Desde el próximo 1 de enero todas las compras online deben cumplir con el sistema de autenticación reforzada de cliente (SCA, Strong Customer Authentication). ¿Está tu ecommerce preparado para cumplir con este protocolo que da mayor seguridad al pago electrónico y reduce el fraude?
El 40% de las tiendas online españolas todavía desconoce las obligaciones que la SCA impone a su negocio. Así lo ha puesto de manifiesto el Estudio de medios de pago y fraude online 2020, presentado este mes de octubre por Adigital (Asociación Española de la Economía Digital).
El informe evidencia el desconocimiento de la implantación de la directiva PSD2 que, entre otras cosas, obliga a utilizar el protocolo SCA a todos los pagos electrónicos de más de 30 euros en ecommerce.
Su puesta en marcha no está significando mayor inconveniente, ya que son las entidades financieras las encargadas de dar todo el soporte al cumplimiento de la ley, pero es esencial saber cómo afecta a los negocios.
La directiva PSD2
La autenticación reforzada de clientes o SCA llega a nuestras vidas en cumplimiento de la Directiva sobre servicios de pago electrónicos o PSD2. La Unión Europea (UE) lleva trabajando en esta directiva desde 2015, con tres objetivos principales:
- Unificar los pagos electrónicos en la UE. En la práctica implica más transparencia al tratar la operación nacional e internacional de modo prácticamente igual.
- Mejora de la seguridad en pagos electrónicos. Mediante medidas como la SCA.
- Facilitar la entrada a los nuevos operadores de pago electrónico. Esto ocurre al regular el acceso a la información que custodia el banco, que ahora puede compartir con terceros siempre que el usuario le dé permiso. De este modo, se regulan todas las nuevas propuestas fintech, por ejemplo, los agregadores que centralizan la información financiera personal en una sola aplicación, o las nuevas fórmulas de pago electrónico por móvil u otros sistemas.
¿Qué es la autenticación reforzada de clientes en los pagos online?
La autenticación reforzada de cliente es el estándar de pago electrónico de obligado cumplimiento desde 2021.
Su mayor novedad es incorporar un nuevo paso al proceso de pago, es lo que se conoce como doble autenticación. Para demostrar que es el legítimo titular, el usuario debe proporcionar al menos dos evidencias de tres posibles:
- Algo que el cliente sabe, como una contraseña o PIN.
- Posesión: Algo que solo el cliente posee, como su teléfono, tarjeta de pago u otros medios digitales.
- Algo que es parte del cliente, como su huella digital o su rostro, si el sistema incorpora reconocimiento facial o de iris.
¿Cómo funciona el pago con SCA?
La doble autenticación se exige en los pagos de ecommerce por un importe mayor de 30 euros, y en los realizados por canal digital en tienda a partir de 50 euros.
En las compras presenciales ya se cumple la norma de disponer de dos de las tres evidencias. Por lo general, todos los clientes tienen el medio de pago personal (su móvil o una tarjeta bancaria) y la clave PIN.
El SCA aporta más novedades en la compra por Internet, cuando debemos añadir esa información adicional en el proceso de compra, normalmente un código de un solo uso. Lo mismo ocurre cuando autorizamos una tarjeta como medio de pago de una determinada web, por ejemplo, para suscribirse a una plataforma de contenidos o de compras.
La doble autenticación es posible gracias a la API. Estos miniprogramas permiten al comercio comunicarse con el banco, quien cuenta con nuestra autorización para hacerlo, garantizando la protección de nuestros datos bancarios. Es así como se recibe en el dispositivo móvil autorizado un mensaje SMS o en la app de la entidad el citado código de un solo uso.
El protocolo de funcionamiento más extendido es el 3DSecure, que ya está presente en el 19% de las ventas del ecommerce, según los datos de Adigital.
¿Todos los pagos requieren la doble autentificación?
Hay unas cuantas excepciones a la norma, como cuando se utilizan tarjetas prepago anónimas o cuando el banco emisor o quien compra están fuera de la UE, pero las situaciones más comunes son:
- Pagos por importe inferior a 30 euros hasta un máximo de cinco operaciones o 100 euros acumulados en compra en remoto y 150 en compra presencial. Medida para evitar un uso fraudulento por pérdida de tarjeta.
- Pagos recurrentes, por ejemplo de suscripciones.
- Pagos a los comercios de confianza que haya indicado el usuario. Son las denominadas listas blancas.
- Pagos en peajes o parkings automatizados.
Y tres últimas consideraciones:
- En caso de robo y de fraude, el usuario será responsable de pagos no autorizados de hasta 50 euros (antes eran 150 euros). A partir de esa cantidad, será el proveedor el obligado a hacerse cargo del importe defraudado.
- El plazo de la entidad bancaria para resolver una reclamación sobre cobro indebido será de 15 días.
- Se prohíbe cualquier cargo adicional en los pagos electrónicos por el uso de tarjetas de débito y crédito. Solo con esta medida, la UE ha calculado que los consumidores ahorrarán 550 millones de euros al año.