Autenticación reforzada de clientes (SCA)

Todo lo que las empresas de Internet deben saber sobre la normativa europea

  1. Introducción
  2. ¿Qué es la autenticación reforzada de clientes?
    1. ¿Cuándo se requiere la autenticación reforzada de clientes?
    2. ¿Cómo autenticar un pago?
    3. Exenciones a la autenticación reforzada de clientes
    4. ¿Qué sucede si falla una exención?
    5. ¿Cómo Stripe te ayuda a cumplir los requisitos de la autenticación reforzada de clientes?

En esta guía, analizaremos más detenidamente los nuevos requisitos de autenticación reforzada de clientes (SCA, por sus siglas en inglés) y los tipos de pago que se verán afectados. También nos referiremos a las exenciones que se podrán utilizar para las transacciones de bajo riesgo con el fin de que puedas ofrecer a tus clientes una experiencia de compra fluida.

Hemos publicado una guía para ayudarte a elegir en qué momento agregar el esta autenticación adicional en el recorrido que siguen tus clientes. Visita nuestro sitio para obtener más información sobre los productos de Stripe que ya están listos para cumplir con los requisitos de autenticación reforzada de clientes.

¿Qué es la autenticación reforzada de clientes?

La autenticación reforzada de clientes (SCA) es un requisito normativo europeo para reducir el fraude y conseguir que los pagos por Internet y de los pagos con métodos sin contacto sean más seguros. Para aceptar pagos y cumplir con los requisitos de la SCA, tendrás que incorporar un paso adicional a tu proceso de compra. La SCA exige que en la autenticación se utilicen al menos dos de los siguientes tres elementos:

Si quieres leer el texto original de los requisitos de la SCA, puedes consultar las normas técnicas de regulación para la autenticación reforzada de clientes. Los bancos deberán rechazar pagos que requieran SCA y no cumplan con estos criterios.

¿Cuándo se requiere la autenticación reforzada de clientes?

La autenticación reforzada de clientes se aplica a los pagos en línea y con métodos sin contacto «iniciados por el cliente» en Europa. En la práctica, eso significa que la mayoría de los pagos con tarjeta y todas las transferencias bancarias requieren esa autenticación adicional. Los débitos directos recurrentes, en cambio, se consideran «iniciados por el comerciante», por lo que no requieren la autenticación reforzada.

Para los pagos en línea con tarjeta, estos requisitos se aplican a las transacciones en las que la empresa y el banco del titular de la tarjeta se encuentran ubicados en el Espacio Económico Europeo (EEE).

¿Cómo autenticar un pago?

Actualmente, la forma más común de autenticar un pago en línea con tarjeta es a través de 3D Secure, un estándar de autenticación compatible con la gran mayoría de las tarjetas europeas. Al aplicar 3D Secure, se añade un paso adicional al proceso de compra en el cual el banco solicita al titular de la tarjeta que proporcione información adicional para completar el pago (por ejemplo, un código único enviado a su teléfono o una autenticación por huella digital a través de la aplicación móvil del banco).

3D Secure 2 la nueva versión del protocolo de autenticación que se implementó en 2019, es el método principal para autenticar los pagos en línea con tarjeta y cumplir con los nuevos requisitos de la SCA. Esta versión ofrece una mejor experiencia de usuario que minimizará parte de las fricciones que la autenticación añade al flujo del proceso de compra.

Normalmente, las transacciones con tarjeta cumplen los requisitos de autenticación con el ingreso de un código PIN.

Otros métodos de pago que también usan los datos de la tarjeta, como Apple Pay o Google Pay ya admiten flujos de pago con una capa de autenticación integrada (biométrica o con contraseña). Este tipo de métodos de pago pueden ser una excelente vía para que las empresas cumplan con los nuevos requisitos y ofrezcan a la vez una experiencia de proceso de compra sin fricciones.

También esperamos que muchos métodos de pago europeos más utilizados, como iDEALBancontactMultibanco, se adapten a la nueva normativa sin grandes cambios en su experiencia de usuario.

Exenciones a la autenticación reforzada de clientes

Bajo esta nueva regulación, algunos tipos de pagos específicos que se consideran de bajo riesgo pueden estar exentos de la autenticación reforzada de clientes. Los proveedores de servicios de pago como Stripe pueden solicitar estas exenciones al procesar el pago. El banco del titular de la tarjeta recibirá la solicitud, evaluará el nivel de riesgo de la transacción y, en última instancia, decidirá si aprueba la exención o si la autenticación sigue siendo necesaria.

Integrar esta autenticación al flujo del proceso de compra implica incorporar un paso más que puede añadir fricciones y aumentar el abandono de clientes. Gracias a las exenciones para pagos de bajo riesgo, se puede reducir la cantidad de veces que el cliente debe autenticarse y, de ese modo, reducir también las fricciones. Hemos diseñado nuestros nuevos productos para pagos listos para cumplir con la SCA para que puedas aprovechar las exenciones cuando sea posible y así proteger tu conversión.

Las exenciones más relevantes para las empresas de Internet son las siguientes:

Transacciones de bajo riesgo

Un proveedor de servicios de pagos (como Stripe) puede realizar un análisis de riesgo en tiempo real para determinar si aplica la autenticación reforzada de clientes a una transacción. Para ello, también es necesario que las tasas de fraude para pagos con tarjeta del proveedor de pagos o del banco no superan los siguientes umbrales:

  • 0.13% para eximir transacciones por debajo de €100
  • 0.06% para eximir transacciones por debajo de €250
  • 0.01% para eximir transacciones por debajo de €500

Estos umbrales se convertirán a importes equivalentes en la moneda local cuando sea pertinente.

En caso de que solo la tasa de fraude del proveedor de pagos esté por debajo del umbral, pero la del banco del titular de la tarjeta esté por encima, se prevé que el banco rechazará la exención y exigirá la autenticación.

Esta exención es una de las más útiles para las empresas y una de las más aceptadas por los bancos. La evaluación de riesgos integral y en tiempo real de Stripe Radar nos permite aceptar esta exención para nuestros usuarios.

Pagos por debajo de los €30

Esta es otra exención que se puede utilizar para pagos de bajo importe. Las transacciones por debajo de los €30 se consideran de «bajo valor» y pueden estar exentas de SCA. Sin embargo, los bancos deben solicitar la autenticación reforzada si la exención ya se ha utilizado cinco veces desde la última autenticación efectuada con éxito del titular de la tarjeta o si la suma de los pagos previamente exentos supera los €100. El banco del titular de la tarjeta es el encargado de realizar un seguimiento del número de veces que se ha utilizado esta exención y decidir si la autenticación es necesaria.

Debido a las estrictas limitaciones de esta exención, la exención para las transacciones de bajo riesgo será más relevante para la mayoría de los pagos. No obstante, admitiremos esta exención para nuestros usuarios.

Suscripciones con importes fijos

Esta exención puede aplicarse cuando el cliente efectúa una serie de pagos recurrentes por el mismo importe y a una misma empresa. Se requerirá la SCA para el primer pago, mientras que los cargos posteriores podrán ser exentos de esa autenticación adicional.

Esta exención la acepta la gran mayoría de bancos europeos y debería ser de gran utilidad para las empresas que ofrecen suscripciones, así que decidimos habilitarla para los usuarios de Stripe. Si estás usando Stripe Billing para crear suscripciones, aplicaremos automáticamente esta exención cuando corresponda y ayudaremos a gestionar las solicitudes de autenticación en caso de que el banco la requiera.

Transacciones iniciadas por el comerciante (para importes fijos o variables)

Los pagos efectuados con tarjetas guardadas cuando el cliente no está presente en el flujo del proceso de compra (lo que se conoce como un pago «fuera de sesión» o con el vocablo inglés «off-session») pueden considerarse como «transacciones iniciadas por el comerciante». Aunque, en teoría, estos pagos quedan técnicamente fuera del alcance de la SCA, en la práctica, marcar un pago como una «transacción iniciada por el comerciante» será similar a solicitar una exención. Por lo tanto, como con cualquier otra exención, el banco será el que decida si se necesita autenticación adicional para la transacción.

Para poder marcar una transacción «iniciada por el comerciante», debes autenticar la tarjeta en el momento de guardarla o al hacer el primer pago. También deberás obtener el permiso del cliente (también llamado «mandato») para poder efectuar cargos en su tarjeta más adelante.

Se trata de un caso de uso fundamental para los modelos de negocio que dependen de pagos diferidos, cobran suscripciones con montos variables o facturan complementos. La mayoría de los bancos europeos admite esta forma de autenticación si la transacción se considera de bajo riesgo.

La API de Stripe permite autenticar una tarjeta que se guarda para su posterior uso y marcar los pagos subsiguientes como «transacciones iniciadas por el comerciante».

Beneficiarios de confianza

Al completar la autenticación de un pago, los clientes tienen la opción de agregar las empresas de su confianza a una lista de permitidos para no tener que autenticar compras futuras. Aunque, estas empresas las elige el cliente, esta lista de «beneficiarios de confianza» debe guardarla su banco o el proveedor de servicios de pago.

Si bien el agregado a una lista de permitidos les simplifica las compras repetidas o las suscripciones a los clientes, hasta ahora la adopción de esta función entre los bancos ha sido escasa. Prevemos que por ahora, no será ampliamente acogida por los bancos, pero respaldaremos esta exención para nuestros usuarios toda vez que esté disponible.

Ventas telefónicas

Los datos de la tarjeta recopilados por teléfono quedan fuera del alcance de la SCA y no requieren autenticación. Este tipo de pagos suelen incluirse en la categoría de «pedidos telefónicos y pedidos por correo» (o MOTO, por sus siglas en inglés). Tal como ocurre con los pagos exentos, las transacciones MOTO deben marcarse como tales, y el banco del titular de la tarjeta tomará la decisión final de aceptar o rechazar la transacción.

Este es un caso de uso importante para cualquier empresa que acepte pagos por teléfono y con amplia aceptación de los bancos. Los pagos creados directamente desde el Dashboard de Stripe se marcarán automáticamente como pagos MOTO.

Si tu empresa cumple con la normativa PCI y has creado tu propio sistema para aceptar pedidos por teléfono, nuestras nuevas API de pagos te permitirán marcar un pago como MOTO. Contáctanos para habilitar esta función en tu cuenta de Stripe y acceder a la documentación técnica.

Pagos corporativos

Esta exención se aplica para pagos efectuados con tarjetas «alojadas» (es decir, tarjetas corporativas para gastos de viaje de los empleados gestionadas directamente por agentes de viaje en línea) y los pagos corporativos efectuados con tarjetas virtuales (también utilizadas en el sector turístico).

El alcance de esta exención es muy limitado por lo que prevemos que tenga poco uso fuera del sector de viajes. Esta exención solo puede ser solicitada por el banco del titular de la tarjeta, ya que ni la empresa ni los proveedores de servicios de pago (como Stripe) pueden detectar si una tarjeta pertenece a esta categoría.

¿Qué sucede si falla una exención?

Si bien las exenciones pueden ser muy útiles, es importante recordar que el banco del titular de la tarjeta es el que decide en última instancia si una exención se acepta o no. Los bancos pueden enviar nuevos códigos de rechazo por pagos fallidos debido a la falta de autenticación. Si esto ocurre, los pagos deben reenviarse al cliente con una solicitud para que complete la autenticación reforzada adicional. Los productos para pagos listos para la SCA de Stripe activan automáticamente esta autenticación adicional siempre que el banco lo solicite.

Si tu empresa se ve afectada por la SCA, te recomendamos que prepares una alternativa en caso de que se rechace una exención y tu cliente deba completar la autenticación. Esto es muy importante si cobras a tus clientes cuando no participan activamente en el proceso de compra (por ejemplo, si se les envían cobros recurrentes por una suscripción) y es posible que deban volver a tu sitio web o aplicación para completar la autenticación. Consulta nuestra guía sobre el diseño de flujos de pago para la SCA si quieres más información sobre cómo preparar tus pagos para la nueva normativa.

¿Cómo Stripe te ayuda a cumplir los requisitos de la autenticación reforzada de clientes?

Los cambios introducidos por esta nueva normativa afectan en gran medida al comercio en línea europeo. Las empresas afectadas que no se preparen para cumplir con estos nuevos requisitos podrían ver una caída significativa en sus tasas de conversión a medida que los bancos europeos aumenten la aplicación de la SCA.

Además de admitir nuevos métodos de autenticación como 3D Secure 2, creemos que optimizar la aplicación de exenciones es un componente clave para crear una experiencia de pagos de primera clase que minimice las fricciones. Nuestros nuevos productos de pagos han sido optimizados en función de las diferentes disposiciones normativas, bancarias y de las redes de tarjetas, y aplican las exenciones correspondientes para pagos de bajo riesgo, de modo que la autenticación con 3D Secure solo se activará cuando sea necesario. Por supuesto, a medida que estas reglas cambien, mantendremos y actualizaremos en tiempo real nuestra lógica de SCA, tomando en cuenta el historial de cumplimiento de la normativa de cada país.

Hemos lanzado una nueva API de pagos que utiliza la lógica de SCA de Stripe para aplicar las exenciones correctas y activar 3D Secure solo cuando sea necesario. Tanto Stripe Checkout como Stripe Billing se basan en esta API y pueden aplicar 3D Secure en forma dinámica, de ser necesario.

Obtén más información sobre los productos de Stripe listos para cumplir con la SCA. Si tienes alguna pregunta o comentario, contáctanos.

¿Todo listo para empezar? Ponte en contacto con nosotros o crea una cuenta.

Crea una cuenta y empieza a aceptar pagos, sin necesidad de contratos ni datos bancarios. También puedes contactarnos para diseñar un paquete personalizado para tu empresa.