La Autenticación Reforzada de Clientes: Guía completa
La autenticación reforzada de clientes (SCA) se utiliza para reducir el fraude y mejorar la seguridad de los pagos en línea y sin contacto. Pero, ¿cómo funciona, cómo puede asegurarse de que su empresa la cumple y cuáles son las exenciones de la SCA?
Utiliza este artículo como guía para comprender los requisitos de autenticación fuerte del cliente en Europa y cómo afectan a los distintos tipos de pago. Aprende cómo cumplir la normativa y a agilizar el proceso de pago para sus clientes.
Haz clic aquí para darte de alta en MONEI, la pasarela de pagos con SCA integrada
Infórmate sobre la autenticación reforzada de clientes
- ¿Qué es la Autenticación Reforzada de Clientes?
- ¿Cuándo se requiere la Autenticación Reforzada de Clientes?
- ¿Cómo se autentica un pago online?
- ¿Existen excepciones a la SCA?
- ¿Pueden fallar las excepciones a la SCA? (y qué pasa cuando esto ocurre)
- ¿Cómo puede MONEI ayudar a tu comercio online a cumplir con los requisitos de la SCA?
¿Qué es la Autenticación Reforzada de Clientes?
La autenticación reforzada de clientes (SCA) es una norma reglamentaria impuesta por la Unión Europea para mitigar el fraude y mejorar la seguridad de los pagos en línea y sin contacto. Es un requisito de la Directiva revisada de la UE sobre servicios de pago (PSD2).
Para cumplir con la normativa SCA, debes integrar medidas de autenticación adicionales en el proceso de pago de comercio electrónico de tu empresa. La autenticación reforzada de clientes exige el uso de al menos dos de tres elementos de autenticación, entre los que se incluyen:
- Algo que el cliente conoce (como una contraseña o un PIN)
- Algo que el cliente tiene (como un dispositivo móvil o un token de hardware)
- Algo que el cliente es (por ejemplo, un identificador biométrico como la huella dactilar o el reconocimiento facial).
Al implantar la autenticación de dos factores, la autenticación reforzada del cliente ayuda a garantizar que los pagos los realizan usuarios autorizados, reduciendo la probabilidad de transacciones fraudulentas.
Como referencia, los requisitos de la SCA se describen en las Normas Técnicas Reglamentarias (NTR). Las transacciones que requieran SCA y no cumplan estas normas deben ser rechazadas por los bancos.
¿Cuándo se requiere la Autenticación Reforzada de Clientes?
La autenticación reforzada del cliente se aplica a los pagos online y contactless iniciados por clientes dentro de Europa. La mayoría de los pagos con tarjeta y transferencias bancarias requieren SCA. Pero los adeudos domiciliados recurrentes se clasifican como "iniciados por el comerciante" y no requieren autenticación reforzada del cliente.
Para los pagos en línea con tarjeta, esta normativa se aplica a las transacciones en las que tanto la empresa como el banco del titular de la tarjeta están situados en el Espacio Económico Europeo (EEE).
¿Cómo se autentica un pago online?
3D Secure es el método más común para autenticar los pagos online con tarjeta y es compatible con la mayoría de las tarjetas europeas. Con 3D Secure, se añade un paso adicional al proceso de pago. El banco solicita al titular de la tarjeta que facilite información adicional para completar el pago (como un código de un solo uso enviado a su teléfono o la autenticación de la huella dactilar a través de su aplicación de banca móvil).
3D Secure 2.0 es el principal método de autenticación para los pagos con tarjeta por Internet y cumple los requisitos de la SCA, al tiempo que mejora la experiencia del usuario y reduce las fricciones en la caja.
En el caso de las transacciones con tarjeta presenciales, los requisitos de autenticación se cumplen introduciendo un PIN.
Los métodos de pago como Apple Pay o Google Pay (que técnicamente se consideran carteras digitales que almacenan de forma segura la información de la tarjeta) ya incluyen una capa integrada de autenticación (biométrica o mediante contraseña), lo que proporciona una experiencia de pago fluida al tiempo que se adhiere a los requisitos de autenticación reforzada del cliente.
Además, se prevé que los métodos de pago europeos habituales, como iDEAL, Bancontact o Multibanco, sigan las directrices de la SCA sin modificaciones significativas en la experiencia del usuario.
¿Existen excepciones a la SCA?
Para reducir las fricciones y aumentar la satisfacción del cliente, pueden utilizarse exenciones de autenticación reforzada del cliente en los pagos de bajo riesgo. Los proveedores de servicios de pago (PSP) como MONEI pueden solicitar estas exenciones durante el procesamiento del pago, y el banco del titular de la tarjeta evaluará entonces el nivel de riesgo de la transacción antes de decidir si aprueba o no la exención.
La autenticación reforzada del cliente puede añadir fricción al proceso de pago y provocar un descenso en la retención de clientes. Mediante el uso de exenciones para transacciones de bajo riesgo, se puede reducir el número de veces que un cliente necesita autenticarse. Por eso, en MONEI te damos la opción de configurar los ajustes de autenticación 3D Secure en tu cuenta. De este modo, puedes establecer los criterios que mejor se adapten a tu negocio. Aprovechar estas exenciones cuando sea posible, puede ayudar a mejorar tus tasas de conversión.
Entre las exenciones de la SCA más relevantes para los negocios en línea se incluyen:
Las transacciones de poco valor
Los pagos inferiores a 30 euros pueden quedar exentos de la SCA por considerarse de "escaso valor". Pero esta exención tiene limitaciones: los bancos deben solicitar la autenticación si la exención se ha utilizado cinco veces desde la última autenticación correcta del titular de la tarjeta o si el importe total de los pagos exentos anteriormente supera los 100 euros.
El banco del titular de la tarjeta es responsable de llevar un registro del número de veces que se ha utilizado esta exención y de decidir si es necesaria la autenticación. Aunque esta exención está disponible, puede ser más pertinente para la mayoría de los pagos utilizar la exención para transacciones de bajo riesgo debido a sus limitaciones menos estrictas. Con MONEI, puedes beneficiarte de esta exención configurando los ajustes de autenticación 3D Secure en tu cuenta.
Transacciones de bajo riesgo
Las transacciones que se consideran de bajo riesgo en función de sus indicadores de fraude están exentas de autenticación reforzada de clientes. Estos indicadores pueden incluir el importe de la transacción, la frecuencia de las transacciones y el historial de comportamiento del cliente. En MONEI, podemos activar esta exención para transacciones inferiores a 250 euros siempre que no existan indicadores de fraude, por ejemplo, un historial de actividad sospechosa.
Transacciones de importe fijo (suscripciones)
Para las empresas que ofrecen suscripciones de importe fijo, puede que no sea necesaria la autenticación reforzada del cliente para los cargos posteriores al primer pago, siempre que los pagos periódicos se realicen a la misma empresa. Con MONEI, puedes actualizar el importe de la suscripción sin tener que volver a realizar la autenticación 3D Secure. Esta exención ayuda a reducir la fricción en el proceso de pago y es compatible con la mayoría de los bancos europeos.
En MONEI, habilitamos esta exención detectando cuándo la transacción es una suscripción o un pago recurrente. Nuestro sistema aplica automáticamente la exención cuando procede y puede ayudar a gestionar las solicitudes de autenticación si el banco del cliente rechaza la exención, lo que facilita a tu empresa el cumplimiento de los requisitos de SCA.
📚Artículos relacionados:
- Cómo montar un negocio de suscripciones [Guía de inicio rápido]
- Venta online por suscripción: Todo lo que necesita saber (+13 ejemplos)
- Venta por suscripción: 15 consejos para el éxito
Beneficiarios de confianza
Si los clientes confían en una empresa, pueden optar por incluirla en su lista de beneficiarios durante la autenticación del pago para evitar autenticar futuras compras. Estas empresas de confianza se añaden a la lista de "beneficiarios de confianza" del banco del cliente o del proveedor de servicios de pago.
Pero no todos los bancos han adoptado esta función, a pesar de la comodidad potencial que ofrece para compras repetidas o suscripciones. Si deseas añadir esta exención a tu cuenta MONEI, ponte en contacto con nuestro servicio de asistencia.
Transacciones iniciadas por el vendedor (incluidas las suscripciones de importes variables)
Las transacciones iniciadas por el vendedor son pagos realizados con tarjetas guardadas cuando el cliente no está presente en el flujo de pago, también conocidas como pagos "fuera de sesión". Estas transacciones quedan técnicamente fuera del ámbito de aplicación de la SCA, pero sigue siendo necesario solicitar una exención.
En última instancia, es el banco quien decide si la autenticación es necesaria para la transacción.
Para utilizar transacciones iniciadas por el comerciante, la autenticación de la tarjeta es necesaria cuando se está guardando o durante el primer pago, y es necesario un acuerdo del cliente (mandato) para cargar la tarjeta más tarde.
Esta exención es esencial si tu negocio requiere pagos diferidos, suscripciones de importe variable o cargos adicionales. Está soportada por la mayoría de los bancos europeos y se acepta cuando la transacción se considera de bajo riesgo.
La API de pagos de MONEI te permite autenticar una tarjeta cuando se guarda para futuras transacciones y etiquetar los pagos posteriores como "transacciones iniciadas por el comerciante".
Pagos corporativos
La exención de la tarjeta "alojada" se refiere a los pagos realizados con tarjetas de empresa que están directamente en posesión de una agencia de viajes online concreta para gestionar los gastos de viaje de los empleados y también se aplica a los pagos de empresa realizados con números de tarjetas virtuales, que se utilizan con frecuencia en el sector de los viajes.
Esta exención no tiene mucho uso fuera del sector de los viajes y sólo puede solicitarla el banco del titular de la tarjeta. Las empresas y los proveedores de servicios de pago (como MONEI) no pueden determinar si una tarjeta entra en estas categorías.
Pagos por teléfono
Los pagos realizados por teléfono, conocidos como "Pedidos por correo y teléfono", no están sujetos a la SCA y no requieren autenticación. Pero estas transacciones deben identificarse claramente y el banco del titular de la tarjeta toma la decisión final de aprobar o rechazar la transacción.
Esto es un método de pago esencial para los comercios que aceptan pedidos telefónicos y cuentan con un amplio respaldo bancario. No es una exención que utilicen la mayoría de los comercios de MONEI, pero si es necesaria para tu negocio, ponte en contacto con nuestro servicio de asistencia para hablar sobre su configuración.
¿Pueden fallar las excepciones a la SCA? (y qué pasa cuando esto ocurre)
Es esencial tener en cuenta que, aunque las exenciones pueden ser beneficiosas, es el banco del titular de la tarjeta el que decide en última instancia si acepta una exención. En los casos en que falta la autenticación, los bancos pueden devolver nuevos códigos de rechazo para los pagos fallidos. Estos pagos tienen que ser reenviados al cliente, acompañados de una solicitud de autenticación reforzada del cliente. Los productos SCA-ready de MONEI están diseñados para activar automáticamente esta autenticación adicional cuando los bancos la soliciten.
¿Cómo puede MONEI ayudar a tu comercio online a cumplir con los requisitos de la SCA?
La aplicación de esta normativa tiene un profundo impacto en el comercio electrónico en Europa. Si no cumples con estos requisitos, te arriesgas a una disminución significativa de las tasas de conversión a medida que la aplicación de la SCA continúa en todos los bancos europeos.
Para hacer frente a estos retos, ofrecemos métodos de autenticación como 3D Secure 2.0 y gestionamos cuidadosamente las exenciones para crear una experiencia de pago sin fricciones. Nuestros productos de pago cumplen las normas reglamentarias, bancarias y de redes de tarjetas, y nuestra API de pagos utiliza la lógica SCA para aplicar la exención correcta y activar la autenticación 3D Secure sólo cuando es necesaria.
Actualizamos constantemente nuestra lógica SCA para cumplir con las cambiantes normativas y los plazos de aplicación en los distintos países.
Preguntas frecuentes sobre la Autenticación Reforzada de Clientes (Strong Customer Authentication)
¿Cuáles son los métodos disponibles de autenticación de doble factor?
Los métodos de autenticación de dos factores disponibles incluyen contraseñas de un solo uso basadas en SMS, notificaciones push móviles, autenticación biométrica y tokens de hardware.
¿Cuáles son las consecuencias del incumplimiento de la SCA?
El incumplimiento de los requisitos de la SCA puede dar lugar a la denegación de pagos o devoluciones de cargos, con las consiguientes pérdidas económicas y daños a la reputación de tu empresa.
¿Cómo pueden los vendedores notificar a sus clientes sobre la SCA?
Puedes notificar a tus clientes sobre SCA a través de correo electrónico, SMS o notificaciones in-app.
¿Qué deberían hacer los comerciantes para implementar la SCA?
Para implantar la SCA, los comerciantes deben evaluar sus transacciones, elegir un método de autenticación de dos factores, informar a sus clientes sobre la SCA y probar su implantación para asegurarse de que funciona correctamente.
¿Es la SCA sólo aplicable a los vendedores basados en la UE?
No, la SCA es aplicable a los comerciantes que aceptan pagos de clientes de la Unión Europea (UE), independientemente de su ubicación.
¿Pueden los consumidores excluirse de la SCA?
No, los compradores no pueden excluirse de la SCA, ya que es un requisito reglamentario. Pero los clientes pueden incluir en una lista blanca a comercios de confianza, lo que eximiría de SCA a futuras transacciones con esos comercios.
Alexis Damen
Alexis Damen es Head of Content en MONEI. Le encanta diseccionar temas complejos del sector de los pagos, la venta online y el comercio para ayudar a los negocios a triunfar (con MONEI como plataforma de pagos, ¡claro!).
