PSD2 y autenticación reforzada (SCA)

PSD2 y autenticación reforzada (SCA)

Source

En enero del 2018, ocurrieron cambios importantes en la Unión Europea para los servicios de pagos electrónicos. Esta regulación, llamada PSD2, fue creada para ayudar a los servicios bancarios a adoptar nuevas tecnologías y promover la innovación. Te explicamos más sobre la PSD2, qué implica, porqué es importante y cómo funciona.

¿Qué es la PSD2?

En 2018, la Unión Europea iteró la Directiva para proveedores de Servicios de Pago (PSD), yendo más allá de los objetivos originales. La directiva PSD2 pretende impulsar la innovación en el sector de los pagos electrónicos, reforzar la seguridad mejorando la protección de los compradores y facilitando el desarrollo de nuevos métodos de pago.

¿Porqué es importante la PSD2? 

Esta legislación tiene el poder de transformar el sector bancario y de servicios financieros. Los bancos serán obligados a compartir datos a terceros formando un ecosistema abierto de actores bancarios. Esto permite el movimiento fluido de dinero, y abre nuevas oportunidades para que las empresas puedan crear mejores plataformas de gestión financiera.

¿Qué hace la PSD2?

La PSD2 alinea el estado actual del mercado con las regulaciones sobre pagos digitales. Añade requisitos de seguridad al iniciar y finalizar pagos electrónicos para proteger aún más los datos bancarios de los consumidores. También regula la participación de proveedores terceros, al decidir cuál puede iniciar un pago o agregar cuentas.

PSD2 no permite costes añadidos en pagos hechos en la Unión Europea. Esta prohibición aplica a todas las transacciones con MasterCard y Visa. Los costes añadidos se prohíben también en las transferencias estándar y domiciliaciones bancarias. La única excepción a esta regla afecta a los negocios. Las transacciones operadas con tarjetas de empresa o corporativas pueden ser sometidas a costes extras, mientras estos costes no superen el coste real generado por la transacción. Actualmente, los métodos de pago a los que se aplica esta regla son American Express y Klarna. 

Beneficios para los consumidores 

Un consumidor puede llegar a tener una mejor experiencia al poder gestionar todo su dinero en una sola plataforma de "open banking". Por ejemplo, pedir un crédito puede ser más fácil, ya que los acreedores pueden acceder a los datos bancarios del usuario, con su permiso. Las personas que no tengan un histórico de crédito tradicional suficiente, podrían acceder a préstamos que no habrían sido aprobados antes. 

Los mayores cambios en la legislación actual

La PSD2 consta de más de 100 artículos. Algunos contienen cambios significativos, por ejemplo:

  • Extensión geográfica de la legislación - Si uno de los actores de la transacción, sea el banco o el consumidor, son de la Unión Europea, entonces la legislación aplica a ambos. 
  • Implementación de la autenticación de cliente - La legislación lucha contra el fraude, exigiendo la autenticación del titular de la cuenta bancaria para todos los pagos electrónicos. Los proveedores de servicios de pagos y las instituciones financieras han de utilizar la autenticación de dos factores, también conocida como autenticación reforzada, o Strong Customer Authentication (SCA).
  • Reconocimiento de proveedores de servicios de pago - Las empresas innovadores del sector de pagos digitales pueden acceder a un registro oficial para recibir la licencia operativa y poder acceder directamente a los datos bancarios de un usuario, previo consentimiento explícito. 

¿Es la PSD2 lo mismo que el online banking? 

Esta regulación cambia las transacciones online y los servicios bancarios, haciendo los pagos más seguros y creando oportunidades de negocio en el sector. La PSD2 permite a terceros acceder a las cuentas bancarias de los consumidores, con su consentimiento previo. Hasta ahora, esta información sólo estaba disponible para las instituciones financieras. El cambio abre el camino a nuevos modelos de negocio, por ejemplo para que una empresa pueda evaluar mejor el riesgo de dar crédito a un particular, teniendo acceso a toda su información financiera. La PSD2 cambiará por completo el sector, pero abarca más que sólo el "online banking". 

¿Cómo la PSD2 Define la Autenticación Reforzada (SCA)?

PSD2 define la SCA como “una autenticación basada en el uso de dos o más elementos categorizados como conocimiento (algo que sólo el usuario sabe), posesión (algo que sólo el usuario posee) e inherencia (algo que el usuario es). Estos elementos deben ser independientes entre sí, para que la filtración de uno no comprometa la confiabilidad de los demás, y está diseñado de tal manera que se proteja la confidencialidad de los datos de autenticación ”.

Excepciones a la SCA

El objetivo de la PSD2 es exigir la SCA para todas las transacciones online. Sin embargo, existen algunas exenciones que el adquirente puede solicitar cuando apliquen.

Estas exenciones permiten una experiencia de usuario sin interrupción, para las transacciones que se consideran como de bajo riesgo. En estos casos el titular de la tarjeta no tiene que pasar por la autenticación de dos factores (2FA).

A continuación, te detallamos las exenciones más relevantes de SCA:

Pagos Contactless en terminales de puntos de venta (POS) - Las transacciones en POS inferiores a los €50 son exentas de SCA, pero no se puede superar 3 transacciones consecutivas que sumen más de €150, o 5 transacciones Contactless consecutivas. 

Lista blanca de comerciantes - Los clientes pueden añadir comerciantes como "beneficiarios de confianza" que serán confirmados por su banco. Se tendrá que completar un challenge de SCA durante el proceso, lo cual permitirá a tus clientes recurrentes finalizar sus futuras compras sin SCA. Una vez tu cliente te haya añadido a su lista de confianza, las transacciones serán exentas de 3D secure.

Transacciones recurrentes - Para las transacciones recurrentes o suscripciones, la autenticación reforzada es obligatoria en el momento de configuración del pago, en ocaciones en el primer pago de la serie. 

Transacciones de bajo valor - Los pagos online de menos de 30 € no requieren SCA. Las transacciones sin SCA no pueden superar los 100 € y el número de transacciones exentas de SCA seguidas no puede superar cinco.

Transacciones B2B - Las transacciones efectuadas entre dos empresas con exentas de SCA, mientras se utilice un método de pago estrictamente dedicado a los pagos entre empresas. 

Análisis de riesgo de transacción (Transaction Risk Analysis - TRA) - La SCA no es obligatoria cuando el proveedor de servicio de pago (PSP) tiene instalado un software eficiente de análisis de riesgo. Si el PSP determina que el pago es de bajo riesgo, el emisor puede decidir que se aplique o no la autenticación reforzada. 

Para aplicar esas exenciones de la SCA, el valor de la transacción no debe superar los 500€ y el adquirente o emisor deben tener un ratio de fraude por debajo de los niveles siguientes: 

Transacciones < 100€: 0,13% ratio de fraude

Transacciones entre 100€ y 250€: 0,06% ratio de fraude 

Transacciones entre 250€ y 500€: 0,01% ratio de fraude

Nuestros servicios Dynamic 3D Secure te puede ayudar a mantener la seguridad de los pagos, utilizando siempre de manera automática las exenciones cuando sea posible. Tus clientes no necesitarán autorizar transacciones a menos que sea absolutamente necesario.

Para saber más: Glosario de Pagos Digitales y Físicos

¿Qué son los TPPs?

Los Third-party Payment Providers (TPPs), o prestadores de servicios financieros, forman parte de los actores definidos por la PSD2. Son los actores externos involucrados en el open-banking. La PSD2 regula el marco en el que los TPPs deberían de operar. Ejemplos de TPPs:

  • Proveedor de Servicio de Inicio de Pago (Payment Initiation Service Providers  - PISP) - autoriza los pagos en nombre de titulares de cuentas , integrándose con servicios de banking online para iniciar y procesar transacciones salientes. 
  • Proveedor de servicio de Información de Cuenta (Account Information Service Providers - AISP) - ofrece servicios financieros online como el análisis de gastos o la agregación de cuentas, basados en la información de la cuenta del usuario.

Prepárate para la PSD2 con 3D Secure 2.0 

Una buena manera de prepararte para la PSD2 es utilizando 3D Secure 2.0. Esta tecnología cumple con la PSD2 y también aporta beneficios adicionales en términos de seguridad, como:

  • Reducción del riesgo de fraude - Niveles adicionales de seguridad protegen a los usuarios contra el fraude online.
  • Mayor protección para los comerciantes y sus clientes - Los datos bancarios del cliente son más protegidos, y los comerciantes están protegidos contra las devoluciones de cargo (o chargebacks).
  • Experiencia del usuario mejorada - Mantener a tus usuarios satisfechos hará crecer tus ventas. 
  • Más transacciones internacionales - Expande el radio de acción de tu e-commerce para acceder a nuevos países, con más seguridad para tus usuarios.
  • Cumplimiento con los criterios PSD2 - La fecha aplazada para cumplir con la normativa PSD2 es el 31 de diciembre del 2020. Utilizando 3D Secure 2.0, ya cumples con muchos de los requerimientos. 

La PSD2 en MONEI

El resultado de la PSD2 es un mercado de pagos más integrado a nivel europeo, en el que los pagos online son más seguros y tanto los comerciantes como los clientes están más protegidos. Para asegurarte de que tu e-commerce cumple con los requerimientos de la autenticación reforzada (SCA), te recomendamos que tu sistema soporte 3D Secure 1 y 3D Secure 2, y te podemos ayudar. 

Artículos relacionados:

¿Cómo la PSD2 define la Autenticación Reforzada?

La PSD2 define la SCA como “una autenticación basada en el uso de dos o más elementos categorizados en conocimiento (algo que sólo el usuario sabe), la posesión (algo que sólo el usuario tiene), y la persona (algo que el usuario es). Estos elementos han de ser independientes los unos de los otros, para que la filtración de uno no comprometa a la integridad los demás, y el sistema está elaborado para proteger la confidencialidad de los datos de autenticación.”

¿Qué son los TPPs?

La proveedores de pago terceros, o Third-party Payment Providers (TPPs) se definen como parte de la PSD2. Son terceros involucrados en el sector del open-banking. La PSD2 regula las operaciones de los TPPs. Algunos ejemplos:

  • Payment Initiation Service Providers - un PISP (Proveedor de servicio de iniciación de pago) autoriza los pagos en nombre de los titulares de cuentas bancarias, interactuando con servicios de online banking para iniciar el proceso de transacciones salientes. 
  • Account Information Service Providers - un AISP (Proveedor de servicio de información de cuenta) provee servicios financieros como el análisis de gastos o la agregación de cuentas, al poder acceder a los datos de las cuentas. 

Prepárate para la PSD2 con 3D Secure 2.0 

Una de las mejores maneras de cumplir con la PSD2 es utilizar el protocolo 3D Secure 2.0. Este software cumple con los requerimientos de la PSD2 y aporta más seguridad para tus clientes. Algunos de los beneficios del 3D Secure son:

  • Reducción del riesgo de fraude - Capas de seguridad adicional protegen los clientes del fraude.
  • Más protección para merchantes y compradores - La información de las tarjetas de los usuarios tiene un nivel superior de seguridad, y los vendedores se previenen contra los recargos. Es un win-win. 
  • Mejor experiencia del usuario - Una experiencia positiva lleva a más ventas. 
  • Más transacciones internacionales - Expande el radio de acción de tu e-commerce a nuevos países con más seguridad para tus clientes.
  • Cumplimiento de la PSD2 - La fecha límite para cumplir con la PSD2 es el 31 de diciembre del 2020. Utilizar 3D Secure 2.0 permite cumplir con muchos de los requerimientos que incurre. 

Implementación del PSD2 y MONEI

El resultado de la PSD2 es un ecosistema de pagos mejor integrado a nivel europeo, en el que los pagos online son más seguros, protegiendo tanto a tu negocio como a tus clientes. Para asegurar que tu e-commerce cumpla con los requisitos SCA, te podemos ayudar a que implementes 3D Secure 1 y 3D Secure 2

El impacto a largo plazo del COVID-19 en el E-commerceShopify añade Bizum como método de pago de la mano de MONEI