PSD2: Autenticación del usuario en el entorno online

A partir del próximo 14 de septiembre, la SCA (Strong Customer Authentication) será obligatoria. ¿Qué cambios traerá y cómo deben afrontarlos los comercios?

Entre las novedades que introduce la Segunda Directiva de Servicios de Pago (PSD2), aquellas relativas a la seguridad tendrán sin duda una especial relevancia e impacto en el entorno. Por ello, es importante comprender cuáles son las nuevas exigencias, qué repercusión tendrán y cómo pueden adaptarse los diferentes actores, antes de su entrada en vigor el próximo 14 de septiembre, para extraer oportunidades más allá de las amenazas.

Estos cambios en materia de seguridad se concretan en la denominada Strong Customer Authentication (SCA), que exige la autenticación o identificación del usuario mediante un mínimo de dos factores para aquellas acciones que impliquen el acceso a una cuenta online de pagos, el inicio de transacciones electrónicas de pago u otras operaciones en las que pueda existir riesgo de fraude a través de un canal remoto. Dichos factores pueden ser de tres tipos: algo que la persona sabe (como una contraseña o un PIN), algo que la persona tiene (como una tarjeta o un teléfono móvil) o algo que la persona es (un elemento biométrico como la huella o el iris).

En cambio, la autenticación reforzada no aplica para los casos de pago con tarjetas prepago anónimas, los pagos previamente autorizados por el cliente a un comercio (en cuyo momento si debe haber una doble autenticación) y que este lleva a cabo más tarde, las transacciones por Mail Order o Telephone Order y aquellas operaciones que tengan como origen o destino un país no perteneciente a la Unión Europea.

Dentro de los casos en los que sí se aplica la SCA, existen diferentes exenciones que permiten evitar la autenticación en transacciones online para casos puntuales:

  • Operaciones de bajo importe. Los pagos efectuados por un importe menor a 30€ se considerarán de bajo valor y podrán por tanto estar exentos de autenticación. Aun así, se deberá aplicar la SCA siempre que se sucedan 5 pagos desde la última vez que el usuario se autenticó, o cuando la suma del valor de los diferentes pagos realizados supere los 100€.
  • Operaciones de bajo riesgo. La realización de un Análisis del Riesgo Transaccional (RTA) por parte del adquirente permitirá la exención sobre un pago a través de la Autenticación Basada en el Riesgo o Risk Based Authentication (RBA) cuando se cumplan los límites establecidos:
    • Un nivel de fraude del 0,13% para transacciones por debajo de los 100€.
    • Un nivel de fraude del 0,06% para transacciones por debajo de los 250€.
    • Un nivel de fraude del 0,01% para transacciones por debajo de los 500€.
  • Suscripciones. Podrá aplicarse esta exención para pagos recurrentes, siempre y cuando sean por la misma cantidad y dirigidas al mismo negocio. Deberá ser autenticada tanto la primera transacción como cualquier modificación sobre el importe, beneficiario, etc.
  • Listas blancas o Whitelist (WL). Los clientes podrán añadir sus comercios de confianza en una lista blanca, que su banco o PSP deberá gestionar y actualizar. Para añadir, quitar comercios o realizar modificaciones sobre esta lista, el usuario deberá autenticarse. Una vez añadido un comercio a la lista, podrá evitar dicha autenticación en las posteriores operaciones.

Estas nuevas exigencias en materia de seguridad introducirán cambios sobre la experiencia de compra en el momento de checkout. Por ello, los comercios deben estar preparados, por un lado, para permitir la doble autenticación generando la mínima fricción para el usuario, y por otro, para tratar de hacer aplicables las máximas exenciones posibles. De esta manera podrán diferenciarse a través de la experiencia de usuario, mientras aseguran la máxima seguridad para sus clientes.

Para lograr esto, los comercios deberán integrar el protocolo EMV 3-D Secure, un estándar global que ayudará a la autenticación de las transacciones y la transmisión de información. El intercambio de datos entre el comercio y el emisor de las tarjetas facilitará la autenticación basada en el riesgo (RBA), reduciendo así la fricción para el usuario, minimizando las transacciones que requieren la autenticación por parte de este y, en definitiva, mejorando la experiencia del consumidor en el proceso de checkout.

Por otro lado, las tiendas online podrán informar a sus clientes para que añadan al comercio a la lista blanca gestionada por su banco, para que tras la fecha límite de implantación de la SCA, el próximo 14 de septiembre, estén listos y poder aplicar esta exención.

Desde Sipay Plus, compañía española especializada en soluciones de pago, consideran que “los merchants deben adelantarse a los cambios en el momento del pago, apoyados por emisores, adquirentes, marcas y proveedores de servicio de pago (PSP), que desarrollarán diferentes papeles en el proceso de innovación y adaptación a la nueva normativa PSD2”.

Otros artículos