La Directiva de servicios de pago digitales (PSD2) y el comercio

El pasado 31 de diciembre finalizó el periodo de flexibilidad supervisora de la Directiva (PSD2) que entró en vigor en septiembre de 2019.

¿Qué pretende?

La Payment Services Directive 2 (PSD2) tiene como objetivos prevenir el fraude y aumentar la confianza del consumidor en los medios de pago digitales.

Además, permite ofrecer al consumidor muchos más servicios y posibilidades a la hora de pagar y financiar las compras.

¿Qué cambia?

En base a sus objetivos, la PSD2 plantea varios cambios importantes.

Fomenta la innovación, competitividad, oferta y facilidad de elección de nuevos servicios financieros:
A partir de ahora, las entidades financieras están obligadas a facilitar a terceras empresas el acceso a determinada información de las cuentas de sus clientes, previo consentimiento de éstos, para ofrecerles nuevos servicios personalizados.
Además, facilita la desintermediación de determinadas modalidades de pago y permite reducir los tiempos y costes de transacción (Ej. pagos “tipo Bizum”).
Se reduce la posibilidad de fraude:
La PSD2, a través de la SCA (Strong Customer Authentication) introduce un segundo factor de autenticación de manera que el consumidor, en el momento del pago, presenta una garantía adicional a su banco (banco emisor) que asegura que es realmente él, y no una tercera persona, quien realiza la transacción.
Como consecuencia de lo anterior, la PSD2 fomenta la utilización de los rasgos biométricos de las personas (huella, cara, iris, etc.) como factor de autenticación.
Por otro lado, es importante tener en cuenta que la introducción de un segundo factor de autenticación implica una mayor fricción en el ciclo de compra y, en especial, en un momento tan sensible como es el pago. Por ese motivo, y con el fin de minimizar el riesgo de abandono del carrito en las compras online, la PSD2 permite al comercio incorporar una serie de medidas (exenciones) que evitan al consumidor tener que someterse a la doble autenticación sin que por ello la transacción sea menos segura.

Nota informativa

El 14 de septiembre de 2019 entró en vigor el Reglamento Delegado (UE) 2018/389 que establece, entre otros, los requisitos para la aplicación de la autenticación reforzada del cliente (SCA), con las excepciones previstas. Con anterioridad, se había aceptado, de manera excepcional, conceder un tiempo adicional limitado para la aplicación de SCA en las transacciones de pago con tarjeta en comercio electrónico que permitiera acompasar la plena adopción de los factores de autenticación en ese entorno a todos los actores implicados. Se introducía así cierta flexibilidad supervisora, hasta el 31 de diciembre de 2020, sujeta a la existencia de los correspondientes planes de migración por parte de los proveedores de servicios de pago.

En noviembre de 2019, se daba a conocer el plan de acción nacional elaborado por el sector financiero con las principales asociaciones representantes de empresas de comercio electrónico, de PYMES y microempresas, de tesoreros de grandes empresas, y los esquemas y procesadores de tarjetas, con el fin de asegurar que todos los actores implicados disponían de información y tiempo para llevar a cabo las adaptaciones necesarias con anterioridad a la fecha límite.

Durante dicho periodo de flexibilidad supervisora el proyecto avanzó no ajeno a las dificultades propias de un proyecto de semejante envergadura, con un gran número de partícipes afectados, cada uno de ellos con sus propias dificultades. Y sin duda, todos perjudicados en gran medida por los problemas añadidos de la crisis sanitaria en la que aún estamos inmersos.

Aunque tanto en ámbitos nacionales como europeos se había trasladado la dificultad de cumplir con el compromiso adquirido inicialmente, las autoridades no han modificado las posiciones y cuando se ha requerido claridad frente a las expectativas generadas para un mayor plazo de adaptación, han reiterado el posicionamiento previamente publicado. Sin olvidar que la norma está plenamente vigente desde hace año y medio y que la flexibilidad supervisora para esta operativa finalizó el 31 de diciembre de 2020, desde AECOC se ha estado apoyando a los comercios para asegurar el cumplimiento de la normativa, lo que ha permitido mitigar el impacto de la migración en momentos muy críticos para éstos.

Para finalizar, sólo queda recordar que en la actualidad aquellas transacciones que no se tramiten con los protocolos y códigos adecuados para aplicar la autenticación reforzada o, en su caso, carezcan de la correspondiente marca para indicar que están fuera del ámbito de aplicación o que se solicita una exención, de acuerdo a la normativa aplicable, no pueden ser tratadas por la entidad financiera y deben ser devueltas al comercio para que éste vuelva a cursarlas según los requisitos de autenticación normativos y, de esta manera, dar curso a las mismas.

Recomendaciones generales para el comercio

Contactar con los bancos (emisores y adquirentes) y el PSP (proveedor de servicios de pago) para desarrollar una estrategia conjunta que permita optimizar la implantación del proyecto (ej. tratamiento de exenciones, protocolos y mecanismos de autenticación, etc.).
Analizar e implantar las exenciones a la SCA que mejor se adapten a los tipos de transacciones más habituales y su versión de 3DS correspondiente.
Adaptar las BB.DD. y los SS.II. para poder albergar y compartir la información necesaria en las transacciones.
En el caso de la venta online de productos de peso variable y sustitutivos, establecer una estrategia específica de puesta en marcha y de comunicación al consumidor.
En el caso de los puntos de venta, actualizar los TPV con las últimas versiones de software que incorporan los protocolos de la SCA y sus exenciones.
Formar a los responsables de las líneas de caja y al personal del call center para poder llevar a cabo su trabajo y responder a las preguntas de los clientes.

Recomendaciones específicas para el comercio

Cuando el banco emisor rechace una transacción con Soft Decline (obtener los códigos de de esta comunicación de rechazo con las redes de tarjetas) indicando que se debe repetir la operación con SCA, los comercios deben: (1) iniciar una petición de autenticación por 3DS y, una vez autenticado el cliente, (2) reenviar de nuevo la autorización con el resultado de la misma.
Trabajar codo a codo con los emisores para que una vez autorizada la operación en el entorno del banco (APP) ésta redirija de alguna forma al usuario al entorno (APP, web…) del comercio para finalizar el proceso.

Documentos descargables

Identificación de transacciones
fuera de alcance o exentas
Qué va a cambiar al pagar
con tu tarjeta en 2021
Prepara tu tienda online
 
Minimizar el abandono
en la autenticación reforzada de clientes

Cookie	Tipo	Duración	Descripción
__atssc	Analítica	2 Años	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
_ga	Analítica	2 Años	Cookie de Google Analytics que habilita la función de control de visitas únicas. La primera vez que un usuario entre en el sitio web a través de un navegador se instalará esta cookie. Cuando este usuario vuelva a entrar en la web con el mismo navegador, la cookie considerará que es el mismo usuario. Solo en el caso de que el usuario cambie de navegador, se considerará otro usuario. Caduca a los 2 años desde la última actualización.
_gat	Analítica	10 minutos	Esta cookie se asocia con Google Analytics Universal. Se utiliza para limitar la velocidad de petición la limitación de la recogida de datos en los sitios de alto tráfico. Caduca a los 10 minutos
_gat-UA	Analítica	Segundos	Se usa para diferenciar entre los diferentes objetos de seguimiento creados en la sesión.
_gcl_au	Analítica	3 Meses	Utilizado por Google AdSense para experimentar con la eficiencia publicitaria en los sitios web que utilizan sus servicios. Es la cookie de origen para la funcionalidad de “Conversion Linker”: toma información en clics de anuncios y la almacena en una cookie de origen para que las conversiones puedan atribuirse fuera La página de aterrizaje.
_gid	Analítica	1 Día	Cookie de Google Analytics que nos permite medir y analizar el tráfico de la web.
_hjAbsoluteSessionInProgress	Analítica	30 Minutos	Esta cookie se utiliza para detectar la primera sesión de visualización de páginas de un usuario.
_hjFirstSeen	Analítica	Hasta cierre de web	Se establece para identificar la primera sesión de un nuevo usuario. Almacena un valor verdadero/falso, indicando si esta fue la primera vez que Hotjar vio a este usuario. Es utilizado por los filtros de grabación para identificar nuevas sesiones de usuario.
_hjid	Analítica	1 Año	Cookie de Hotjar que se establece cuando el cliente entra por primera vez en una página con el script de Hotjar. Se utiliza para persistir el ID de usuario de Hotjar, único para ese sitio en el navegador. Esto garantiza que el comportamiento en las siguientes visitas al mismo sitio se atribuirá al mismo ID de usuario.
_hjIncludedInPageviewSample	Analítica	30 Minutos	Esta cookie se establece para que Hotjar sepa si ese visitante está incluido en el muestreo de datos definido por el límite de páginas vistas de su sitio.
_hjIncludedInSessionSample	Analítica	30 Minutos	Esta cookie se establece para que Hotjar sepa si ese visitante está incluido en el muestreo de datos definido por el límite de sesión diario de su sitio.
_hjTLDTest	Analítica	Hasta cierre de web	Cuando el script de Hotjar se ejecuta, intentamos determinar la ruta de la cookie más genérica que debemos utilizar, en lugar del nombre de host de la página. Esto se hace para que las cookies puedan ser compartidas a través de subdominios (cuando sea aplicable). Para determinar esto, intentamos almacenar la cookie _hjTLDTest para diferentes alternativas de subcadenas de URL hasta que falle. Después de esta comprobación, la cookie se elimina.
1P_JAR	Analítica	15 Días	Estas cookies se utilizan para recoger información sobre el uso de nuestro sitio web por parte de los visitantes. Utilizamos la información para elaborar informes y para mejorar el sitio. Estas cookies se asocian únicamente a un usuario anónimo y a su ordenador/dispositivo sin proporcionar referencias que permitan conocer datos personales. Recogen el número de visitantes al sitio, el tiempo que duran las visitas, el navegador, el tipo de terminal, el lugar de procedencia de los visitantes y las páginas visitadas.
atuvc	Analítica	1 Año y 1 Mes	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
atuvs	Analítica	1 Año y 1 Mes	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
bcookie	Analítica	2 Años	Cookie de identificación del navegador para identificar de forma única los dispositivos que acceden a LinkedIn y así detectar abusos en la plataforma
li_gc	Analítica	2 Años	Se utiliza para almacenar el consentimiento de los invitados con respecto al uso de cookies para fines no esenciales
li_mc	Analítica	2 Años	Se utiliza como caché temporal para evitar la búsqueda en la base de datos del consentimiento de los miembros para el uso de cookies no esenciales y se utiliza para tener información de consentimiento en el lado del cliente para hacer cumplir el consentimiento en el lado del cliente
liap	Analítica	1 Año	Utilizado por los dominios no www. para denotar el estado de conexión de un miembro
lidc	Analítica	1 Día	Para optimizar la selección del centro de datos
lissc	Analítica	1 Año	Se utiliza para asegurar que hay un atributo SameSite correcto para todas las cookies en ese navegador
loc	Analítica	1 Año y 1 Mes	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
lpv	Analítica	1 Año	Esta cookie LPV está establecida para evitar que Pardot realice un seguimiento de vistas de página múltiples en un único activo durante una sesión de 30 minutos. Por ejemplo, si un visitante vuelve a cargar una página de destino varias veces durante un periodo de 30 minutos, esta cookie evita que se realice un seguimiento de cada recarga como una vista de página.
mus	Analítica	1 Año	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
na_id	Analítica	1 Año y 1 Mes	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
na_tc	Analítica	1 Año	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
OGP	Analítica	Hasta cierre de web	Estas cookies se utilizan para recoger información sobre el uso de nuestro sitio web por parte de los visitantes. Utilizamos la información para elaborar informes y para mejorar el sitio. Estas cookies se asocian únicamente a un usuario anónimo y a su ordenador/dispositivo sin proporcionar referencias que permitan conocer datos personales. Recogen el número de visitantes al sitio, el tiempo que duran las visitas, el navegador, el tipo de terminal, el lugar de procedencia de los visitantes y las páginas visitadas.
OGPC	Analítica	1 Mes	Estas cookies se utilizan para recoger información sobre el uso de nuestro sitio web por parte de los visitantes. Utilizamos la información para elaborar informes y para mejorar el sitio. Estas cookies se asocian únicamente a un usuario anónimo y a su ordenador/dispositivo sin proporcionar referencias que permitan conocer datos personales. Recogen el número de visitantes al sitio, el tiempo que duran las visitas, el navegador, el tipo de terminal, el lugar de procedencia de los visitantes y las páginas visitadas.
ouid	Analítica	1 Año	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
SAPISID	Analítica	2 Años	Estas cookies se utilizan para recoger información sobre el uso de nuestro sitio web por parte de los visitantes. Utilizamos la información para elaborar informes y para mejorar el sitio. Estas cookies se asocian únicamente a un usuario anónimo y a su ordenador/dispositivo sin proporcionar referencias que permitan conocer datos personales. Recogen el número de visitantes al sitio, el tiempo que duran las visitas, el navegador, el tipo de terminal, el lugar de procedencia de los visitantes y las páginas visitadas.
SID	Analítica	1 Año	Cookies de análisis, utilizadas por Google para hacer que la publicidad sea más atractiva para los usuarios y más valiosa para los editores y anunciantes. Esta cookie personaliza los anuncios que se muestran en las propiedades de google
SIDCC	Analítica	3 Meses	Estas cookies se utilizan para recoger información sobre el uso de nuestro sitio web por parte de los visitantes. Utilizamos la información para elaborar informes y para mejorar el sitio. Estas cookies se asocian únicamente a un usuario anónimo y a su ordenador/dispositivo sin proporcionar referencias que permitan conocer datos personales. Recogen el número de visitantes al sitio, el tiempo que duran las visitas, el navegador, el tipo de terminal, el lugar de procedencia de los visitantes y las páginas visitadas.
ssc	Analítica	1 Año	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
sshs	Analítica	1 Año	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
SSID	Analítica	2 Años	Estas cookies se utilizan para recoger información sobre el uso de nuestro sitio web por parte de los visitantes. Utilizamos la información para elaborar informes y para mejorar el sitio. Estas cookies se asocian únicamente a un usuario anónimo y a su ordenador/dispositivo sin proporcionar referencias que permitan conocer datos personales. Recogen el número de visitantes al sitio, el tiempo que duran las visitas, el navegador, el tipo de terminal, el lugar de procedencia de los visitantes y las páginas visitadas.
uid	Analítica	1 Año	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
uvc	Analítica	1 Año	Usamos este plugin en la web para permitir a los visitantes compartir contenido. Addthis, además de invocar a las diferentes redes sociales, coloca sus propios cookies de gestión. Más información en la Política de Cookies de Addthis.
visitor_id	Analítica	2 Años	La cookie del visitante incluye un Id. de visitante único y el identificador único de su cuenta. Por ejemplo, el nombre de cookie visitor_id12345 almacena el Id. de visitante 1010101010. El identificador de cuenta, 12345, asegura que se realiza un seguimiento del visitante en la cuenta de Pardot correcta. El valor de visitante es visitor_id en su cuenta de Pardot. Esta cookie se ha establecido para los visitantes mediante el código de seguimiento de Pardot.
visitor_id-hash	Analítica	15 Días	La cookie de hash de visitante contiene el Id. de cuenta y almacena un hash exclusivo. Por ejemplo, el nombre de cookie visitor_id12345-hash almacena el hash “855c3697d9979e78ac404c4ba2c66533”, y el Id. de cuenta es 12345. Esta cookie es una medición de seguridad para garantizar que un usuario con malas intenciones no pueda suplantar un visitante desde Pardot y acceder a la información de clientes potenciales correspondiente.

Cookie	Tipo	Duración	Descripción
PHPSESSID	Funcional, Necesaria	Hasta cierre de web	Esta cookie es nativa de PHP y permite a la web guardar datos serializados de estado.
registration_modal_hide	Funcional, Necesaria	2 Días	Cookie utilizada para mostrar ventana modal de registro para nuevos usuarios.

Cookie	Tipo	Duración	Descripción
__Secure-3PSIDCC	Anunciante	2 Años	Esta cookie se utiliza para entregar anuncios más relevantes para usted y sus intereses
APISID	Anunciante	2 Años	Estas cookies se utilizan para recoger información sobre el uso de nuestro sitio web por parte de los visitantes. Utilizamos la información para elaborar informes y para mejorar el sitio. Estas cookies se asocian únicamente a un usuario anónimo y a su ordenador/dispositivo sin proporcionar referencias que permitan conocer datos personales. Recogen el número de visitantes al sitio, el tiempo que duran las visitas, el navegador, el tipo de terminal, el lugar de procedencia de los visitantes y las páginas visitadas.
CONSENT	Anunciante	2 Años	Estas cookies se utilizan para recoger información sobre el uso de nuestro sitio web por parte de los visitantes. Utilizamos la información para elaborar informes y para mejorar el sitio. Estas cookies se asocian únicamente a un usuario anónimo y a su ordenador/dispositivo sin proporcionar referencias que permitan conocer datos personales. Recogen el número de visitantes al sitio, el tiempo que duran las visitas, el navegador, el tipo de terminal, el lugar de procedencia de los visitantes y las páginas visitadas.
DSID	Anunciante	15 Días	Google Adsense (DoubleClick): El uso de la cookie de DoubleClick permite a Google y a sus socios publicar anuncios basados en las visitas que los usuarios realizan en sus sitios o en otros sitios de Internet. Para más información por favor pinche aquí.
HSID	Anunciante	2 Años	Estas cookies se utilizan para recoger información sobre el uso de nuestro sitio web por parte de los visitantes. Utilizamos la información para elaborar informes y para mejorar el sitio. Estas cookies se asocian únicamente a un usuario anónimo y a su ordenador/dispositivo sin proporcionar referencias que permitan conocer datos personales. Recogen el número de visitantes al sitio, el tiempo que duran las visitas, el navegador, el tipo de terminal, el lugar de procedencia de los visitantes y las páginas visitadas.
IDE	Anunciante	2 Años	Google Adsense (DoubleClick): El uso de la cookie de DoubleClick permite a Google y a sus socios publicar anuncios basados en las visitas que los usuarios realizan en sus sitios o en otros sitios de Internet. Para más información por favor pinche aquí.
RUL	Anunciante	1 Año	Google Adsense (DoubleClick): El uso de la cookie de DoubleClick permite a Google y a sus socios publicar anuncios basados en las visitas que los usuarios realizan en sus sitios o en otros sitios de Internet. Para más información por favor pinche aquí.

La Directiva de servicios de pago digitales (PSD2) y el comercio

¿Qué pretende?

¿Qué cambia?

Nota informativa

Recomendaciones generales para el comercio

Recomendaciones específicas para el comercio

Documentos descargables

1. FINALIDAD DEL ALMACENAMIENTO DE DATOS

2. INFORMACIÓN COMPLEMENTARIA

3. USO DE COOKIES

4. DERECHOS DEL USUARIO

5. CAMBIOS EN LA POLÍTICA DE PRIVACIDAD

6. LEGISLACIÓN APLICABLE Y JURISDICCIÓN COMPETENTE

La Directiva de servicios de pago digitales (PSD2) y el comercio

¿Qué pretende?

¿Qué cambia?

Nota informativa

Recomendaciones generales para el comercio

Recomendaciones específicas para el comercio

Documentos descargables

¿QUIERES ACCEDER A CONTENIDO EXCLUSIVO?