El pasado 31 de diciembre finalizó el periodo de flexibilidad supervisora de la Directiva (PSD2) que entró en vigor en septiembre de 2019.

¿Qué pretende?

La Payment Services Directive 2 (PSD2) tiene como objetivos prevenir el fraude y aumentar la confianza del consumidor en los medios de pago digitales.

Además, permite ofrecer al consumidor muchos más servicios y posibilidades a la hora de pagar y financiar las compras.

¿Qué cambia?

En base a sus objetivos, la PSD2 plantea varios cambios importantes.

  1. Fomenta la innovación, competitividad, oferta y facilidad de elección de nuevos servicios financieros:
    A partir de ahora, las entidades financieras están obligadas a facilitar a terceras empresas el acceso a determinada información de las cuentas de sus clientes, previo consentimiento de éstos, para ofrecerles nuevos servicios personalizados.
    Además, facilita la desintermediación de determinadas modalidades de pago y permite reducir los tiempos y costes de transacción (Ej. pagos “tipo Bizum”).
  2. Se reduce la posibilidad de fraude:
    La PSD2, a través de la SCA (Strong Customer Authentication) introduce un segundo factor de autenticación de manera que el consumidor, en el momento del pago, presenta una garantía adicional a su banco (banco emisor) que asegura que es realmente él, y no una tercera persona, quien realiza la transacción.
    Como consecuencia de lo anterior, la PSD2 fomenta la utilización de los rasgos biométricos de las personas (huella, cara, iris, etc.) como factor de autenticación.
    Por otro lado, es importante tener en cuenta que la introducción de un segundo factor de autenticación implica una mayor fricción en el ciclo de compra y, en especial, en un momento tan sensible como es el pago. Por ese motivo, y con el fin de minimizar el riesgo de abandono del carrito en las compras online, la PSD2 permite al comercio incorporar una serie de medidas (exenciones) que evitan al consumidor tener que someterse a la doble autenticación sin que por ello la transacción sea menos segura.
iStock-1066912546

Nota informativa

El 14 de septiembre de 2019 entró en vigor el Reglamento Delegado (UE) 2018/389 que establece, entre otros, los requisitos para la aplicación de la autenticación reforzada del cliente (SCA), con las excepciones previstas. Con anterioridad, se había aceptado, de manera excepcional, conceder un tiempo adicional limitado para la aplicación de SCA en las transacciones de pago con tarjeta en comercio electrónico que permitiera acompasar la plena adopción de los factores de autenticación en ese entorno a todos los actores implicados. Se introducía así cierta flexibilidad supervisora, hasta el 31 de diciembre de 2020, sujeta a la existencia de los correspondientes planes de migración por parte de los proveedores de servicios de pago.

En noviembre de 2019, se daba a conocer el plan de acción nacional elaborado por el sector financiero con las principales asociaciones representantes de empresas de comercio electrónico, de PYMES y microempresas, de tesoreros de grandes empresas, y los esquemas y procesadores de tarjetas, con el fin de asegurar que todos los actores implicados disponían de información y tiempo para llevar a cabo las adaptaciones necesarias con anterioridad a la fecha límite.

Durante dicho periodo de flexibilidad supervisora el proyecto avanzó no ajeno a las dificultades propias de un proyecto de semejante envergadura, con un gran número de partícipes afectados, cada uno de ellos con sus propias dificultades. Y sin duda, todos perjudicados en gran medida por los problemas añadidos de la crisis sanitaria en la que aún estamos inmersos.

Aunque tanto en ámbitos nacionales como europeos se había trasladado la dificultad de cumplir con el compromiso adquirido inicialmente, las autoridades no han modificado las posiciones y cuando se ha requerido claridad frente a las expectativas generadas para un mayor plazo de adaptación, han reiterado el posicionamiento previamente publicado. Sin olvidar que la norma está plenamente vigente desde hace año y medio y que la flexibilidad supervisora para esta operativa finalizó el 31 de diciembre de 2020, desde AECOC se ha estado apoyando a los comercios para asegurar el cumplimiento de la normativa, lo que ha permitido mitigar el impacto de la migración en momentos muy críticos para éstos.

Para finalizar, sólo queda recordar que en la actualidad aquellas transacciones que no se tramiten con los protocolos y códigos adecuados para aplicar la autenticación reforzada o, en su caso, carezcan de la correspondiente marca para indicar que están fuera del ámbito de aplicación o que se solicita una exención, de acuerdo a la normativa aplicable, no pueden ser tratadas por la entidad financiera y deben ser devueltas al comercio para que éste vuelva a cursarlas según los requisitos de autenticación normativos y, de esta manera, dar curso a las mismas.

Recomendaciones generales para el comercio

  • Contactar con los bancos (emisores y adquirentes) y el PSP (proveedor de servicios de pago) para desarrollar una estrategia conjunta que permita optimizar la implantación del proyecto (ej. tratamiento de exenciones, protocolos y mecanismos de autenticación, etc.).
  • Analizar e implantar las exenciones a la SCA que mejor se adapten a los tipos de transacciones más habituales y su versión de 3DS correspondiente.
  • Adaptar las BB.DD. y los SS.II. para poder albergar y compartir la información necesaria en las transacciones.
  • En el caso de la venta online de productos de peso variable y sustitutivos, establecer una estrategia específica de puesta en marcha y de comunicación al consumidor.
  • En el caso de los puntos de venta, actualizar los TPV con las últimas versiones de software que incorporan los protocolos de la SCA y sus exenciones.
  • Formar a los responsables de las líneas de caja y al personal del call center para poder llevar a cabo su trabajo y responder a las preguntas de los clientes.

Recomendaciones específicas para el comercio

  • Cuando el banco emisor rechace una transacción con Soft Decline (obtener los códigos de de esta comunicación de rechazo con las redes de tarjetas) indicando que se debe repetir la operación con SCA, los comercios deben: (1) iniciar una petición de autenticación por 3DS y, una vez autenticado el cliente, (2) reenviar de nuevo la autorización con el resultado de la misma.
  • Trabajar codo a codo con los emisores para que una vez autorizada la operación en el entorno del banco (APP) ésta redirija de alguna forma al usuario al entorno (APP, web…) del comercio para finalizar el proceso.

Documentos descargables

Identificación de transacciones
fuera de alcance o exentas

Identificacion de transacciones

Qué va a cambiar al pagar
con tu tarjeta en 2021

Qué va a cambiar al pagar con tu tarjeta en 2021

Prepara tu tienda online
 

Prepara tu tienda online

Minimizar el abandono
en la autenticación reforzada de clientes

Prepara tu tienda online