NORMATIVA PSD2 Y PAGOS CON TARJETA EN COMERCIO ELECTRÓNICO

INTRODUCCIÓN


 «PSD2» es el acrónimo utilizado para referirse a la segunda Directiva (UE) 2015/2366, de 25 de noviembre, de servicios de pago. Esta directiva es la regulación europea que recoge el marco normativo que aplica a los pagos electrónicos en Europa.


 Esta norma prescribe la aplicación obligatoria de medidas y procedimientos de seguridad específicos en las operaciones de pago electrónicas, y en especial, en las que tienen lugar a distancia. Estas medidas y procedimientos se articulan en torno al concepto de “autenticación reforzada del cliente” («SCA«, por sus siglas en inglés).


El requisito de realizar autenticación reforzada del cliente cuando se inicia una transacción de pago electrónico consiste en la obligación de los proveedores de servicios de pago (PSPs) que emiten instrumentos de pago de autenticar la identidad del ordenante basándose en el uso de dos elementos de seguridad independientes (factores de autenticación) cada vez que éste realice un pago en un comercio físico o electrónico.


La obligación de realizar SCA cuando se inicia una transacción de pago electrónico comenzó a aplicarse en compras presenciales desde el pasado 14 de septiembre de 2019. Para las compras online comenzará a aplicarse en los próximos meses, y los factores de autenticación que se pedirán no serán los mismos que para las compras presenciales. 

 

ASPECTOS CLAVE EN LOS PAGOS CON TARJETA EN COMERCIO ELECTRÓNICO


 La aplicación de SCA en los pagos con tarjeta por Internet va a suponer un cambio en la forma en que los usuarios de servicios de pago van a realizar sus compras, pues los ordenantes ya no podrán realizar pagos online utilizando únicamente la información de sus tarjetas (número de tarjeta, fecha de caducidad y código de seguridad). En su lugar, tendrán que, por ejemplo, verificar su identidad durante el proceso de pago introduciendo un código adicional que recibirán en su móvil o mediante la aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella dactilar para aprobar una transacción.


La autenticación reforzada del cliente en los pagos por Internet se basa en el uso combinado de dos de los siguientes tipos de factores de autenticación:


  • Conocimiento: algo que sabe, por ejemplo, la contraseña de acceso a su banca electrónica, etc.


  • Posesión: algo que posee, por ejemplo, el móvil en el que recibe las contraseñas de un solo uso que se envían por SMS.


  • Inherencia: algo que «es», por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.


De esta manera, la entidad emisora del instrumento de pago puede estar segura de que el ordenante es quien dice ser. En este sentido, cada  entidad emisora ha decidido qué factores de autenticación va a pedirle a sus clientes, por lo que la experiencia de compra puede variar dependiendo de la tarjeta que se utilice.

No obstante, lo anterior, existen una serie de situaciones que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.

 

SITUACIONES EN LAS QUE PUEDE NO APLICARSE SCA


La aplicación de SCA a los titulares de tarjetas recae en el banco emisor de estas, si bien la PSD2 prevé una serie de situaciones (denominadas exenciones) en las cuales se permite que los bancos emisores no apliquen SCA por considerarse operaciones de menor riesgo. En este sentido, podría no aplicarse SCA en los siguientes casos:


  • Operaciones de bajo importe: se consideran pagos de bajo importe aquellos pagos remotos de comercio electrónico, cuyo importe de transacción es menor o igual a 30€ o su equivalente en otras monedas. Además, se fija un máximo a partir del cual se requiere SCA, en concreto, un máximo de 5 transacciones consecutivas sin SCA o un importe máximo acumulado sin SCA de 100€.


  • Operaciones frecuentes: se las conoce como operaciones recurrentes, con el mismo importe y beneficiario. Se requiere autenticación en la primera transacción y si se produce alguna modificación (por ejemplo, en caso de modificar la tarjeta a través de la que se realiza el pago). 


  • Procesos y protocolos de pago corporativo seguro: los bancos emisores tienen la posibilidad de no aplicar SCA a personas jurídicas que inicien operaciones de pago electrónico mediante el uso de procesos o protocolos de pago que solo estén disponibles para los ordenantes que no sean consumidores, cuando las autoridades competentes estén convencidas de que dichos procesos o protocolos garantizan unos niveles de seguridad al menos equivalentes a los previstos por la PSD2.


  • Operaciones de pago a favor de beneficiarios incluidos en una lista confianza: la denominada lista de confianza o lista blanca es un mecanismo que permite a un cliente determinar qué comercios considera de su confianza, permitiendo la PSD2 en esos casos que el banco emisor no realice SCA en las compras realizadas por ese cliente en ese comercio. 


  • Operaciones con bajo riesgo de fraude: se la conoce como la exención por TRA, análisis de riesgo transaccional por sus siglas en inglés. Permite que ciertas transacciones de comercio electrónico estén exentas de SCA siempre que se realice un análisis de riesgo sólido y que los bancos emisores y adquirentes cumplan con unos umbrales de fraude específicos.

 

PREGUNTAS FRECUENTES SOBRE SCA


 ¿Qué es exactamente la Autenticación Reforzada de Clientes (SCA)? 


La Autenticación Reforzada de Clientes, también conocida como “Strong Customer Authentication” o “SCA” por sus siglas en inglés, supone la aplicación de nuevas medidas de seguridad que harán que los pagos con tarjeta sean aún más seguros, ya que será la forma en la que los bancos emisores van a identificar a los titulares de las tarjetas cuando ordenen pagos en comercios presenciales o por internet. 


Estas nuevas medidas de seguridad comenzaron a aplicarse en las compras presenciales a partir del 14 de septiembre de 2019. Para las compras online comenzará a aplicarse en los próximos meses, hasta su plena implementación en enero de 2021.


¿Cómo afecta a los pagos que se realizan en los comercios?


Actualmente la autenticación de los clientes en los comercios seguros se hacía pidiéndoles la introducción del número de la tarjeta, la fecha de caducidad, su CVV, y la clave OTP de 4 dígitos que se enviaba a su teléfono móvil por sms. 


A partir del momento en que se solicite SCA, cuando un cliente compre en un comercio virtual, habrá que pedirle que introduzca el número de la tarjeta y la fecha de caducidad, pero además, el banco emisor de la tarjeta que use para comprar le pedirá 2 de los siguientes 3 tipos de factores de autenticación:


  • Conocimiento: algo que sabe, por ejemplo, su contraseña de acceso a la banca electrónica, o determinadas posiciones del Pin de tu tarjeta.


  • Posesión: algo que posee, por ejemplo, la App del banco vinculada a su smartphone, o el móvil en el que recibe las contraseñas de un solo uso que se envían por SMS.


  • Inherencia: algo que «es», por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.


 ¿Qué factores de autenticación se van a pedir exactamente?


Los bancos emisores, a los clientes titulares de sus tarjetas les van a pedir los factores de autenticación que resulten más cómodos y fáciles de usar ajustándose a sus preferencias en cuanto al uso de la tecnología y a la forma en la que se relacionan con ellos.


En consecuencia, es posible que la experiencia de compra de un mismo cliente en un comercio sea distinta dependiendo del banco que haya emitido la tarjeta que use para realizar el pago. 


¿Se podría no aplicar SCA bien por decidir asumir el riesgo o bien por convenirlo así con el cliente?


No, el Banco de España ha confirmado que habrá que aplicar SCA siempre, salvo que la operación esté exenta (por ejemplo en caso de operaciones transfronterizas de fuera de la UE) o se pueda aplicar alguna de las exenciones previstas legalmente.


¿Hay que aplicar SCA en devoluciones o reembolsos?


No, ya que no se consideran operaciones de pago.

Las operaciones a través de Apps de pago de los comercios que se categorizan como operaciones de comercio electrónico ¿lo son realmente si el comprador está presente?


Sí, ya que son operaciones iniciadas a través de internet o de un dispositivo que puede utilizarse para la comunicación a distancia. Esto incluiría las operaciones realizadas por Internet y las operaciones realizadas a través de móvil (en compra por internet, no compra “contactless”).


En compras en comercio electrónico, cuando en el momento de la compra no se conoce el importe exacto, ¿es válido el SCA realizado en el momento de la compra respecto del importe final? 


La Autoridad Bancaria Europea ha aclarado que tanto en los casos en los que el ordenante ha preautorizado el bloqueo de una cantidad máxima como en aquéllos en que esta preautorización no se ha dado, si la cantidad final es igual o inferior a la cantidad acordada, se puede ejecutar la operación sin necesidad de volver a solicitar SCA, pero si la cantidad es mayor, el emisor tendrá que o bien requerir SCA o bien rechazar la operación.


¿Cómo puede un comercio estar en una lista blanca?


La lista blanca se mantiene por el banco emisor pero la crea el cliente y solo él puede modificarla. Es por este motivo que el que la Autoridad Bancaria Europea ha establecido que las entidades emisoras no pueden hacer sugerencias de nuevas entradas o modificaciones de comercios a los clientes. Nada impide, sin embargo, que el comercio informe de esta posibilidad a su cliente e incluso que se la sugiera. No obstante, la inclusión en lista blanca se tiene que hacer en el entorno emisor y requiere SCA.


¿Cómo puede saberse si un comercio está incluido en una lista blanca? 


Las entidades emisoras no están obligadas legalmente a informar al banco adquirente ni al comercio de si un comercio está incluido en la lista blanca. Compartir esa información sin el consentimiento expreso del titular de la tarjeta podría vulnerar el derecho de protección de datos. Sin embargo, nada impide que el comercio consiga esa información de su propio cliente.


Por otro lado, la decisión última de solicitar SCA a una operación es de la entidad emisora, por lo que, siguiendo criterios de riesgo, podría decidir aplicar SCA a una transacción, aunque el comercio estuviera incluido en su lista blanca.