Introducción
"PSD2" es el acrónimo utilizado para denominar a la segunda Directiva (UE) 2015/2366, de 25 de noviembre, de servicios de pago. Esta directiva es la regulación europea que recoge el marco normativo que aplica a los pagos electrónicos en Europa y está transpuesta completamente en España.
La PSD2 ha hecho de la seguridad en los pagos electrónicos uno de sus ejes vertebradores. La norma prescribe la aplicación obligatoria de medidas y procedimientos de seguridad específicos en las operaciones de pago electrónicas, y en especial en las que tienen lugar a distancia. Estas medidas y procedimientos se articulan en torno al concepto de “autenticación reforzada del cliente” ("SCA", por sus siglas en inglés).
En lo relativo a la seguridad en las operaciones de pago, la PSD2 se centra especialmente en las transacciones de carácter remoto realizadas a través de Internet. Este énfasis es una consecuencia directa del notable incremento que dichas transacciones, especialmente las realizadas por dispositivos móviles, han experimentado en los últimos años, impulsadas por el auge del comercio electrónico.
El requisito de realizar autenticación reforzada del cliente cuando se inicia una transacción de pago electrónico, consiste en la obligación de los proveedores de servicios de pago (PSPs) que emiten instrumentos de pago de autenticar la identidad del ordenante basándose en el uso de dos elementos de seguridad independientes (factores de autenticación) cada vez que éste realice un pago en un comercio físico o electrónico.
La obligación de realizar SCA cuando se inicia una transacción de pago electrónico comenzó a aplicarse en compras presenciales desde el pasado 14 de septiembre de 2019. Para las compras online comenzará a aplicarse en los próximos meses, y los factores de autenticación que se pedirán no serán los mismos que para las compras presenciales.
Aspectos clave en los pagos con tarjeta en comercio electrónico
La aplicación de SCA en los pagos con tarjeta por Internet va a suponer un cambio en la forma en que los usuarios de servicios de pago van a realizan sus compras, pues los ordenantes ya no podrán realizar pagos online utilizando únicamente la información impresa de sus tarjetas (número de tarjeta, fecha de caducidad y código de seguridad). En su lugar, tendrán que, por ejemplo, verificar su identidad introduciendo durante el proceso de pago un código adicional que recibirán en su móvil o mediante la aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella dactilar para aprobar una transacción.
La autenticación reforzada del cliente en los pagos por Internet se basa en el uso combinado de dos de los siguientes tipos de factores de autenticación:
De esta manera, el PSP emisor del instrumento de pago puede estar seguro de que el ordenante es quien dice ser.
Cada banco emisor ha decidido qué factores de autenticación va a pedirle a sus clientes, por lo que la experiencia de compra puede variar dependiendo de la tarjeta que se utilice.
En Ibercaja queremos que todos nuestros clientes puedan beneficiarse de esta nueva forma de comprar online, por eso vamos a pedir los factores de autenticación que resulten más cómodos y fáciles de usar ajustándonos a sus preferencias en cuanto al uso de la tecnología y a la forma en la que se relacionan con nosotros.
No obstante lo anterior, existen una serie de exenciones y excepciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.
Los nuevos requisitos de SCA, ligados a los supuestos de exenciones y excepciones a su aplicación, suponen un cambio en la forma en que la que se van a hacer las compras online, pero esto no significa que el proceso de compra vaya a ser más complicado o engorroso, simplemente los clientes tendrán que acostumbrarse a hacerlo de otra manera, y dependiendo de la digitalización del propio comprador, este proceso puede ser incluso más sencillo y ágil que el actual.
Excepciones a la aplicación de SCA
Se trata de supuestos legalmente previstos en los que la PSD2 no es de aplicación y por lo tanto están exceptuados del requisito de solicitar SCA.
Instrumentos de pago anónimos: por su naturaleza, no están sujetos a la obligación de autenticación reforzada de clientes ya que no se puede identificar al ordenante. Ejemplos de este tipo de pagos son aquellos que se realizan con tarjetas prepago anónimas o tarjetas regalo.
Operaciones no EEE (Espacio Económico Europeo): la aplicabilidad de SCA se circunscribe al ámbito geográfico del Espacio Económico Europeo (EEE); emisor y adquirente deben estar situados en el EEE. Las transacciones inter-regionales en las que bien el banco emisor, bien el banco adquirente está situados fuera del EEE están exceptuadas de la aplicación de SCA. La localización en el momento del pago del comercio o del ordenante es irrelevante.
En el caso de operaciones ordenadas por tarjetas emitidas en Reino Unido, o adquiridas en dicho país, también se solicitará SCA.
Operaciones MO/TO (Mail Order/Telephone Order): las operaciones MO/TO son aquéllas donde se desencadena la orden de pago mediante correo y/o teléfono.
Se consideran operaciones MO/TO:
Pagos realizados en redes limitadas: son pagos realizados por instrumentos de pago específicos de uso limitado en instalaciones del emisor, en una red de comercios para adquirir una gama muy limitada de bienes o servicios, o que se emiten con fines sociales o fiscales para adquirir bienes o servicios concretos bajo acuerdo con el emisor. Se trata por ejemplo, de operaciones realizadas con tarjetas gasóleo o tarjetas restaurante. Las tarjetas privadas con las que se puede comprar en cualquier sitio o cualquier producto y dan puntos o similar por comprar en sus comercios o sus productos no son una red limitada.
Transacciones MIT (Merchant Initiated Transactions): son transacciones iniciadas por el comercio en las que se dan todos los siguientes requisitos:
Para establecer una transacción MIT, siempre se requiere al menos una transacción inicial donde haya existido presencia del titular y SCA. Esta transacción inicial con SCA se identificará unívocamente para que en las sucesivas transacciones existentes, MIT, se pueda localizar la transacción original.
Son ejemplos de transacciones MIT el pago de suscripciones, de suministros, o cargos extras en el alquiler de un coche o de una reserva hotelera.
Hay que tener en cuenta que las suscripciones iniciadas con anterioridad al 14 de septiembre de 2019 no tendrán que ser autenticadas salvo que se modifiquen.
Por otro lado, no se debe confundir una transacción MIT con una operación Card-On-File (COF) con tarjeta tokenizada, en las que el titular ha registrado en el comercio los datos de la tarjeta vinculados a su identidad, ya que el registro del titular en el comercio no sustituye las medidas de seguridad de la PSD2 que permiten verificar la identidad del titular y, por otro lado, en una operación COF el titular de la tarjeta realiza una acción que desencadena la orden de compra, por ejemplo, haciendo click en pagar, o comprar y se considera una operación de comercio electrónico que requiere SCA.
Exenciones a la aplicación de SCA
La aplicación de SCA a los titulares de tarjetas, si bien se puede delegar en terceros siguiendo unos estrictos requisitos, recae en el banco emisor y si bien la PSD2 prevé una serie de situaciones en las cuales se permite que los bancos emisores no apliquen SCA por considerarse de menor riesgo, la decisión última de si aplica SCA la tiene el banco emisor.
Estas situaciones son: