PSD2 para comercios

Con la entrada en vigor de la normativa sobre PSD2 tus clientes se sentiran más seguros en las compras que realicen.

Que tus clientes se sientan seguros
es un buen negocio

La seguridad es fundamental

La forma de comprar ha cambiado. Millones de personas compran en todo el mundo cada minuto. Pagar cualquier cosa con tarjeta o móvil, es lo normal. Ahora más que nunca, la seguridad es fundamental.

Calendario

Por eso a partir del 14 de septiembre entra en vigor la nueva normativa europea de pagos, que pone en marcha la Autenticación Reforzada de Clientes, un sistema de seguridad para tus clientes basado en 3 pilares:

PIN

Algo que conocen,
como su PIN.

Teléfono y tarjeta

Algo que tienen,
como su móvil o tarjeta.

huella

Y algo que son,
como su huella o su reconocimiento facial.

Reforzando tu tranquilidad

Reforzando tu tranquilidad

La economía digital crece, y la forma de comprar también: teléfonos móviles, ordenadores, tablets e incluso asistentes de voz, se utilizan cada día para comprar. Debido al volumen creciente de estas compras, necesitamos verificar que el titular de la tarjeta realmente es quien dice ser. La Directiva de Servicios de Pago 2 (PSD2) tiene como objetivo, entre otras cuestiones, mejorar la seguridad en transacciones presenciales y los pagos online través de la Autenticación Reforzada de Clientes.

¿Y qué tienes que hacer como comercio?

¿Y qué tienes que hacer como comercio?

La pasarela de pago de tu tienda online tiene que adaptarse a la nueva directiva, para ello deberás realizar las modificaciones informáticas necesarias en tu web para que la autenticación reforzada de clientes sea obligatoria.

Aunque la directiva entró en vigor el 14 de septiembre de 2019, existe un tiempo adicional para que el comercio electrónico pueda realizar los cambios necesarios, previsiblemente el periodo adicional finalizará en noviembre de 2020.

Para llegar a esa fecha cumpliendo con la normativa y que tus ventas online no se vean afectadas, es importante que desde ya, tu pasarela de pago pase a ser segura. A partir de mayo de 2020, nos pondremos en contacto contigo para comunicarte las acciones pendientes a realizar para permitir a tus clientes la mejor experiencia de pago.

No lo dejes para el último momento, ponte en contacto con tu proveedor informático y anticípate a los cambios.

Preguntas frecuentes PSD2

La Autenticación Reforzada de Clientes, también conocida como “Strong Customer Authentication” o “SCA” por sus siglas en inglés, supone la aplicación de nuevas medidas de seguridad que harán que los pagos con tarjeta sean aún más seguros, ya que será la forma en la que las entidades Emisoras van a identificar a los titulares de las tarjetas cuando ordenen pagos en comercios presenciales o por Internet.

Estas nuevas medidas de seguridad se han introducido a través de la nueva Directiva de Servicios de Pago, también conocida como PSD2, una norma que tenemos que cumplir todos los proveedores de servicios de pago (como los bancos) que estemos dentro del Espacio Económico Europeo.

La autenticación reforzada supone que los titulares de tarjetas tendrán que identificarse ante la Entidad Emisora de su tarjeta utilizando al menos dos factores de autenticación cuando realicen determinados pagos electrónicos. Así, la Entidad Emisora pedirá al titular 2 de los siguientes 3 tipos de factores de autenticación:

  • Conocimiento: algo que sabe, como el PIN de su tarjeta.
  • Posesión: algo que posee, como una contraseña de un solo uso enviada a su smartphone o una tarjeta de pago.
  • Inherencia: algo que "es", por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.

Estos nuevos requisitos tienen menor impacto en los pagos con tarjeta presenciales, gracias a las tarjetas con chip y PIN.

En estos casos, ya se cumplen los requisitos de autenticación reforzada ya que existe un factor de posesión (la tarjeta) y un factor de conocimiento (el código PIN), y lo único que va a notar el titular cuando compre es que el terminal le va a pedir que introduzca su PIN con más frecuencia, incluso aunque se trate de importes inferiores a 20€.

En los pagos en comercio electrónico el impacto será mayor, pues los titulares de tarjetas ya no podrán realizar pagos online utilizando la información impresa de sus tarjetas (número de tarjeta, fecha de caducidad y código de seguridad). En su lugar, la Entidad Emisora le pedirá 2 de los 3 posibles tipos de factores de autenticación mencionados anteriormente, que en la mayoría de los casos, será una clave OTP que recibirá en su móvil por SMS y algo más, que dependerá del perfil más o menos tecnológico del titular.

Todo ello deberá efectuarse a través de un protocolo seguro, por lo que los comercios que no lo sean, deberán migrar a 3DSecure.

No, existen una serie de exenciones y excepciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.

Por un lado, hay varios tipos de pagos que, por su propia naturaleza, la PSD2 los excluye del requisito de solicitar autenticación reforzada. Se trata, de pagos iniciados por correo postal o por teléfono, los pagos de productos o servicios cuando exista un acuerdo entre el comercio y el titular que permita al comercio realizar los cargos sin que el titular tenga que realizar una acción anterior que lo desencadene (por ejemplo, pago de suscripciones, de suministros etc.), y los pagos con tarjetas prepago anónimas.

Además el requisito de SCA solo aplica cuando el emisor y el adquirente están en alguno de los países del Espacio Económico Europeo (EEE), por lo que los pagos con tarjetas emitidas fuera del EEE no están sometidos a SCA.

Por otro lado se prevén una serie de situaciones bajo las cuales es posible que los Emisores decidan no aplicar SCA.

Estas situaciones son:

  • Pagos presenciales con tarjeta contactless por un importe inferior a 20€, hasta un máximo de 5 operaciones o un importe acumulado de 150€.
  • Pagos en Internet por un importe inferior a 30€, hasta un máximo de 5 operaciones o un importe acumulado de 100€.
  • Pagos recurrentes, por la misma cuantía y al mismo comercio.
  • Pagos en terminales no atendidos de autopistas, peajes y parkings.
  • Pagos a los beneficiarios de confianza del titular indicados como tal a la Entidad Emisora.
  • Algunos pagos corporativos.
  • Pagos con bajo riesgo de fraude.

La PSD2 no obliga directamente a los comercios, sino a los proveedores de servicios de pago, pero no es posible pedir a los titulares de las tarjetas los dos factores de autenticación que se requieren para aplicar correctamente SCA, o bien decidir no pedírselos en los casos permitidos legalmente, sin la adaptación técnica de los terminales y pasarelas de pago de los comercios, siendo responsabilidad de las Entidades Adquirientes hacer que sus comercios implementen las adaptaciones necesarias para poder cumplir con la norma, en los casos en que dicha actualización dependa del comercio, ya que habrá otros, en los que la actualización la podrá realizar el Adquirente.

Las entidades Emisoras pueden ser sancionadas con cuantiosas multas en caso de que no cumplan con los requerimientos de SCA por lo que podrán denegar la autorización de las operaciones de pago, en caso de que no puedan aplicar SCA, o no puedan estar seguras de que se trata de un pago no sujeto o exento de SCA, lo que tendría consecuencias directas para el comercio, que perdería ventas y clientes.

La pasarela de pago de tu tienda online tiene que adaptarse a la nueva directiva, para ello deberás realizar las modificaciones informáticas necesarias en tu web para que la autenticación reforzada de clientes sea obligatoria.

Aunque la directiva entró en vigor el 14 de septiembre de 2019, existe un tiempo adicional para que el comercio electrónico pueda realizar los cambios necesarios, previsiblemente el periodo adicional finalizará en septiembre de 2020.

Para llegar a esa fecha cumpliendo con la normativa y que tus ventas online no se vean afectadas, es importante que desde ya, tu pasarela de pago pase a ser segura. A partir de mayo de 2020, nos pondremos en contacto contigo para comunicarte las acciones pendientes a realizar para permitir a tus clientes la mejor experiencia de pago.

No lo dejes para el último momento, ponte en contacto con tu proveedor informático y anticípate a los cambios.

La autenticación reforzada de clientes es obligatoria desde el 14 de septiembre de 2019, no obstante lo anterior, un reciente comunicado de la Autoridad Bancaria Europea faculta a las autoridades nacionales, en nuestro caso, el Banco de España, para acordar una prórroga en relación a los pagos por Internet. Este aplazamiento podría dar margen a comercios y proveedores de servicios de pago (bancos) para implementar los cambios necesarios, pero en cualquier caso, lo más conveniente es empezar a realizarlos cuanto antes. Te mantendremos informado de cualquier novedad al respecto.