Autenticación reforzada de clientes

Lo que las empresas de Internet deben saber sobre la normativa europea

  1. Introducción
  2. ¿Qué es la autenticación reforzada de clientes?
    1. ¿Cuándo se requiere la autenticación reforzada de clientes?
    2. Cómo autenticar un pago
    3. Exenciones a la autenticación reforzada de clientes
    4. ¿Qué sucede si falla una exención?
    5. Cómo Stripe te ayuda a cumplir los requisitos de la autenticación reforzada de clientes

In thisEn esta guía, analizaremos más detenidamente estos requisitos europeos conocidos como «autenticación reforzada de clientes» (SCA) y los tipos de pago que se verán afectados. También nos referiremos a las exenciones que se podrán utilizar para las transacciones de bajo riesgo con el fin de ofrecer una experiencia de compra sin fricciones.

También hemos publicado una guía para ayudarte a determinar cuándo agregar el paso de autenticación en el recorrido del cliente. Visita nuestro sitio para obtener más información sobre los productos de Stripe listos para SCA.

¿Qué es la autenticación reforzada de clientes?

La autenticación reforzada de clientes (SCA) es un nuevo requisito normativo de Europa para reducir el fraude y redoblar la seguridad de los pagos por Internet y de los pagos fuera de línea sin contacto. Para aceptar pagos y cumplir con los requisitos de la SCA, tendrás que incorporar un paso adicional de autenticación a tu flujo de compra. La SCA exige que en la autenticación, se utilicen al menos dos de los siguientes tres elementos.

Si quieres leer los requisitos originales de la SCA, están expuestas en las normas técnicas de regulación o NTR. Los bancos deberán rechazar los pagos que requieran la SCA y no cumplan con estos criterios.

¿Cuándo se requiere la autenticación reforzada de clientes?

La autenticación reforzada de clientes se aplica a los pagos en línea y fuera de línea sin contacto «iniciados por el cliente» dentro de Europa. En consecuencia, la mayoría de los pagos con tarjeta y todas las transferencias bancarias requieren SCA. Los débitos directos recurrentes, en cambio, se consideran «iniciados por el comerciante», por lo que no requieren la autenticación reforzada.

Para los pagos en línea con tarjeta, estos requisitos se aplican a las transacciones en las que tanto la empresa como el banco del titular de la tarjeta se encuentran en el European Economic Area (EEA).

Cómo autenticar un pago

Actualmente, la forma más común de autenticación de pagos en línea con tarjeta se basa en 3D Secure, un estándar de autenticación compatible con la gran mayoría de las tarjetas europeas. Por lo general, la aplicación de 3D Secure añade un paso adicional después del proceso de compra en el cual el banco solicita al titular de la tarjeta que proporcione información adicional para completar el pago (por ejemplo, un código único enviado a su teléfono o una autenticación por huella digital a través de la aplicación móvil del banco).

3D Secure 2 será el método principal para autenticar los pagos en línea con tarjeta y cumplir con los requisitos de la SCA. Esta versión ofrece una mejor experiencia de usuario que minimizará parte de las fricciones que la autenticación añade al flujo del proceso de compra.

Normalmente, las transacciones con tarjeta fuera de línea cumplen los requisitos de autenticación con el ingreso de un código PIN.

Otros métodos de pago con tarjeta, como Apple Pay o Google Pay ya admiten flujos de pago con una capa de autenticación integrada (biométrica o con contraseña). Estas pueden ser una excelente vía para que las empresas cumplan con los nuevos requisitos y ofrezcan a la vez una experiencia de proceso de compra sin fricciones.

También esperamos que muchos métodos de pago europeos frecuentes, como iDEALBancontactMultibanco, sigan las reglas de la SCA sin grandes cambios en la experiencia de usuario.

Exenciones a la autenticación reforzada de clientes

En virtud de esta nueva regulación, determinados tipos de pagos de bajo riesgo pueden eximirse de la autenticación reforzada de clientes. Los proveedores de servicios de pago como Stripe pueden solicitar estas exenciones al procesar el pago. El banco del titular de la tarjeta recibirá la solicitud, evaluará el nivel de riesgo de la transacción y, en última instancia, decidirá si aprueba la exención o si la autenticación sigue siendo necesaria.

La integración de la autenticación en el flujo del proceso de compra implica incorporar un paso más que puede añadir fricciones y aumentar el abandono de clientes. Con las exenciones para pagos de bajo riesgo se puede reducir la cantidad de veces que es necesaria la autenticación del cliente y reducir de ese modo las fricciones. Hemos diseñado nuestros nuevos productos para pagos listos para SCA para que puedas aprovechar las exenciones cuando sea posible y así proteger tu conversión.

Las exenciones más relevantes para las empresas de Internet son:

Transacciones de bajo riesgo

Un proveedor de servicios de pagos (como Stripe) puede realizar un análisis de riesgo en tiempo real para determinar si aplica la SCA a una transacción. Esto solo es posible si las tasas generales de fraude del proveedor o del banco asociadas con pagos con tarjeta no superan los siguientes umbrales:

  • 0.13% para eximir transacciones por debajo de €100
  • 0.06% para eximir transacciones por debajo de €250
  • 0.01% para eximir transacciones por debajo de €500

Estos umbrales se convertirán a importes equivalentes en la moneda local cuando sea pertinente.

En caso de que solo la tasa de fraude del proveedor de pagos esté por debajo del umbral, pero la del banco del titular de la tarjeta esté por encima, se prevé que el banco rechazará la exención y exigirá la autenticación.

Esta exención es una de las más útiles para las empresas y una de las más aceptadas por los bancos. La evaluación de riesgos integral y en tiempo real de Stripe Radar nos permite aceptar esta exención para nuestros usuarios.

Pagos por debajo de €30

Esta es otra exención que se puede utilizar para pagos de bajo importe. Las transacciones por debajo de €30 se consideran de «valor bajo» y pueden eximirse de la SCA. Sin embargo, los bancos deben solicitar la autenticación si la exención se ha utilizado cinco veces desde la última autenticación efectuada con éxito del titular de la tarjeta o si la suma de los pagos previamente exentos supera los €100. El banco del titular de la tarjeta debe realizar un seguimiento del número de veces que se ha utilizado esta exención y decidir si la autenticación es necesaria.

Debido a las estrictas limitaciones de esta exención, esperamos que la exención para las transacciones de bajo riesgo alcance a mayor cantidad de pagos. No obstante, admitiremos esta exención para nuestros usuarios.

Suscripciones con importes fijos

Esta exención puede aplicarse cuando el cliente efectúa una serie de pagos recurrentes por el mismo importe, a la misma empresa. Se requerirá la SCA para el primer pago, mientras que los cargos posteriores podrán ser eximidos de la autenticación.

Esperamos que esta exención les sea muy útil a las empresas que ofrecen suscripciones y que sea aceptada ampliamente por los bancos europeos. La habilitamos para los usuarios de Stripe. Si estás usando Stripe Billing para crear suscripciones, aplicaremos automáticamente esta exención cuando corresponda y ayudaremos a gestionar las solicitudes de autenticación en caso de que el banco del cliente la rechace.

Transacciones iniciadas por el comerciante (incluidas las suscripciones variables)

Los pagos efectuados con tarjetas guardadas sin la presencia del cliente en el flujo de pago (lo que se conoce como «fuera de sesión») pueden considerarse como transacciones iniciadas por el comerciante. Estos pagos quedan técnicamente fuera del alcance de la SCA. En la práctica, marcar un pago como una «transacción iniciada por el comerciante» será similar a solicitar una exención. Y como con cualquier otra exención, el banco será el que decida si se necesita autenticación para la transacción.

Para utilizar transacciones iniciadas por el comerciante, debes autenticar la tarjeta en el momento de guardarla o al hacer el primer pago. Por último, debes obtener el consentimiento del cliente (también llamado «mandato») para poder debitar fondos de su tarjeta más adelante.

Se trata de un caso de uso fundamental para los modelos de negocio que dependen de pagos atrasados, cobran suscripciones con importes variables o facturan complementos. Prevemos que será admitido y aceptado por la mayoría de los bancos europeos en el caso de que consideren que la transacción es de bajo riesgo.

La API de Stripe te permite autenticar una tarjeta que se guarda para ser usada posteriormente y marcar los pagos subsiguientes como «transacciones iniciadas por el comerciante».

Beneficiarios de confianza

Al completar la autenticación de un pago, los clientes tienen la opción de agregar las empresas de su confianza a una lista de permitidos para no tener que autenticar compras futuras. Luego, estas empresas se incluyen en una lista de «beneficiarios de confianza» que guarda el banco del cliente o el proveedor de servicios de pago.

Si bien el agregado a una lista de permitidos les simplifica las compras repetidas o las suscripciones a los clientes, hasta ahora la adopción de esta función entre los bancos ha sido escasa. Prevemos que por ahora, no será ampliamente acogida por los bancos, pero respaldaremos esta exención para nuestros usuarios toda vez que esté disponible.

Ventas telefónicas

Los datos de la tarjeta recopilados por teléfono quedan fuera del alcance de la SCA y no requieren autenticación. Este tipo de pagos a veces se denominan «pedido telefónico/por correo» (MOTO). Tal como ocurre con los pagos exentos, las transacciones MOTO deben marcarse como tales, y el banco del titular de la tarjeta tomará la decisión final de aceptar o rechazar la transacción.

Este es un caso de uso importante para cualquier empresa que acepte pagos por teléfono, y esperamos que reciba una amplia aceptación de los bancos. Los pagos creados a través del Dashboard de Stripe se marcarán automáticamente como pagos MOTO.

Si tu empresa cumple con la normativa PCI y has creado tu propio sistema para aceptar pedidos por teléfono, nuestras nuevas API de pagos te permitirán marcar un pago como MOTO. Ponte en contacto con nosotros para habilitar esta función en tu cuenta de Stripe y acceder a la documentación técnica.

Pagos corporativos

Esta exención puede cubrir los pagos efectuados con tarjetas «alojadas» (es decir, tarjetas corporativas para gastos de viaje de los empleados gestionadas directamente por agentes de viaje en línea) y los pagos corporativos efectuados con números de tarjetas virtuales (también utilizadas en el sector de viajes).

Esperamos que esta exención tenga poco uso fuera del sector de viajes debido a que su alcance es muy limitado. La exención misma solo puede ser solicitada por el banco del titular de la tarjeta, ya que ni la empresa ni los proveedores de servicios de pago (como Stripe) pueden detectar si una tarjeta pertenece a estas categorías.

¿Qué sucede si falla una exención?

Si bien las exenciones pueden ser muy útiles, es importante recordar que el banco del titular de la tarjeta es el que decide en última instancia si se acepta o no una exención. Los bancos pueden enviar nuevos códigos de rechazo por pagos fallidos debido a la falta de autenticación. Si esto ocurre, los pagos deben reenviarse al cliente con una solicitud para que complete la autenticación reforzada de clientes. Los productos listos para SCA de Stripe activan automáticamente esta autenticación adicional cuando los bancos lo solicitan.

Si tu empresa se ve afectada por la SCA, te recomendamos que prepares una alternativa en caso de que se rechace una exención y tu cliente deba completar la autenticación. Esto es muy importante si cobras sin la participación activa del cliente en el flujo de pago (es decir, si están fuera de sesión) y el cliente debe regresar al sitio web o aplicación para completar la autenticación. Consulta nuestra guía sobre el diseño de flujos de pago para SCA para obtener más información.

Cómo Stripe te ayuda a cumplir los requisitos de la autenticación reforzada de clientes

Los cambios introducidos por esta nueva normativa afectan en gran medida al comercio en línea europeo. Las empresas afectadas que no se preparen para estos nuevos requisitos podrían ver una caída significativa en su tasa de conversión cuando la aplicación de estos requisitos rija para todos los bancos europeos.

Además de admitir nuevos métodos de autenticación como 3D Secure 2, creemos que la gestión eficaz de las exenciones es un componente clave para crear una experiencia de pagos de primera clase que minimice las fricciones. Nuestros productos de pagos han sido optimizados en función de las diferentes disposiciones normativas, bancarias y de las redes de tarjetas y aplican las exenciones correspondientes para pagos de bajo riesgo, de modo que la autenticación con 3D Secure solo se activará cuando sea necesario. Y cuando estas reglas cambien, podremos mantener y actualizar esta lógica de SCA en tiempo real, tomando en cuenta el cronograma de cumplimiento de cada país.

Hemos lanzado una nueva API de pagos básica que utiliza la lógica de SCA de Stripe para aplicar la exención correcta y activar 3D Secure toda vez que sea necesario. TantoStripe Checkout como Stripe Billing se basan en esta API y pueden aplicar 3D Secure en forma dinámica, de ser necesario.

Más información sobre los productos de Stripe listos para SCA. Si tienes alguna pregunta o comentario, contáctanos.

¿Todo listo para empezar? Ponte en contacto con nosotros o crea una cuenta.

Crea una cuenta y empieza a aceptar pagos, sin necesidad de contratos ni datos bancarios. También puedes contactarnos para diseñar un paquete personalizado para tu empresa.