Autenticación reforzada de clientes

Lo que las empresas de Internet deben saber sobre la nueva normativa europea

Última actualización del 18 de octubre de 2019

Introducción

El 14 de septiembre de 2019, se introdujeron en Europa nuevos requisitos para la autenticación de pagos electrónicos como parte de la segunda Directiva sobre servicios de pago (PSD2). Prevemos que estos requisitos serán aplicados plenamente hacia el 31 de diciembre de 2020.

En esta guía, analizaremos en detalle estos nuevos requisitos conocidos como "autenticación reforzada de clientes (SCA)" y los tipos de pago que se verán afectados. También nos referiremos a las exenciones que se podrán usar para las transacciones de bajo riesgo a fin de ofrecer una experiencia de compra sin fricciones.

Hemos publicado una [guía separada]https://support.stripe.com/questions/strong-customer-authentication-sca-enforcement-date) con la última información sobre el plazo de aplicación de la SCA, así como una guía para ayudarte a determinar cuándo añadir el paso de autenticación en el recorrido del cliente. Visita nuestro sitio para obtener más información sobre los productos de Stripe listos para SCA.

¿Qué es la autenticación reforzada de clientes?

La autenticación reforzada de clientes (SCA) es un nuevo requisito normativo de Europa para reducir el fraude y redoblar la seguridad de los pagos electrónicos. Para aceptar pagos y cumplir con los requisitos de SCA, tendrás que incorporar un paso adicional de autenticación a tu flujo de compra. La SCA exige que en la autenticación, se utilicen al menos dos de los siguientes tres elementos.

Algo que el cliente SABE (por ejemplo, una contraseña o PIN)
Algo que el cliente TIENE (por ejemplo, un token de hardware o teléfono)
Algo que el cliente ES (por ejemplo, la huella digital o el reconocimiento facial)

(Si deseas leer los requisitos de SCA originales, consulta las Normas técnicas de regulación o RTS).

Los bancos tendrán que empezar a rechazar pagos que requieren la SCA y no cumplan con estos criterios. Si bien la reglamentación fue introducida el 14 de septiembre de 2019, prevemos que estos requisitos serán aplicados plenamente por las entidades reguladoras hacia el 31 de diciembre de 2020.

¿Cuándo se exige la autenticación reforzada de clientes?

La autenticación reforzada de clientes (SCA) se aplica a los pagos electrónicos "iniciados por el cliente" dentro de Europa. Por lo tanto, la mayoría de los pagos con tarjeta y todas las transferencias bancarias exigen la SCA. Los débitos directos recurrentes, por otra parte, se consideran "iniciados por el comerciante" y no exigen la autenticación reforzada. Con excepción de los pagos sin contacto, los pagos con tarjeta en persona tampoco están afectados por la nueva normativa.

En caso de pagos electrónicos con tarjeta, estos requisitos se aplican a las transacciones en las que tanto la empresa como el banco del titular de la tarjeta estén localizados en el Espacio Económico Europeo (EEE). (Prevemos que la normativa SCA entrará en vigor en el Reino Unido, independientemente del resultado del Brexit.)

Cómo autenticar un pago

Actualmente, la forma más común de autenticar un pago electrónicos con tarjeta es mediante 3D Secure, un estándar de autenticación aceptado por la gran mayoría de las tarjetas europeas. La aplicación de la autenticación con 3D Secure normalmente añade un paso más después de la compra en el que el banco le pide el titular de la tarjeta que proporcione información adicional para completar el pago (por ejemplo, un código por única vez enviado a su teléfono o la autenticación mediante la huella digital a través de la aplicación móvil del banco).

3D Secure 2, la nueva versión del protocolo de autenticación lanzada en 2019, será el método principal para autenticar los pagos electrónicos con tarjeta y cumplir con los nuevos requisitos de SCA. Esta nueva versión ofrece una mejor experiencia al usuario que ayudará a minimizar parte de la fricción que añade la autenticación al flujo de compra.

Otros métodos de pago con tarjetas como Apple Pay o Google Pay ya aceptan flujos de pago con una capa integrada de autenticación (biométrica o con contraseña). Para las empresas, estos métodos pueden ser una buena manera de cumplir con los nuevos requisitos y ofrecer una experiencia de compra sin fricciones.

También esperamos que muchos de los métodos de pago europeos, como iDEAL, Bancontact o Multibanco, cumplan con las nuevas reglas de SCA sin que haya grandes cambios en la experiencia del cliente.

Exenciones a la autenticación reforzada de clientes

Conforme a esta nueva normativa, pueden quedar exentos de la SCA algunos tipos específicos de pagos de bajo riesgo. Los proveedores de servicios de pago como Stripe podrán solicitar estas exenciones cuando procesen el pago. El banco del titular de la tarjeta recibirá la solicitud, evaluará el nivel de riesgo de la transacción y finalmente decidirá si aprueba la exención o si sigue siendo necesaria la autenticación.

La incorporación de la autenticación en tu flujo de compra introduce un paso adicional que puede añadir fricción y aumentar la merma de clientes. El uso de exenciones para los pagos de bajo riesgo puede reducir el número de veces en que se le pide la autenticación a un cliente y, por tanto, disminuir la fricción. Hemos diseñado nuestros nuevos productos de pagos listos para SCA a fin de que puedas aprovechar las exenciones cuando sea posible y así ayudarte a proteger tu conversión.

Esta son las exenciones más importantes para las empresas que operan en Internet:

Transacciones de bajo riesgo

Se le permite a un proveedor de servicios de pago (como Stripe) hacer un análisis de riesgo en tiempo real para determinar si se aplica la SCA a una transacción. Esto solo será posible si las tasas generales de fraude del proveedor o del banco, correspondientes a los pagos con tarjeta, no exceden los siguientes umbrales:

  • 0,13 % para eximir transacciones de menos de €100
  • 0,06 % para eximir transacciones de menos de €250
  • 0,01 % para eximir transacciones de menos de €500

Estos umbrales se convertirán en importes equivalentes locales cuando corresponda.

En el caso de que la tasa de fraude del proveedor de servicios de pago esté por debajo del umbral, pero la del banco del titular de la tarjeta esté por encima, estimamos que el banco rechazará la exención y solicitará la autenticación.

Pagos por debajo de €30

Esta es otra exención que se puede usar para pagos de importe bajo. Las transacciones por debajo de €30 se considerarán de "bajo volumen" y se pueden eximir de la SCA. No obstante, los bancos deberán solicitar la autenticación si se ha solicitado la exención cinco veces desde la última autenticación correcta del titular de la tarjeta o si la suma de los pagos eximidos previamente excede los €100. El banco del titular de la tarjeta deberá rastrear el número de veces que se ha usado esta exención y decidirá si es necesaria la autenticación.

Suscripciones por un importe fijo

Esta exención se puede aplicar cuando el cliente hace una serie de pagos recurrentes por el mismo importe, a la misma empresa. La SCA se solicitará para el primer pago del cliente, pero los cargos subsiguientes quedarán eximidos de la SCA.

Transacciones iniciadas por el comerciante (incluidas las suscripciones variables)

Los pagos realizados con tarjetas guardadas sin que el cliente esté presente en el proceso de compra (a veces llamados "fuera de la sesión") pueden considerarse transacciones iniciadas por el comerciante. Estos pagos técnicamente quedan fuera del alcance de la SCA. En la práctica, marcar un pago como "transacción iniciada por el comerciante" será similar a solicitar una exención. Y como cualquier otra exención, quedará a criterio del banco decidir si es necesaria la autenticación para la transacción.

Para usar transacciones iniciadas por el comerciante, tendrás que autenticar la tarjeta ya sea cuando se guarde o en el primer pago. Finalmente, tendrás que obtener el acuerdo del cliente (también llamado "mandato") para poder efectuar el cargo a su tarjeta con posterioridad.

Beneficiarios de confianza

Cuando los clientes completen la autenticación para un pago, es posible que tengan la opción de colocar a las empresas en la que confían en una lista blanca para evitar tener que autenticar futuras compras. Estas empresas se incluirán en una lista de "beneficiarios de confianza" que mantendrá el banco del cliente o el proveedor de servicios de pago.

Ventas telefónicas

Los datos de tarjetas recopilados por teléfono quedan fuera del alcance de la SCA y no requieren autenticación. Este tipo de pago se conoce a veces como pago por "Pedidos telefónicos/por correo"(MOTO). De la misma manera que con los pagos exentos, las transacciones MOTO deben ser marcadas como tales, y el banco del titular de la tarjeta debe tomar la decisión final de aceptar o rechazar la transacción.

Pagos corporativos

Esta exención puede comprender los pagos efectuados con tarjetas "alojadas" (por ejemplo, cuando una tarjeta corporativa que se usa para administrar los gastos de viaje de los empleados está en poder de un agente de viajes que opera en Internet), así como los pagos corporativos efectuados mediante números de tarjetas virtuales (que también se usan en el sector de viajes).

¿Qué pasa si falla una exención?

Si bien las exenciones pueden ser muy útiles, es importante recordar que es el banco del titular de la tarjeta el que decidirá en última instancia si se acepta la exención o no. Los bancos pueden dar nuevos códigos de rechazo de los pagos fallidos por falta de autenticación. Estos pagos tendrán que reenviarse al cliente con una solicitud de autenticación reforzada. Los productos listos para SCA de Stripe iniciarán automáticamente este proceso adicional de autenticación cuando sea requerido por los bancos.

Si tu empresa se ve afectada por la SCA, te recomendamos preparar un contracargo en caso de que una exención sea rechazada y tu cliente tenga que hacer la autenticación. Esto es importante en especial si haces cargos a tus clientes sin la participación activa de estos en el flujo de compra (es decir, cuando están fuera de la sesión) y el cliente tiene que volver a tu sitio web o a la aplicación para hacer la autenticación. Lee nuestra guía sobre diseño de flujos de pago para la SCA a fin de obtener más información.

Cómo te ayuda Stripe a prepararte para la autenticación reforzada de clientes

Los cambios introducidos por esta nueva normativa afectarán profundamente el comercio a través de Internet en Europa. Y si bien prevemos que estos requisitos recién [serán aplicados en su totalidad hacia el 31 de diciembre de 2020]https://support.stripe.com/questions/strong-customer-authentication-sca-enforcement-date), las empresas afectadas que no estén preparadas para estos nuevos requisitos podrían sufrir una drástica caída de sus tasas de conversión una vez que la SCA entre en vigor en todos los bancos europeos.

Además de aceptar los nuevos métodos de autenticación como 3D Secure 2, creemos que el manejo correcto de las exenciones es un componente clave para crear una experiencia de pago de primer nivel que minimice la fricción.

Nuestros nuevos productos de pago se optimizan conforme a las diferentes normas regulatorias, bancarias y de las redes de tarjetas, y aplican las exenciones correspondientes a los pagos de bajo riesgo para iniciar 3D Secure solamente cuando es necesario. A medida que estas normas cambien, podremos mantener y actualizar esta lógica de SCA en tiempo real, teniendo en cuenta el plazo de aplicación de cada país.

Hemos lanzado una nueva API de pagos básica que usa la lógica de SCA de Stripe para aplicar la exención correcta e iniciar 3D Secure cuando sea necesario. El nuevo Checkout de Stripe y Stripe Billing se han creado sobre esta API y pueden aplicar 3D Secure en forma dinámica toda vez que sea necesario.

Más información sobre los productos de Stripe listos para SCA. Si tienes preguntas o comentarios, ponte en contacto con nosotros.

Volver a las guías
You’re viewing our website for Hong Kong, but it looks like you’re in the United States. Switch to the United States site