El 14 de septiembre de 2019 entró en vigor la nueva Ley Europea de Pagos Digitales denominada PSD2, que como característica fundamental exige una Autenticación Reforzada de Cliente Fuerte (SCA) para muchos pagos en línea en el Espacio Económico Europeo (EEE).
Actualmente la mayoría de las tarjetas de crédito como VISA y MasterCard utilizan un método de identificación reforzado llamado 3DSecure, de hecho, son precisamente estas dos empresas las que impulsaron su creación. Por tanto, muchas tarjetas de crédito o débito incorporan este método: Verified by VISA, VISA Secure, MasterCard Secure Code, Discover ProtectBuy, American Express SafeKey, etc.
Pero, ¿en qué consiste exactamente? Este método consiste en enviar un código al teléfono móvil que el cliente tenga asociado a su tarjeta de crédito-débito (vía SMS). Una vez recibido el código, el comprador tendrá que introducirlo en la plataforma de comercio electrónico en la que se disponga a comprar para, de esta forma, confirmar el pago online. Si el cliente no lo introduce porque no tiene el móvil asociado a su tarjeta, entonces la compra se cancelará.
La principal ventaja de este método de autentificación es que disminuye el fraude online y aporta mayores garantías a los clientes, ya que si alguien utiliza tu tarjeta de crédito, te llegará un SMS al móvil con el código de verificación para autorizar la compra. Por tanto, para poder realizar dicha compra, tendrían que sustraerte el móvil y la tarjeta. Con la nueva norma PSD2 se hace obligatorio este tipo de autentificación fuerte SCA(Strong Client Authentification) y 3DSecure 2.0 será el nuevo método para implementarlo, añadiendo nuevas opciones de verificación de identidad.
Hasta ahora se venía utilizando la versión 3DSecure 1.0, pero la nueva versión 3DSecure 2.0 será la encargada de implementar la Autentificación Reforzada del cliente SCA. Esta nueva versión establece que se necesitarán DOS de estos tres requerimientos que te mostramos a continuación para realizar la autentificación y proceder a validar la compra online:
- Un PIN o contraseña.
- Un móvil, smartphone, smartwath, una nevera que reciba SMS, etc.
- Sistema de autenticación biométrica como huella dactilar, reconocimiento de voz, etc.
Puede que ya hayas notado los efectos de esta norma si utilizas la banca online y, seguramente, en estos días habrás recibido e-mails como el siguiente avisándote de la entrada en vigor de esta norma.
Por ejemplo, las nuevas normas de Open Bank para el acceso a su plataforma son éstas:
- Antes: solo necesitabas tu documento de identidad y tu clave de acceso.
- Ahora, con PSD2: adicionalmente, tendrás que introducir un código de confirmación que te envían por SMS. Para que el envío sea efectivo, tendrás que tener el número de teléfono actualizado en tu área de datos personales. El principal inconveniente que podemos encontrar es que esta nueva normativa exige a los clientes tener un teléfono móvil y saber utilizarlo, lo que en algunos casos, especialmente en personas de edad avanzada, puede resultar una barrera casi insalvable.
Índice de contenidos
¿Qué problemas plantea la autentificación SCA obligatoria para las tiendas online?
En las tiendas online, la autentificación SCA, además de solicitar los datos de la tarjeta de crédito o débito, también pedirá al cliente un dato clave que tendrá que introducir desde el móvil previamente asociado a la cuenta bancaria del cliente (es el cliente quien tendrá que asociar su móvil a su cuenta bancaria desde la aplicación de banca online que utilice).
Si la autentificación se solicita mediante un código enviado por SMS, te mostramos el aspecto que podría tener el mensaje que recibirás en tu terminal:
Cuando el usuario realice la compra, se le enviará un código al móvil que deberá introducir en la tienda online para verificar que es su móvil y que autoriza realizar el pago. En este caso, el procedimiento es muy similar al 3DSecure 1.0.
En otras ocasiones, en lugar de un SMS, el sistema SCA puede solicitar algún dato biométrico como la huella dactilar (el usuario deberá tener un móvil con lector de huellas dactilares).
Se plantean entonces algunos problemas que pueden reducir considerablemente las compras en la mayoría de tiendas online. Aunque esto está por ver, ya que todo depende de cómo se implemente el sistema por parte de las plataformas de pago y entidades bancarias.
- El cliente tiene que tener móvil.
- En algunos casos, se puede requerir que el móvil sea capaz de leer datos biométricos como la huella dactilar, reconocimiento facial o de iris.
- Que el cliente haya asociado su número de móvil a su cuenta bancaria previamente.
- Se incluye un nuevo paso obligatorio en el proceso de compra: se enviará un SMS al móvil del cliente que está realizando la compra. Si el cliente está realizando la compra con el móvil, tendrá que salir de la web, ir a consultar las notificaciones o la app de mensajería, copiar el código, volver a la web e introducir el código recibido. Esta cadena de acciones puede ser demasiado complicada para muchos “no nativos” digitales.
En este sentido, las plataformas o bancos que facilitan los TPVs virtuales ya están adaptándose al nuevo sistema. Sin embargo, no todas las entidades bancarias ni medios de pago tienen implementada esta nueva forma de autentificación reforzada y prácticamente todos los países de la Unión Europea aplazan la implementación del SCA, e incluso alguno como Dinamarca ha decidido no implementarla.
En principio, el nuevo plazo para implementar la norma se retrasa a marzo de 2020 cuando todas las entidades bancarias y pasarelas de pago tendrán que tenerlo implementado. Puedes ampliar información en la siguiente noticia publicada en el diario económico Cinco Días.
En principio, el nuevo plazo para implementar la norma PSD2 se retrasa a marzo de 2020 Clic para tuitear
¿Qué tienen que hacer las tiendas online para cumplir con esta nueva norma PSD2?
La mayoría de las tiendas online están construidas utilizando plataformas de código abierto (open source) de comercio electrónico como WordPress+Woocommerce, Prestashop o Magento. También hay otros sistemas para la creación de tiendas online como Shopify o Wix. En Built With, el porcentaje de tiendas online implementadas con Woocommerce es del 25% de entre todos los “top sites” que utilizan plataformas de e-commerce.
Estas tiendas online necesitan componentes (plugins, addons, etc.) para permitir el pago con tarjeta de crédito siendo los de Redsys, Paypal y Stripe los más utilizados. Además, empresas y desarrolladores ofrecen sus propias versiones de estos plugins para el pago con tarjeta.
Por tanto, serán estas pasarelas de pago y los propios desarrolladores quienes tengan que sacar al mercado nuevas versiones de sus plugins que permitan cumplir la norma PSD2 ofreciendo la autentificación SCA requerida.
La cuestión es que aún es demasiado pronto para esto, ya que ni siquiera la propia Redsys, una de las pasarelas de pago más utilizadas, ofrece nuevas versiones de sus plugins que cumplan con PSD2.
Si en tu tienda online estás utilizando un plugin de Redsys, tendrás que esperar a que aparezca la nueva versión con PSD2, o bien, cambiar de pasarela de pago a otra que sí lo cumpla como Paypal o Stripe que ya tienen plugins con PSD2 desarrollados para Woocommerce, Prestashop y Magento.
El caso de Amazon Pay
El caso de Amazon Pay es relativamente especial, ya que ha aparecido en España en 2017 haciéndole la competencia a PayPal. Si tienes una cuenta en Amazon, solo con registrarte en Amazon Pay ya puedes comprar en las tiendas online que ofrezcan esta forma de pago.
Durante el proceso de compra en la tienda, solo tendrás que indicar tu correo electrónico y contraseña de Amazon Pay, sin necesidad de introducir tu dirección de envío ni tarjeta de crédito, ya que estos datos estarán previamente almacenados en Amazon. Resulta tedioso tener que introducir datos como la dirección completa a la hora de realizar cada pedido, por lo que Amazon Pay simplifica muchísimo el proceso.
También están apareciendo nuevas pasarelas de pago que cumplen con la norma PSD2 como Waiap de Bankia, pero, como puede verse en su página web, su plugin aún no está disponible para WordPress-Woocommerce.
Conclusiones
En resumen, con la aparición de la nueva norma de pagos en comercio electrónico para Europa, PSD2, es necesario que las tiendas online cumplan con la autentificación reforzada del cliente cuando éste utilice tarjetas de crédito como medio de pago.
El plazo inicial para su cumplimiento estaba fijado para el 12 de septiembre, pero se ha prorrogado hasta marzo de 2020, ya que ni las pasarelas de pago ni las entidades bancarias están preparadas. Así que, aún es pronto para tomar decisiones al respecto. Se espera que esta nueva norma provoque un retroceso importante en las ventas online, debido a las dificultades con las que se encontrarán aquellos clientes que no dispongan de un teléfono móvil asociado a su tarjeta de crédito (equipada con 3DSecure2.0) o que nunca hayan utilizado un proceso de autentificación similar como 3DSecure 1.0.
Desde Retrazos nuestra recomendación es darle seguimiento exhaustivo a la norma para que, una vez esté implantado el sistema al 100%, informar a los clientes durante el proceso de compra para que activen el servicio de forma correcta con su entidad y no interpreten que el error está en la plataforma de comercio electrónico en la que se encuentran. Pero hasta que esté implantado, poco más podemos hacer.