Autenticación reforzada de clientes

Lo que las empresas de Internet deben saber sobre la nueva normativa europea

Última actualización: 4 de mayo de 2020

Introducción

El 14 de septiembre de 2019, se introdujeron nuevos requisitos para la autenticación de pagos por Internet en Europa como parte de la segunda Directiva sobre servicios de pago (PSD2). Prevemos que estos requisitos se aplicarán en el transcurso de 2020 y 2021.

En esta guía, analizaremos en detalle estos nuevos requisitos conocidos como la "autenticación reforzada de clientes (SCA)" y los tipos de pago que se verán afectados. También nos referiremos a las exenciones que se podrán usar para transacciones de bajo riesgo a fin de ofrecer una experiencia de compra sin fricciones.

Hemos publicado una página separada con la última información sobre el plazo de aplicación de la SCA, así como una guía para ayudarte a determinar cuándo agregar el paso de autenticación en el recorrido del cliente. Visita nuestro sitio para obtener más información sobre los productos de Stripe listos para SCA.

¿Qué es la autenticación reforzada de clientes?

La autenticación reforzada de clientes (SCA) es un nuevo requisito normativo de Europa para reducir el fraude y redoblar la seguridad de los pagos electrónicos. Para aceptar pagos y cumplir con los requisitos de SCA, tendrás que incorporar un paso adicional de autenticación a tu flujo de compra. La SCA exige que en la autenticación, se utilicen al menos dos de los siguientes tres elementos.

Algo que el cliente SABE (por ejemplo, una contraseña o PIN)
Algo que el cliente TIENE (por ejemplo, un token de hardware o teléfono)
Algo que el cliente ES (por ejemplo, la huella digital o el reconocimiento facial)

(Si deseas leer los requisitos originales para la SCA, los encontrarás en las normas técnicas de regulación o NTR).

Los bancos tendrán que empezar a rechazar los pagos que requieren la SCA y no cumplen con estos criterios. Si bien la normativa fue introducida el 14 de septiembre de 2019, prevemos que los entes reguladores aplicarán estos requisitos durante el transcurso de 2020 y 2021.

¿Cuándo se exige la autenticación reforzada de clientes (SCA)?

La autenticación reforzada de clientes se aplica a los pagos por Internet "iniciados por el cliente" dentro de Europa. En consecuencia, la mayoría de los pagos con tarjeta y todas las transferencias bancarias exigen la SCA. Por otra parte, los débitos directos recurrentes se consideran "iniciados por el comerciante" y no requieren la autenticación reforzada. Con excepción de los pagos sin contacto, los pagos con tarjeta en persona tampoco se ven afectados por la nueva normativa.

En cuanto a los pagos con tarjeta por Internet, estos requisitos se aplican a las transacciones en las que tanto la empresa como el banco del titular de la tarjeta se encuentran en el Espacio Económico Europeo (EEE). (Prevemos que la SCA se aplicará en el Reino Unido, independientemente del resultado del Brexit).

Cómo autenticar un pago

En este momento, la forma más común de autenticar un pago con tarjeta por Internet es con 3D Secure, un estándar de autenticación aceptado por la gran mayoría de las tarjetas europeas. Por lo general, al aplicarse la autenticación con 3D Secure, se añade un paso extra posterior a la compra en el que el banco del titular de la tarjeta le solicita a este que proporcione información adicional para completar el pago (por ejemplo, un código por única vez que se le envía a su teléfono o la autenticación con la huella digital a través de la aplicación del banco para dispositivos móviles).

3D Secure 2, la nueva versión del protocolo de autenticación que se implementó en 2019, será el principal método para autenticar los pagos con tarjetas por Internet y cumplir con los nuevos requisitos de la SCA. Esta nueva versión presenta una mejor experiencia para el usuario que lo ayudará a minimizar parte de la fricción que añade la autenticación al flujo del proceso de compra.

Otros métodos de pago con tarjeta como Apple Pay o Google Pay ya aceptan los flujos de pago con una capa integrada de autenticación (biométrica o con contraseña). Estos métodos son una excelente vía para que las empresas ofrezcan un proceso de compra sin fricciones a la vez que cumplen con los nuevos requisitos.

También prevemos que muchos métodos de pago comunes en Europa, como iDEAL, Bancontact o Multibanco, cumplirán con las nuevas normas de la SCA sin que se produzcan grandes cambios en la experiencia del usuario.

Exenciones a la autenticación reforzada de clientes

Conforme a esta nueva normativa, determinados tipos de pagos de bajo riesgo pueden eximirse de la autenticación reforzada de clientes. Los proveedores de servicios de pago como Stripe pueden solicitar estas exenciones al procesar el pago. Luego, el banco del titular de la tarjeta recibe la solicitud, evalúa el nivel de riesgo de la transacción y finalmente decide si aprueba la exención o si sigue siendo necesaria la autenticación.

Incorporar la autenticación en tu flujo de compra agrega un paso extra que puede generar fricción y aumentar la pérdida de clientes. El uso de exenciones para los pagos de bajo riesgo puede disminuir la cantidad de veces que necesites autenticar a un cliente y reducir la fricción. Hemos diseñado nuestros nuevos productos de pago listos para la SCA de manera que, cuando sea posible, puedas aprovechar las exenciones para ayudar a proteger la conversión.

Las exenciones más importantes para las empresas que operan en Internet son las siguientes:

Transacciones de bajo riesgo

Se le permite al proveedor de servicios de pago (como Stripe) efectuar un análisis de riesgo en tiempo real para determinar si se debe aplicar la SCA a una transacción. Esto solo se puede hacer si las tasas de riesgo de fraude generales del proveedor de pagos o del banco para pagos con tarjetas no exceden los siguientes umbrales:

  • 0.13 % para eximir transacciones inferiores a €100
  • 0.06 % para eximir transacciones inferiores a €250
  • 0.01 % para eximir transacciones inferiores a €500

Estos umbrales se convertirán a los importes en moneda local cuando corresponda.

En algunos casos, cuando la tasa de riesgo de fraude del proveedor sea inferior al umbral, pero la del banco del titular de la tarjeta esté por encima de este, prevemos que el banco rechazará la exención y exigirá la autenticación.

Pagos inferiores a €30

Esta es otra exención que se puede utilizar para los pagos de bajo importe. Las transacciones inferiores a €30 se consideran de "bajo valor" y se pueden eximir de la SCA. No obstante, los bancos tienen que solicitar la autenticación si la exención se ha usado cinco veces desde la última autenticación con éxito del titular de la tarjeta o si la suma de los pagos exentos anteriormente supera los €100. El banco del titular de la tarjeta debe hacer el seguimiento de la cantidad de veces que se ha utilizado esta exención y decidir si es necesaria la autenticación.

Suscripciones por un importe fijo

Esta exención se puede aplicar cuando el cliente efectúa una serie de pagos recurrentes por el mismo importe, a la misma empresa. La SCA se exige para el primer pago del cliente, mientras que es posible que los siguientes pagos sean exceptuados de la SCA.

Transacciones iniciadas por el comerciante (incluidas las suscripciones variables)

Los pagos efectuados con datos de tarjetas guardados cuando el cliente no está presente en el flujo de compra (a veces llamados "fuera de la sesión") pueden considerarse transacciones iniciadas por el comerciante. Técnicamente, estos pagos quedan fuera del alcance de la SCA. En la práctica, efectuar un pago como "transacción iniciada por el comerciante" será similar a solicitar una exención. Y como en el caso de cualquier otra exención, sigue quedando a criterio del banco decidir si se necesita la autenticación o no.

Para poder utilizar la exención como transacción iniciada por el comerciante, deberás autenticar la tarjeta ya sea cuando se guardan los datos o al hacer el primer pago. Finalmente, tendrás que obtener la aceptación del cliente (también llamada "mandato") para efectuar cargos en su tarjeta en el futuro.

Beneficiarios de confianza

Al completar la autenticación de un pago, los clientes pueden tener la opción de incluir en una lista blanca a una empresa en la que confían para no tener que autenticar compras futuras. Luego, estas empresas son incorporadas a una lista de "beneficiarios de confianza" en poder del banco del cliente o el proveedor de servicios de pago.

Ventas telefónicas

Los datos de tarjeta recopilados por teléfono quedan fuera del alcance de la SCA y no requieren autenticación. En ocasiones, a este tipo de pagos se los denomina "pedido teléfonico/por correo"(MOTO). Tal como ocurre con los pagos exentos, las transacciones MOTO deben ser marcadas como tales, y el banco del titular de la tarjeta debe tomar la decisión final de aceptar o rechazar la transacción.

Pagos corporativos

Esta exención puede comprender los pagos hechos con tarjetas "alojadas" (por ejemplo, cuando un agente de viajes que opera por Internet guarda los datos de una tarjeta corporativa para administrar los gastos de viaje de los empleados) y los pagos corporativos efectuados con números de tarjetas virtuales (que también se usan en el sector de viajes).

¿Qué sucede si falla una exención?

Si bien las exenciones pueden ser muy útiles, es importante recordar que finalmente es el banco del titular de la tarjeta el que decide si acepta o no una exención. Los bancos pueden enviar nuevos códigos de rechazo para los pagos fallidos debido a que les falta la autenticación. Estos pagos tienen que reenviarse al cliente para que este complete la autenticación reforzada de clientes. Los productos listos para SCA de Stripe activan automáticamente este paso extra de autenticación cuando la solicitan los bancos.

Si tu empresa se ve afectada por la SCA, te recomendamos que prepares un plan B en caso de que una exención sea rechazada y tu cliente tenga que autenticar. Esto es sumamente importante si cobras a tus clientes cuando no están en el flujo de compra en forma activa (es decir, cuando están fuera de la sesión) y tu cliente tiene que volver al sitio web o a la aplicación para hacer la autenticación. Lee nuestra guía sobre cómo diseñar flujos de pago para la SCA para obtener más información.

Cómo te ayuda Stripe a cumplir con los requisitos de la autenticación reforzada de clientes

Los cambios introducidos por esta nueva normativa afectan profundamente el comercio por Internet en Europa. Y si bien prevemos que estos requisitos recién se harán cumplir en el transcurso de 2020 y 2021, las empresas afectadas que no se preparen para estos nuevos requisitos podrían experimentar una caída importante en sus tasas de conversión a medida que la aplicación de la SCA se extienda a todos los bancos europeos.

Además de aceptar los nuevos métodos de autenticación como 3D Secure 2, creemos que un componente clave para crear una experiencia de pagos de primer nivel que minimice la fricción es lograr una gestión exitosa de las exenciones. Nuestros nuevos productos de gestión de pagos están optimizados conforme a las diferentes normas de las autoridades reguladoras, de los bancos y de las redes de tarjetas, y aplican las exenciones correspondientes a los pagos de bajo riesgo de manera que solo se active 3D Secure cuando sea necesario. Y a medida que estas normas cambien, podremos mantener y actualizar esta lógica de la SCA en tiempo real, teniendo en cuenta las fechas de aplicación de cada país.

Hemos lanzado una nueva API de pagos fundamental que usa la lógica de la SCA de Stripe para aplicar la exención correcta y activar 3D Secure de ser necesario. Nuestro nuevo Checkout y también Stripe Billing han sido desarrollados basándose en esta API y pueden aplicar 3D Secure en forma dinámica cuando sea necesario.

Más información acerca de los productos de Stripe listos para SCA. Si tienes preguntas o comentarios, escríbenos a.

Volver a las guías
You’re viewing our website for Malta, but it looks like you’re in the United States.