Consecuencias de la directiva PSD2 y la autenticación reforzada de cliente (SCA) para operadores de tiendas online

Importante: La siguiente información constituye información general que de ninguna manera reemplaza un asesoramiento legal.

¿La nueva directiva PSD2 sobre la autenticación reforzada de clientes me afecta como operador de tienda?

Las nuevas normas técnicas reguladoras de la Directiva de Servicios de Pago (PSD2) han sido definidas por la Supervisión Bancaria Europea y todos los operadores de tiendas europeos están obligados a garantizar una mejor autenticación de los clientes al realizar compras en línea.

Los requisitos de la autenticación reforzada de clientes (SCA) están diseñados para aumentar la seguridad de los pagos electrónicos y evitar el fraude en línea.

Como operador de tienda, está afectado si ofrece en su tienda ofrece el pago por tarjeta de crédito o tarjeta de débito, lo que también incluye los servicios de pago, como PayPal, Amazon Pay, etc., que funcionan mediante la cuenta bancaria o la tarjeta de crédito del cliente. No se verán afectados los pagos por domiciliación bancaria, factura o pago anticipado.

¿Cuándo entrará en vigor la nueva directiva?

La fecha oficial de entrada en vigor de la directiva PSD2 es el 14 de septiembre de 2019.

¿Qué debo tener en cuenta como propietario de una tienda online?

Es su obligación asegurarse de que los métodos de pago que utiliza son compatibles con  la directiva PSD2, aplicar la autenticación reforzada de clientes (SCA) y no cobrar comisiones adicionales por los pagos.

No tiene queadaptar nada en su tienda online si ofrece los siguientes métodos de pago a sus clientes y no cobra comisiones adicionales por los pagos:

  • PayPal
  • Mollie
  • Stripe
  • Square
  • Amazon Pay
  • Skrill
  • Ingenico

Sin embargo, como operador de la tienda, siempre debe comprobar los métodos de pago que ha proporcionado. Si ofrece otros métodos de pago, por ejemplo, para aceptar pagos con tarjeta de crédito o transferencias bancarias en línea (por ejemplo, authorize.net, 2checkout), póngase en contacto directamente con el servicio de asistencia técnica del proveedor para asegurarse de que se cumple con la autenticación reforzada de cliente. Es posible que tenga que realizar ajustes.

No le está permitido cobrar comisiones por los pagos. La directiva PSD2 ya no permite cobrar comisiones adicionales por un pago. Esto se aplica a Visa y Mastercard (con la excepción de las tarjetas comerciales y las tarjetas de empresa), así como a las transferencias bancarias y los débitos directos estándar. Esto es independiente del método de pago elegido. Por favor, compruebe si, por el momento, cobra comisiones por un método de pago.

¿Qué cambiará para mis clientes?

Si los clientes utilizan métodos de pago cuando compran en Internet que requieren una autenticación reforzada de cliente, deben elegir una combinación de al menos dos métodos de autenticación independientes desde el momento en que la autenticación reforzada de cliente se hace efectiva cuando compran en Internet. Hasta ahora, esto no era absolutamente necesario, a menudo sólo la contraseña o PIN respectivo era suficiente para hacer un pago en línea.

La autenticación de dos factores en sí no es un procedimiento nuevo, pero por el nuevo reglamento será obligatorio para todos los pagos electrónicos. Por ejemplo, los pagos a través de PayPal a través de smartphones ya usan elementos de la nueva directiva, ya que el smartphone constituye un elemento poseído y la huella dactilar un elemento inherente.

Como parte del proceso de pago, el proveedor de pagos solicita ahora a sus clientes que realicen una autenticación reforzada de cliente. Esto ocurre en una interfaz gestionada por el proveedor de pagos (por ejemplo, un sitio web o una ventana emergente). Dado que la autenticación reforzada de cliente se aplica en toda la UE, los clientes se acostumbrarán rápidamente a los nuevos requisitos.

¿Cómo funciona la autenticación reforzada de cliente (SCA)?

Una de las principales novedades de la PSD2 es que obliga a emplear medidas de autenticación reforzada. Por tanto se generalizará el uso de la doble autenticación, que implica que el ordenante autorice las operaciones empleando al menos dos de estos elementos:

  • Elemento inherente. Se trata de un componente biométrico del usuario, como el reconocimiento facial, la huella dactilar o el iris.
  • Elemento poseído. Se trata de un componente que tiene el usuario, como una tarjeta, un certificado digital o el teléfono móvil.
  • Elemento conocido. Se trata de un componente que conoce el usuario, como un número PIN o una contraseña.

El uso del número de la tarjeta de crédito con el código de seguridad en el reverso de la tarjeta ya no cumplirá con las características de la autenticación reforzada. Esto se debe a que tanto el número de tarjeta de crédito como el código de seguridad son elementos poseídos. A partir de ahora, además del número de la tarjeta de crédito, se debe utilizar una contraseña, PIN o TAN o una huella dactilar, ya que estos factores están en la categoría conocimiento o herencia.

La autenticación de dos factores en sí no es un procedimiento nuevo, pero por el nuevo reglamento será obligatorio para todos los pagos electrónicos.

¿Hay alguna excepción?

Sí, la directiva PSD2 establece algunas excepciones, como la reducción de los requisitos de seguridad para la transacción de importes menores. La compañía de la tarjeta de crédito decidirá si habrá excepciones o no. Los casos en los que es probable que haya excepciones son las siguientes:

El importe de la compra no alcanza los 30 euros

La entidad de pago del cliente no tiene que exigir la autenticación, pero puede hacerlo. Si varias compras en un corto período de tiempo suman más de 150 euros para pequeñas cantidades, esta excepción no se aplica y la autenticación fuerte del cliente es necesaria de nuevo.

Además, el control también debe tener lugar después de cinco compras sin autenticación fuerte, por ejemplo, si un cliente realiza varias compras por pequeñas cantidades.

Clasificación del riesgo por entidad de pago

Debido al comportamiento de pago a lo largo del tiempo, la entidad de pago del cliente puede estimar el potencial de riesgo y clasificar así una operación como libre de riesgo. De este modo, la entidad de pago también puede prescindir de una autenticación reforzada de cliente.

Pagos regulares y suscripciones

Si se concluyen las suscripciones o se realizan pagos regulares, la entidad de pago también puede prescindir de una autenticación sólida adicional tan pronto como se haya realizado el primer pago con una autenticación reforzada de cliente.

Clasificación manual de la tienda online como fiable

Las entidades de pago pueden ofrecer a sus clientes determinadas tiendas en línea y comercios de confianza. Esto permite a los clientes depositar una lista de tiendas en línea en su entidad de pago, para las que no necesitan una autenticación reforzada de cliente. No se trata de una norma obligatoria y no todas las entidades de pago ofrecerán una lista blanca.