Introducción
Con la PSD2, cambia la regulación europea que se aplica a los servicios de pago.
Una de las normas de la PSD2 que más impacto tendrá en el comercio es la SCA (Strong Customer Authentication o autenticación reforzada), que obliga a autenticar todas las transacciones ecommerce europeas, o lo que es lo mismo, a ser procesadas como 3D Secure.
Su fecha de aplicación estaba anunciada para el 14 de septiembre de 2019, pero de acuerdo con el Banco de España, los sistemas de pago españoles no aplicaremos la SCA en esa fecha. La fecha definitiva está pendiente de nuevo anuncio y se espera que sea 31 de diciembre del 2020.
La SCA afectará principalmente a la forma en cómo se autenticarán los compradores puesto que exige que todas las transacciones eCommerce europeas estén autenticadas con 2 de estos 3 factores de autenticación:
Los bancos emisores de tarjetas están adaptando protocolos para que sus usuarios conozcan y tengan disponible el doble factor, para cumplir con la nueva normativa.
La PSD2 se aplicará a todos los entornos de pago (eCommerce, pagos presenciales, tokenización, transferencias, ...) de cualquier sistema de pago (tarjetas, cuentas financieras, X-Pay –grandes plataformas de pagos alternativos a Tarjetas -, ...) que se realicen dentro del Espacio Económico Europeo.
Dada la amplitud de tipos de comercio y de empresas que reciben pago, el regulador ha definido aún más el ámbito de actuación, así como ciertas exenciones y excepciones en su aplicación:
Exenciones
- Pagos realizados por Tarjetas emitidas fuera del Espacio Económico Europeo. Reino Unido se ha acogido a norma SCA.
- Operaciones en las que el pago se ha iniciado por teléfono, correo postal o email.
- Pagos realizados por Tarjetas Prepago Anónimas.
- MIT (Merchant Initiated Transactions): se podrá utilizar en operaciones iniciadas solo por el comercio (el pagador está “ausente” en el momento del pago) y, siempre y cuando, haya un acuerdo preexistente entre comercio y comprador. Es requerida una autenticación SCA en el pago inicial, en la primera compra.
Se pueden considerar MIT los pagos repetitivos, iniciados por el comercio en procesos tipo “batch” y en los que el importe es variable. También en suscripciones digitales sin importe fijo (p.ej.; facilitar una tarjeta para el cobro de campañas SEM), o en cargos extras en el alquiler de un coche, ...
Excepciones
A diferencia de las “excluidas”, las “excepciones” solo pueden ser enviadas en un canal de Compra Segura (3DSecure). Ante ellas, el receptor (la entidad emisora del pago) puede aceptarlas, denegarlas, pero también, requerir una autenticación de su cliente antes de responder.
-
Transacciones de ≤ 30 €.
No obstante, en esta excepción la entidad emisora también está regulada y sólo aceptará sin autenticar a su cliente si, desde la última vez que lo autenticó, el importe exento acumulado en compras anteriores es ≤ 100 € o el número de transacciones exentas es ≤ 5.
-
Transacciones recurrentes.
Operativa periódica con mismo importe, sistema de pago, periodicidad y beneficiario. Se requiere autenticación en la primera transacción. Para operaciones recurrentes iniciadas antes de la fecha que determine el Banco de España, el Regulador ha permitido que no se aplique la autenticación en el primer pago de la subscripción.
-
Excepción por TRA (Transaction Risk Analysis)
Las operaciones claramente de bajo riesgo de fraude se pueden enviar bajo exención por TRA, siempre y cuando el ratio global de fraude de la Entidad de Pago que procesa el pago (el banco o plataforma propietaria del TPV Virtual) esté acotado y verificado por el Regulador.
Los importes de las operaciones acogidas a esta excepción deberán ajustarse el nivel de fraude global de la Entidad de Pago:
- Operaciones < 500 € si ratio < 0’01%
- Operaciones < 250 € si ratio < 0’06%
- Operaciones < 100 € si ratio < 0’13%
Hay que tener en cuenta que, hasta el momento, el Regulador no ha publicado un protocolo específico ni ha indicado el canal para que la Entidad de Pago (p.ej; PAYCOMET) se adhiera a esta excepción.
-
Lista blanca de beneficiarios.
Esta excepción es la única que no puede ser solicitada por el comercio. Sólo afecta a entidades emisoras de sistemas de pago, que han habilitado protocolos por los que sus clientes les han reportado sus “comercios de confianza” y les han autorizado para que no se aplique autenticación cuando compren en ellos.