Centro de asistencia SlimPay

PSD2 y autenticación reforzada de pagos con tarjeta

Sumario

Contexto

La mayor parte del fraude en los pagos se produce en línea, especialmente cuando se utiliza una tarjeta.
El objetivo del ecosistema de pagos en su conjunto es proteger eficazmente la actividad de los comercios y, al mismo tiempo, ofrecer una experiencia de pago fluida a los clientes. En otras palabras, maximizar la tasa de conversión y limitar el fraude.

El desafío al que se enfrentan los comerciantes es encontrar el equilibrio perfecto entre la detección del fraude y la optimización de la experiencia del cliente. 

Teniendo esto en cuenta, la segunda versión de la Directiva de Servicios de Pago (PSD2), que entró en vigor a partir de septiembre de 2019, pretende (entre otras cosas) lograr este doble objetivo.

En este contexto, todas las transacciones con tarjeta deben someterse a la autenticación reforzada del cliente.

Autenticación reforzada del cliente (SCA)

La autenticación reforzada del cliente requiere al menos dos de estos tres factores: 

 

1.png   2.png   3.png
Inherencia   Conocimiento   Posesión
 Característica que solo pertenece al cliente (ej. huella dactilar, reconocimiento facial)             Información que solo el cliente conoce (ej. PIN, contraseña)            Objeto que solo el cliente posee (ej. tarjeta, teléfono móvil, token)   

Uno de los requisitos de la PSD2 es que cualquier alias creado para su uso futuro debe utilizar la autenticación reforzada.

Esto tiene importantes implicaciones para la economía de las suscripciones, ya que los usuarios tendrán que autenticar sistemáticamente su primer pago, ya sea con 3D Secure 1 o 3D Secure 2.

Para los pagos únicos (cuando los datos de la tarjeta no se guardan para un uso futuro), la PSD2 estipula que puede haber exenciones de autenticación reforzada en determinados casos.

3D Secure

3D Secure es un protocolo de seguridad cuyo principal objetivo es limitar el uso fraudulento de las tarjetas bancarias, garantizando que cualquier pago en línea con tarjeta sea realizado por su titular.

En 2021, coexisten dos versiones de 3D Secure que cumplen el requisito de autenticación reforzada establecido por la DSP2:

  • 3D Secure 1, el método existente basado en el envío de un código SMS al teléfono móvil del cliente: este método cumple con las exigencias de la PSD2 al menos hasta el 31 de diciembre de 2021
  • 3D Secure 2, el nuevo método de doble autenticación directamente en la aplicación bancaria del cliente

Etapas del cambio a la autenticación reforzada

El Banco Central de Francia y la Autoridad Bancaria Europea han aprobado un plan de despliegue de una nueva infraestructura para cumplir la normativa sobre autenticación reforzada del cliente (SCA). Una vez que se haya implementado por completo, la infraestructura realizará lo siguiente para cada transacción:

  • Verificará si es necesario utilizar la autenticación reforzada en la transacción
  • Registrará con precisión la naturaleza de la transacción y las necesidades del comerciante
  • Gestionará la exención, de acuerdo con las Normas Técnicas Reguladoras y hará un seguimiento del traspaso de responsabilidad en caso de fraude

Etapas de la implementación de la autenticación fuerte en Francia: 

mceclip0.png

Desde la puesta en marcha de este plan, es importante señalar que sólo una pequeña proporción de las transacciones en cuestión ha sido objeto de un soft-decline (rechazo por parte del banco emisor por falta de autentificación).

Sin embargo, se está llevando a cabo un aumento gradual del ritmo de estos rechazos para finalizar la migración a la autentificación reforzada sistemática prevista para el 15 de mayo de 2021.

Transacciones fuera del ámbito de aplicación

Para entrar en el perímetro de aplicación de las Normas Técnicas Reglamentarias (RTS) de la autentificación fuerte, una operación de pago debe cumplir dos requisitos:

  • Ser un pago electrónico
  • Ser iniciado por el cliente (persona física o moral)

La Autoridad Bancaria Europea (ABE) designó expresamente tres tipos de pagos de tarjeta a los que no se les aplica la SCA:


mit.png
Transacciones iniciadas por el comerciante (incluidas las suscripciones variables)

Pagos cuyo importe no se conoce inicialmente. Estos pagos se realizan cuando el titular no está presente, utilizando una tarjeta previamente guardada.
Para beneficiarse de esta exención, el comerciante debe autentificar la tarjeta al registrarla o al realizar el primer cobro. Debe obtener de igual manera el consentimiento del cliente (mandato) para poder cargar la tarjeta posteriormente.

leg.png
Cobros One leg 
Cuando el banco del cliente o el banco del comerciante se encuentren fuera de la UE, no se llevará a cabo ninguna autenticación.

moto.png
Cobros MO/TO (Suscripciones por correo/por teléfono)
Las órdenes por correo y teléfono no se consideran pagos electrónicos.

 

Excepciones a la autenticación reforzada

En el caso de un pago único (one-off), la DSP2 prevé casos de exención a la autenticación reforzada del cliente.

SlimPay, en su condición de prestatario, puede solicitar estas exenciones al procesar el pago. El banco del titular de la tarjeta recibirá la solicitud, evaluará el nivel de riesgo de la transacción y decidirá si está sujeta a una exención.

A continuación listamos las exenciones:

low.png
Pagos de bajo importe

Todos los pagos inferiores a 30 euros. Estimamos que alrededor del 50% de todas las transacciones en línea estarán exentas.
Sin embargo, esto no se aplicará si el importe total a pagar desde la última autenticación es superior a 100 euros o si se han intentado más de cinco transacciones con la tarjeta desde la última autenticación.

 

fixed.png
Suscripciones de importe fijo

El cliente realiza al mismo comerciante una serie de pagos recurrentes con el mismo importe.
La autenticación reforzada sólo se exigirá para el primer pago del cliente y los siguientes pagos están exentos. 

trusted.png
Comerciantes de confianza
El cliente puede colocar al comerciante en una lista blanca para evitar la autenticación en futuros pagos.

risk.png
Riesgo bajo / Análisis de riesgo de una transacción

Exención de análisis de riesgo (TRA) del banco emisor: El emisor de la tarjeta puede aplicar una exención TRA aunque no la hayas solicitado. Te aconsejamos que envíes información adicional en tu orden de pago para aumentar la probabilidad de beneficiar de esta exención.
Solicitud de exención TRA por parte del proveedor de servicios de pago (PSP): Los proveedores de servicios de pago pueden elegir si se aplica o no la SCA a una transacción. Sin embargo, deben asegurarse de que sus índices de fraude no superen determinados umbrales.

Responsabilidad en caso de fraude

Cuando SlimPay gestiona el cumplimiento de la PSD2, se solicita una exención siempre que sea posible y el cliente deberá pasar por la autenticación fuerte siempre que el banco lo requiera.

Según el Consejo Europeo de Pagos:

"La PSD2 establece que un cliente puede reclamar un reembolso completo al proveedor de servicios de pago en caso de un cobro no autorizado siempre y cuando la autenticación reforzada no fuera utilizada y el cliente no cometiera un acto fraudulento."

Esto significa que, en caso de fraude en las transacciones exentas de SCA, serás responsable de las devoluciones de cargos asociadas a esas transacciones. Es decir, no hay transferencia de responsabilidad hacia el banco emisor.

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 0 de 0