado del análisis basado en el riesgo. Esto allana el camino y mejora el flujo de pagos.
Desafíos superados, misión cumplida
3D secure 2.0 no sólo es obligatorio, sino también muy beneficioso. Aporta grandes ventajas, tanto en términos de seguridad como de experiencia del cliente. Una experiencia de pago más fluida, clara y sin fricciones, compatibilidad tanto con compras por Internet como a través de aplicaciones, eliminación de las confusiones de los clientes y mayor seguridad: eso es 3D Secure 2.0.
Sin integraciones de terceros. Sin costes ocultos. Sin pérdidas de tiempo.
Una solución tan única como las necesidades de su empresa.
Los afortunados: Exenciones SCA
Como cualquier normativa, la PSD2 viene acompañada de su propio conjunto de exenciones. Hay determinados casos en los que la DSP no se aplica y que contribuyen en gran medida a mejorar las experiencias de los clientes.
Transacciones de escaso valor
Los pagos inferiores a 30 euros se consideran transacciones de escasa cuantía y, en estos casos, no puede aplicarse la SCA. Si esta exención se ha utilizado 5 veces desde la última autorización o si la suma de las últimas 5 transacciones supera los 100 euros, los bancos tendrán que pedir autorización.
Transacciones recurrentes
En el caso de las suscripciones o los pagos recurrentes, la autorización sólo será necesaria para las primeras transacciones. De hecho, esta situación puede plantear un nuevo reto, ya que, dentro del mundo de las suscripciones, los pagos recurrentes pueden variar. La buena noticia es que éstos entran dentro de las transacciones iniciadas por el comerciante, por lo que se consideran una excepción a la SCA.
Transferencias iniciadas por el comerciante
Los pagos realizados con tarjetas que se hayan guardado previamente en el sistema podrían no estar sujetos a la SCA. Sin embargo, los bancos tendrán la última palabra en este asunto, ya que serán ellos quienes decidan en última instancia si la autenticación es necesaria o no para una transacción. Las transacciones iniciadas por el comerciante también incluyen las suscripciones de importe variable, así como las compras complementarias.
Para que un pago entre en la categoría de transacciones iniciadas por el comerciante, la autenticación se solicitará cuando se esté guardando la tarjeta o cuando se realice el primer pago.
Beneficiarios de confianza
Algunas transacciones pueden realizarse sin autenticación, ya que los clientes tienen la opción de incluir en una lista blanca los comercios en los que confían. Las futuras compras procedentes de esos comercios no requerirán autenticación. Bancos, comerciantes y proveedores de servicios de pago tendrán que comunicar esta cuestión en el contexto del procesamiento de pagos. Sin embargo, los bancos tendrán la última palabra en este asunto.
Operaciones societarias
Las transacciones corporativas o B2B, realizadas entre dos corporaciones, están exentas de SCA siempre que se utilicen instrumentos de pago específicos. Todos los gastos corporativos deben pagarse con una tarjeta corporativa, utilizada únicamente para fines específicos. Sin embargo, es importante mencionar que esta exención depende en gran medida de los bancos.
Dadas las numerosas innovaciones que se están produciendo en el mercado del comercio electrónico, era sólo cuestión de tiempo que se necesitaran nuevas tecnologías de seguridad. La PSD2 se ha propuesto cambiar la forma en que se efectúan los pagos electrónicos. El cliente sigue siendo la máxima prioridad, tanto en términos de seguridad como de experiencia. Eliminar cualquier amenaza existente es igual de importante que ofrecer experiencias de compra fluidas y sin fricciones.
Con una fecha límite próxima, la PSD2 y su aplicación deberían ser la principal preocupación de los comerciantes.
Esté atento a más anuncios sobre lo que PayPro Global está haciendo para garantizar el cumplimiento de PSD2.
Meir Amzallag
Co-founder and CEO of PayPro Global
Ioana Grigorescu
Content Marketing Manager at PayPro Global
