Normativa PSD2 y pagos con tarjeta en comercio electrónico
Introducción
"PSD2" es el acrónimo utilizado para denominar a la segunda Directiva (UE) 2015/2366, de 25 de noviembre, de servicios de pago. Esta directiva es la regulación europea que recoge el marco normativo que aplica a los pagos electrónicos en Europa y está transpuesta completamente en España.
La PSD2 ha hecho de la seguridad en los pagos electrónicos uno de sus ejes vertebradores. La norma prescribe la aplicación obligatoria de medidas y procedimientos de seguridad específicos en las operaciones de pago electrónicas, y en especial en las que tienen lugar a distancia. Estas medidas y procedimientos se articulan en torno al concepto de “autenticación reforzada del cliente” ("SCA", por sus siglas en inglés).
En lo relativo a la seguridad en las operaciones de pago, la PSD2 se centra especialmente en las transacciones de carácter remoto realizadas a través de Internet. Este énfasis es una consecuencia directa del notable incremento que dichas transacciones, especialmente las realizadas por dispositivos móviles, han experimentado en los últimos años, impulsadas por el auge del comercio electrónico.
El requisito de realizar autenticación reforzada del cliente cuando se inicia una transacción de pago electrónico, consiste en la obligación de los proveedores de servicios de pago (PSPs) que emiten instrumentos de pago de autenticar la identidad del ordenante basándose en el uso de dos elementos de seguridad independientes (factores de autenticación) cada vez que éste realice un pago en un comercio físico o electrónico.
La obligación de realizar SCA cuando se inicia una transacción de pago electrónico comenzó a aplicarse en compras presenciales desde el pasado 14 de septiembre de 2019. Para las compras online comenzará a aplicarse en los próximos meses, y los factores de autenticación que se pedirán no serán los mismos que para las compras presenciales.
Aspectos clave en los pagos con tarjeta en comercio electrónico
La aplicación de SCA en los pagos con tarjeta por Internet va a suponer un cambio en la forma en que los usuarios de servicios de pago van a realizan sus compras, pues los ordenantes ya no podrán realizar pagos online utilizando únicamente la información impresa de sus tarjetas (número de tarjeta, fecha de caducidad y código de seguridad). En su lugar, tendrán que, por ejemplo, verificar su identidad introduciendo durante el proceso de pago un código adicional que recibirán en su móvil o mediante la aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella dactilar para aprobar una transacción.
La autenticación reforzada del cliente en los pagos por Internet se basa en el uso combinado de dos de los siguientes tipos de factores de autenticación:
- Conocimiento: algo que sabe, por ejemplo, su contraseña de acceso a la banca electrónica, o determinadas posiciones del Pin de su tarjeta.
- Posesión: algo que posee, por ejemplo, la app del banco vinculada a su Smartphone, o el móvil en el que recibe las contraseñas de un solo uso que le enviamos por SMS.
- Inherencia: algo que "es", por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.
De esta manera, el PSP emisor del instrumento de pago puede estar seguro de que el ordenante es quien dice ser.
Cada banco emisor ha decidido qué factores de autenticación va a pedirle a sus clientes, por lo que la experiencia de compra puede variar dependiendo de la tarjeta que se utilice.
En Ibercaja queremos que todos nuestros clientes puedan beneficiarse de esta nueva forma de comprar online, por eso vamos a pedir los factores de autenticación que resulten más cómodos y fáciles de usar ajustándonos a sus preferencias en cuanto al uso de la tecnología y a la forma en la que se relacionan con nosotros.
No obstante lo anterior, existen una serie de exenciones y excepciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.
Los nuevos requisitos de SCA, ligados a los supuestos de exenciones y excepciones a su aplicación, suponen un cambio en la forma en que la que se van a hacer las compras online, pero esto no significa que el proceso de compra vaya a ser más complicado o engorroso, simplemente los clientes tendrán que acostumbrarse a hacerlo de otra manera, y dependiendo de la digitalización del propio comprador, este proceso puede ser incluso más sencillo y ágil que el actual.
Excepciones a la aplicación de SCA
Se trata de supuestos legalmente previstos en los que la PSD2 no es de aplicación y por lo tanto están exceptuados del requisito de solicitar SCA.
Instrumentos de pago anónimos: por su naturaleza, no están sujetos a la obligación de autenticación reforzada de clientes ya que no se puede identificar al ordenante. Ejemplos de este tipo de pagos son aquellos que se realizan con tarjetas prepago anónimas o tarjetas regalo.
Operaciones no EEE (Espacio Económico Europeo): la aplicabilidad de SCA se circunscribe al ámbito geográfico del Espacio Económico Europeo (EEE); emisor y adquirente deben estar situados en el EEE. Las transacciones inter-regionales en las que bien el banco emisor, bien el banco adquirente está situados fuera del EEE están exceptuadas de la aplicación de SCA. La localización en el momento del pago del comercio o del ordenante es irrelevante.
En el caso de operaciones ordenadas por tarjetas emitidas en Reino Unido, o adquiridas en dicho país, también se solicitará SCA.
Operaciones MO/TO (Mail Order/Telephone Order): las operaciones MO/TO son aquéllas donde se desencadena la orden de pago mediante correo y/o teléfono.
Se consideran operaciones MO/TO:
- Las transacciones de “comercio conversacional”, mediante la interacción del usuario con la tecnología de reconocimiento de voz. Quedaría fuera de esta consideración, los asistentes de voz que actúan vía comercio electrónico (por ejemplo, Alexa, Siri, y Google Assistant.)
- Las operaciones en las que el titular realiza su pedido vía teléfono, correo electrónico o correo postal y durante dicho proceso, se facilitan los datos de tarjeta de pago. Las órdenes por enviadas por aplicaciones de mensajería (por ejemplo, WhatsApp) pueden considerarse operaciones MO/TO, pero las órdenes introducidas en una web a la que se accede a través de un enlace recibido en un mensaje se consideran de comercio electrónico y requieren SCA.
Pagos realizados en redes limitadas: son pagos realizados por instrumentos de pago específicos de uso limitado en instalaciones del emisor, en una red de comercios para adquirir una gama muy limitada de bienes o servicios, o que se emiten con fines sociales o fiscales para adquirir bienes o servicios concretos bajo acuerdo con el emisor. Se trata por ejemplo, de operaciones realizadas con tarjetas gasóleo o tarjetas restaurante. Las tarjetas privadas con las que se puede comprar en cualquier sitio o cualquier producto y dan puntos o similar por comprar en sus comercios o sus productos no son una red limitada.
Transacciones MIT (Merchant Initiated Transactions): son transacciones iniciadas por el comercio en las que se dan todos los siguientes requisitos:
- existe un acuerdo entre el titular de la tarjeta y el comercio, para la prestación de determinados bienes o servicios,
- existe un mandato del titular de la tarjeta al comercio para iniciar un pago o serie de pagos a través de una tarjeta de pago, y
- los pagos no se desencadenan por una acción específica del titular de la tarjeta sino que los ordena el comercio.
Para establecer una transacción MIT, siempre se requiere al menos una transacción inicial donde haya existido presencia del titular y SCA. Esta transacción inicial con SCA se identificará unívocamente para que en las sucesivas transacciones existentes, MIT, se pueda localizar la transacción original.
Son ejemplos de transacciones MIT el pago de suscripciones, de suministros, o cargos extras en el alquiler de un coche o de una reserva hotelera.
Hay que tener en cuenta que las suscripciones iniciadas con anterioridad al 14 de septiembre de 2019 no tendrán que ser autenticadas salvo que se modifiquen.
Por otro lado, no se debe confundir una transacción MIT con una operación Card-On-File (COF) con tarjeta tokenizada, en las que el titular ha registrado en el comercio los datos de la tarjeta vinculados a su identidad, ya que el registro del titular en el comercio no sustituye las medidas de seguridad de la PSD2 que permiten verificar la identidad del titular y, por otro lado, en una operación COF el titular de la tarjeta realiza una acción que desencadena la orden de compra, por ejemplo, haciendo click en pagar, o comprar y se considera una operación de comercio electrónico que requiere SCA.
Exenciones a la aplicación de SCA
La aplicación de SCA a los titulares de tarjetas, si bien se puede delegar en terceros siguiendo unos estrictos requisitos, recae en el banco emisor y si bien la PSD2 prevé una serie de situaciones en las cuales se permite que los bancos emisores no apliquen SCA por considerarse de menor riesgo, la decisión última de si aplica SCA la tiene el banco emisor.
Estas situaciones son:
- Operaciones de bajo importe: se consideran pagos de bajo importe aquellos pagos remotos de comercio electrónico, cuyo importe de la transacción es menor o igual a 30€ o su equivalente en otras monedas. Además, se fija un máximo a partir del cual se requiere SCA, en concreto, un máximo de 5 transacciones consecutivas sin SCA o un importe máximo acumulado sin SCA de 100€.
- Operaciones frecuentas: se las conoce como operaciones recurrentes, con el mismo importe y beneficiario. Se requiere autenticación en la primera transacción y si se produce alguna modificación. Son un tipo de transacciones MIT.
- Procesos y protocolos de pago corporativo seguro: los bancos emisores tienen la posibilidad de no aplicar SCA a personas jurídicas que inicien operaciones de pago electrónico mediante el uso de procesos o protocolos de pago que solo estén disponibles para los ordenantes que no sean consumidores, cuando las autoridades competentes estén convencidas de que dichos procesos o protocolos garantizan unos niveles de seguridad al menos equivalentes a los previstos por la PSD2.
- Operaciones de pago a favor de beneficiarios incluidos en una lista confianza: lista de confianza o lista blanca es un mecanismo que permite a un cliente determinar qué comercios considera de su confianza, permitiendo la PSD2 en esos casos que el banco emisor no realice SCA en las compras realizadas por ese cliente en ese comercio.
La lista de confianza se gestiona por el banco emisor y debe ser creada expresamente por el cliente en el entorno de su banco, requiriendo SCA cada vez que se añade un comercio a la lista o ésta se modifica.
No está permitido al banco emisor hacer sugerencias de nuevas entradas o modificaciones de comercios al cliente, pero se pueden diseñar entornos bancarios que hagan fácil al cliente agregar nuevos comercios.
El banco emisor no está obligado a informar al adquirente de si el comercio está incluido en su lista blanca ni a compartir la lista de los comercios de confianza con el adquirente ni con los comercios.
Esta exención entraña una gran dificultad a la hora de su implementación, especialmente cuando el instrumento de pago es una tarjeta, por lo que con carácter general no será incorporada por los bancos emisores al mismo tiempo que el resto de exenciones. No obstante, se trata de una exención muy potente y que claramente con su aplicación generará menos fricción en el pago, por lo que a futuro se acabará implementando. - Operaciones con bajo riesgo de fraude: se la conoce como la exención por TRA, análisis de riesgo transaccional por sus siglas en inglés. Permite que ciertas transacciones de comercio electrónico estén exentas de SCA siempre que se realice un análisis de riesgo sólido y que los bancos emisores y adquirentes cumplan con unos umbrales de fraude específicos.
Esta exención es clave para brindar experiencias de pago sin fricción para transacciones remotas de bajo riesgo y para que haya más probabilidades de que se aplique, es conveniente que el comercio facilite a través del protocolo EMV 3DS2 cuantos más datos mejor.
Por último, hay que recordar que esta nueva forma de comprar online comenzará a aplicarse en los próximos meses de forma progresiva, hasta que se implemente definitivamente en enero de 2021, por lo que conviene estar preparados para que el cambio no coja desprevenido a nadie.
Para ello, te recomendamos que empieces a realizar pruebas en nuestro entorno de pruebas cuanto antes. Escríbenos a tpv@cecabank.es y te facilitaremos todo lo que necesitas para poder hacerlo.
