Que tus clientes se sientan seguros en los pagos online
es un buen negocio

La seguridad es fundamental

Cuando programaste en su día tu página para vender online elegiste comercio no seguro con un modo de compra en un clic.

Las compras en un clic a través de comercio no seguro ofrecen una mayor experiencia de usuario a sus clientes, pero la nueva normativa europea pretende dotar de mayor seguridad a los pagos.

Los comercios no seguros ya no tendrán soporte a partir de diciembre de 2020 con la normativa europea y dejarán de funcionar.

Para cambiar a comercio seguro debes dirigirte a tu oficina de Ibercaja y allí realizarán los trámites.

Reforzando tu tranquilidad

Pasos a seguir que te recomendamos

Normativa

Para adaptarte a la nueva normativa y que puedas seguir operando online sin problema, debes ir a tu oficina de Ibercaja y cambiar tu negocio a la modalidad de Comercio Seguro.

  • A partir del cambio se exigirá la validación de la identidad del comprador en la forma que determine su entidad bancaria (un código enviado por SMS, una clave, etc.)
  • Y cuando entre en vigor la nueva normativa se activará de forma automática la doble validación de la identidad del comprador (por ejemplo, con una clave y un código enviado por SMS; o con huella y código).
Protocolo

Debes empezar a familiarizarte con los nuevos parámetros del protocolo.

  • Ya que se incluyen nuevos campos de datos que el comercio puede informar como, por ejemplo, los referidos al navegador del comprador. Coméntalo con tu proveedor informático.
  • Consulta aquí el protocolo y, ante cualquier duda, podrás ponerte en contacto con nosotros a través del correo: tpv@cecabank.es
doble identificacion

Recuerda que, aunque entre en vigor a finales de año, la doble identificación no será siempre necesaria. Existen excepciones como, por ejemplo, las ventas con un importe inferior a 30€ (hasta un máximo de 5 operaciones o un importe acumulado de 100€ desde la última autenticacion), o aquellas en las que el banco emisor pueda apreciar bajo riesgo de la operación gracias a los datos del cliente que registres en tu web y facilites al TPV.

  • Incorporar estos datos desde tu página formará parte de los cambios a realizar por tu proveedor informático.
informa

Comunica a tus clientes los cambios en el modo de pago, destacando la mejora de la seguridad de sus compras online.

  • Infórmales de que ahora tendrán que verificar su identidad con al menos un paso antes de finalizar el pago.

Preguntas frecuentes PSD2

La Autenticación Reforzada de Clientes, también conocida como “Strong Customer Authentication” o “SCA” por sus siglas en inglés, supone la aplicación de nuevas medidas de seguridad que harán que los pagos con tarjeta sean aún más seguros, ya que será la forma en la que los bancos emisores van a identificar a los titulares de las tarjetas cuando ordenen pagos en comercios presenciales o por Internet.

Estas nuevas medidas de seguridad comenzaron a aplicarse en las compras presenciales a partir del 14 de septiembre de 2019. Para las compras online comenzará a aplicarse en los próximos meses, hasta su plena implementación en enero de 2021, y los factores de autenticación que pediremos a tus clientes no serán los mismos que para las compras presenciales.

Actualmente la autenticación de los clientes en los comercios seguros se hacía pidiéndole al cliente la introducción del número de la tarjeta, la fecha de caducidad, su CVV, y la clave OTP de 4 dígitos que le mandamos a su móvil por sms.

A partir del momento en que se solicite SCA, cuando un cliente compre en tu comercio virtual, le pedirás que introduzca el número de la tarjeta y la fecha de caducidad, pero además, el banco emisor de la tarjeta que use para comprar le pedirá 2 de los siguientes 3 tipos de factores de autenticación:

  • Conocimiento: algo que sabe, por ejemplo, su contraseña de acceso a la banca electrónica o determinadas posiciones del pin de tu tarjeta.
  • Posesión: algo que posee, por ejemplo, la app del banco vinculada a su Smartphone, o el móvil en el que recibe las contraseñas de un solo uso que le enviamos por SMS.
  • Inherencia: algo que posee, por ejemplo, la app del banco vinculada a su Smartphone, o el móvil en el que recibe las contraseñas de un solo uso que le enviamos por SMS.

Como banco emisor, a los clientes titulares de nuestras tarjetas vamos a pedirles los factores de autenticación que les resulten más cómodos y fáciles de usar ajustándonos a sus preferencias en cuanto al uso de la tecnología y a la forma en la que se relacionan con nosotros.

No obstante, no siempre vamos a pedir los mismos factores de autenticación, dependerá del dispositivo que use el cliente para hacer la compra online.

Además, hay que tener en cuenta que todos los bancos del Espacio Económico Europeo estamos sujetos a la PSD2 y por lo tanto todos tenemos que implementar estas medidas de seguridad, pero cada banco ha decidido los factores de autenticación que va a pedir a sus clientes, por lo tanto, es posible que la experiencia de compra de un mismo cliente en tu comercio sea distinta dependiendo del banco que haya emitido la tarjeta que use para pagar.

No, todos los bancos estamos trabajando para que el proceso sea lo más amigable posible y además estamos haciendo campañas informativas a los titulares de tarjetas para que conozcan los factores de autenticación que les vamos a pedir antes de que se empiece a solicitar SCA. Si quieres apoyar nuestra campaña incluyendo información en tu web sobre esta nueva forma de comprar online, ponte en contacto a través de tpv@cecabank.es y te facilitaremos materiales que podrás adaptar a tus clientes.

Además, estamos promoviendo entre los clientes que hagan determinadas acciones, como por ejemplo descargarse nuestra app o darse de alta en nuestra banca electrónica, que harán su experiencia de compra más cómoda y ágil.

Por otro lado, hay que tener en cuenta que existen una serie de exenciones y excepciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.

Así, hay varios tipos de pagos que, por su propia naturaleza, la PSD2 los exceptúa del requisito de solicitar autenticación reforzada:

  • Pagos con tarjetas prepago anónimas ya que al ser anónimas no es posible verificar la identidad del titular.
  • Las llamadas transacciones MIT (Merchant Initiated Transactions): La normativa exige aplicación de SCA a los pagos electrónicos iniciados por el ordenante. Las operaciones MIT son pagos de productos o servicios sobre los que existe un acuerdo previo entre el comercio y el titular de la tarjeta que permite al comercio realizar los cargos sin que el titular tenga que realizar una acción anterior que los desencadene, y requieren SCA en la primera compra pero no en las siguientes (por ejemplo, pago de suscripciones, de suministros, o cargos extras en el alquiler de un coche o de una reserva hotelera). Son como operaciones de adeudo contra tarjetas.
  • Operaciones MO/TO (Mail Order/Telephone Order), es decir, ordenadas por teléfono o por correo.
  • Pagos realizados en redes limitadas.
  • Operaciones en las que el banco emisor o el adquirente está fuera del Espacio Económico Europeo.

Además, legalmente se prevén una serie de exenciones en las cuales se permite que los bancos emisores de tarjetas no apliquen SCA por considerarse operaciones de menor riesgo. Estas exenciones son:

  • Pagos por un importe inferior a 30€, hasta un máximo de 5 operaciones o un importe acumulado de 100€.
  • Pagos recurrentes, por la misma cuantía y al mismo comercio, se requiere autenticación en la primera transacción. Las suscripciones iniciadas con anterioridad al 14 de septiembre de 2019 no tendrán que ser autenticadas salvo si existe una modificación de la misma.
  • Pagos a los comercios de confianza del titular indicados como tal al banco emisor, también conocida como “listas blancas”.
  • Algunos pagos corporativos.
  • Pagos con bajo riesgo de fraude.

Con carácter general, antes de solicitar SCA al cliente, los bancos emisores intentaremos aplicar una exención o una excepción de las descritas anteriormente, por lo que la experiencia de compra en muchos casos será idéntica a la actual.

Si quieres puedes ampliar información y saber más sobre normativa PSD2 y pagos con tarjetas en comercios electrónicos.

La información se intercambia entre los comercios y los emisores gracias al protocolo 3D Secure.

Desde 2001 la versión de este protocolo que se viene utilizando tanto para informar como para autenticar las operaciones es la 1.0, pero actualmente existe una nueva versión de ese protocolo que mejora la información, con un mayor número de datos, que permite tanto la solicitud de los dos factores de SCA como la aplicación de excepciones de SCA en el proceso de compra.

Como ya te hemos informado en comunicaciones anteriores, debes asegurarte de que el TPV virtual que utiliza tu comercio es seguro, es decir, es 3D Secure, si no lo es o no lo sabes debes ponerte en contacto con nosotros sin demora escribiendo a tpv@cecabank.es, donde te ofreceremos soluciones que te permitan continuar operando con la mejor experiencia de pago de tus clientes.

Si tu comercio tiene uno o varios de los TPV Virtuales que ofrece nuestro banco y tienes delegada la gestión de los datos, no debes preocuparte por la migración al nuevo protocolo, ya que nosotros nos estamos encargando de actualizar la versión del mismo y de hacer esa migración. Por el contrario, si tu comercio tiene uno o varios de los TPV Virtuales que ofrece nuestro banco pero no tienes delegada la gestión de los datos, debes empezar a familiarizarte con los nuevos parámetros del protocolo, ya que incluye nuevos campos de datos que el comercio tiene que informar obligatoriamente como, por ejemplo, los referidos a ciertos parámetros del navegador del comprador. También hay datos que se tendrán que enviar si quieres que se pueda aplicar alguna de las exenciones o excepciones.

En cualquier caso, cuantos más datos tengamos más probabilidades habrá de que podamos aplicar una excepción por bajo riesgo, por lo que si quieres beneficiarte de una mayor tasa de esta excepción, debes hacer cambios en tu página web para que nos mande un mayor número de datos. Escríbenos a tpv@cecabank.es y te facilitaremos todo lo que necesitas para poder hacerlo.

Además, te recomendamos que empieces a realizar pruebas en nuestro entorno de pruebas, pues aunque el SCA no empezará a solicitarse hasta dentro de unos meses, el último trimestre del año es muy intenso en compras y seguro que preferirás centrarte en otros temas. Escríbenos a tpv@cecabank.es y te facilitaremos todo lo que necesitas para poder hacerlo.

Si tu comercio no se encuentra entre los casos anteriores, seguro que ya hemos contactado contigo y estamos ayudándote a hacer las implementaciones técnicas que son necesarias, pero por si acaso tienes dudas puedes escribirnos a tpv@cecabank.es , donde te informaremos con mayor detalle.

No, el Banco de España ha confirmado que habrá que aplicar SCA siempre, salvo que la operación esté exenta (por ejemplo en caso de operaciones transfronterizas de fuera de la UE) o se pueda aplicar alguna de las exenciones previstas legalmente.

No, ya que no se consideran operaciones de pago.

Sí, ya que son operaciones iniciadas a través de internet o de un dispositivo que puede utilizarse para la comunicación a distancia. Esto incluiría las operaciones realizadas por Internet y las operaciones realizadas a través de móvil (en compra por internet, no compra “contactless”).

Las órdenes por enviadas por correo electrónico o aplicaciones de mensajería pueden considerarse operaciones MO/TO, pero las órdenes introducidas en una Web a la que se accede a través de un enlace recibido en un mensaje se consideran de comercio electrónico y requieren SCA.

No, esas operaciones en las que quien inicia el pago es la solución automatizada con la que se ha interactuado se consideran de comercio electrónico y requieren SCA. Sin embargo, las transacciones de pago iniciadas por el comprador a través de una orden telefónica con el uso de una solución automatizada por parte del comercio, como por ejemplo una respuesta de voz interactiva, se considera un pedido telefónico regular.

No, las COF se consideran operaciones de comercio electrónico y requerirían SCA salvo en los casos en los que se les pueda aplicar una excepción.

No, en las operaciones COF el titular de la tarjeta realiza una acción que desencadena la orden de compra, por ejemplo, haciendo click en pagar, o comprar. Sin embargo, para que una operación se considere MIT es necesario que no haya una acción del cliente que desencadene el pago, el cliente tiene que estar ausente en el momento en que se ordena el pago. Las MIT son similares a los adeudos pero contra tarjetas.

La Autoridad Bancaria Europea ha aclarado que tanto en los casos en los que el ordenante ha preautorizado el bloqueo de una cantidad máxima como en aquéllos en que esta preautorización no se ha dado, si la cantidad final es igual o inferior a la cantidad acordada, se puede ejecutar la operación sin necesidad de volver a solicitar SCA, pero si la cantidad es mayor, el emisor tendrá que o bien requerir SCA o bien rechazar la operación.

La lista blanca se mantiene por banco emisor pero la crea el cliente y solo él puede modificarla. Es por este motivo que el que la Autoridad Bancaria Europea ha establecido que los bancos emisores no podemos hacer sugerencias de nuevas entradas o modificaciones de comercios a los clientes. Nada impide, sin embargo, que el comercio informe de esta posibilidad a su cliente e incluso que se la sugiera. No obstante, la inclusión en lista blanca se tiene que hacer en el entorno emisor y requiere SCA.

Los bancos emisores no están obligados legalmente a informar al banco adquirente ni al comercio de si un comercio está incluido en lista blanca. Compartir esa información sin el consentimiento expreso del titular de la tarjeta podría vulnerar el derecho de protección de datos. Sin embargo, nada impide que el comercio consiga esa información de su propio cliente.

Por otro lado, la decisión última de solicitar SCA a una operación es del banco emisor, por lo que, siguiendo criterios de riesgo, podría decidir aplicar SCA a una transacción aunque el comercio estuviera incluido en su lista blanca.