Cómo diseñar flujos de pago para SCA

La nueva normativa conocida como "autenticación reforzada de clientes" o SCA está cambiando los pagos por Internet en Europa. Entérate de cómo repercutirá en tus flujos de pago e infórmate sobre cómo Stripe puede ayudarte.

Introducción

Última actualización del 15 de abril de 2019

El 14 de septiembre de 2019, la nueva normativa exigirá la autenticación reforzada de clientes (SCA) para muchos de los pagos por Internet efectuados en el Espacio Económico Europeo (EEE), incluido el Reino Unido. La SCA es parte de la segunda Directiva sobre servicios de pago (PSD2).

Cuando la SCA entre en vigor, se requerirá una forma de autentificación en dos pasos para muchos de los pagos con tarjeta efectuados por Internet en Europa. Sin la autenticación, muchos de estos pagos serán rechazados por los bancos de los clientes. Diseñamos Payment Intents, una nueva API fundamental, para ayudar a las empresas a manejar este cambio y aprovechar al máximo las exenciones de la SCA.

Tendrás que actualizar tus flujos de pago y tu integración con Stripe para prepararte para la SCA. El proceso dependerá de tus flujos de pago e integración actuales. Te recomendamos usar esta guía para comprender cómo deberán modificarse los diferentes tipos de flujos de pago debido a la SCA y consultarla cuando rediseñes tus flujos de pago.

Cómo están cambiando los pagos

Por lo general, los pagos con tarjeta tradicionales constan de dos pasos: la autorización y la captura. El pago se autoriza cuando el banco del cliente o el emisor de la tarjeta resuelve aprobar el pago y se captura cuando se efectúa el cargo en la tarjeta.

Cuando la SCA entre en vigor en septiembre, habrá un paso adicional, obligatorio antes de la autorización y la captura: la autenticación. Este paso ayuda a proteger a los clientes porque previene el fraude. Para autenticar un pago, el cliente responde a una solicitud de su banco y proporciona información adicional. Puede tratarse de algo que el cliente conoce, como una contraseña, algo que el cliente usa, como su teléfono, o algo que es parte de lo que el cliente es, como las huellas digitales.

La forma más común de autenticar un pago es mediante un método denominado "3D Secure". Puedes reconocer la autenticación mediante 3D Secure por el nombre que le asigna cada marca, por ejemplo, "Visa Secure" o "Mastercard Identity Check". Hay una nueva versión llamada "3D Secure 2" (3DS2) que, según se prevé, será el método estándar para autenticar pagos. Puedes informarte sobre las diferencias entre estos métodos en nuestra Guía sobre 3D Secure 2. Si tu empresa usa la autenticación mediante 3D Secure en nuestra API Payment Intents, Stripe Billing o en la nueva versión de Stripe Checkout, pasarás automáticamente a 3DS2 cuando se acepte, sin hacer nada.

Independientemente del método que uses, los clientes deben completar la autenticación durante la sesión, es decir, mientras están usando tu sitio web o aplicación. Añadir este paso será más sencillo para las empresas que les cobran a sus clientes de forma directa y más complicado para aquellas que les cobran después de que el cliente ha salido del flujo de compra. (En ocasiones, esto se denomina "fuera de la sesión").

Las situaciones que aparecen en esta guía sirven de ejemplo de cómo pueden variar los tres pasos (autenticación, autorización y captura) según cómo y cuándo se les cobra a los clientes.

  1. Autenticar
    Un cliente autentica un pago por Internet.

    El cliente responde a una solicitud del banco mediante 3D Secure y proporciona datos adicionales para autenticar el pago. Ver la autenticación mediante 3D Secure desde la perspectiva del cliente.

    Se requiere autenticación cuando el pago no es elegible para una exención o cuando el banco del cliente deniega una solicitud de exención. Nuestra API Payment Intents solicita automáticamente las exenciones elegibles antes de añadir el paso de autenticación. De esta manera, se simplifican los flujos de compra y se protegen las tasas de conversión.

    ¿Sabías?: la autenticación debe hacerse durante la sesión del cliente o mientras este está usando tu sitio web o aplicación. Por ello, este paso suele tener lugar cuando el cliente completa el formulario de compra.

  2. Autorizar
    Tu empresa le solicita al banco del cliente que apruebe el pago.

    El banco del cliente resuelve si aprueba o rechaza el pago. Si lo aprueba, los fondos se retienen y se garantizan por siete días. Si se rechaza una solicitud de autorización, tu empresa necesitará un método para que el cliente reinicie sesión para hacer la reautenticación del pago y luego intentar la autorización nuevamente.

    ¿Sabías?: una solicitud de autorización puede ser rechazada por el banco del cliente aun después de haber sido autenticada. Esto sucede si el cliente no tiene fondos suficientes o la tarjeta ha caducado.

  3. Hasta 7 días

    El plazo entre la autorización y la captura puede ser de hasta siete días, pero la mayoría de las empresas captura el pago inmediatamente después de la autorización.

    ¿Sabías?: el banco del cliente puede mostrar que un pago está “pendiente” si este ha sido autorizado, pero aún no ha sido capturado.

  4. Capturar
    La empresa efectúa el cargo en la tarjeta del cliente, con lo que se completa el pago.

Sobre las exenciones

Existen ciertos tipos de pago, como las transacciones de bajo riesgo, las suscripciones con importe fijo, las ventas telefónicas y las transacciones iniciadas por el comerciante, que pueden estar exentos de la SCA. Las transacciones iniciadas por el comerciante son pagos efectuados con una tarjeta guardada cuando el cliente está fuera de la sesión. Algunos ejemplos comunes son los pagos para la inscripción a un gimnasio o las facturas de servicios públicos. A fin de acceder a la exención, tu empresa debe tener un acuerdo con el cliente y solicitarle que autentique su tarjeta al guardar los datos o al efectuar el primer pago. Nuestra guía sobre la autenticación reforzada de clientes da más detalles acerca de estas y otras exenciones.

Los productos y API de pago listos para SCA de Stripe ayudarán a las empresas a aprovechar estas oportunidades mediante la solicitud de exenciones en forma automática. Si el banco del cliente aprueba la exención, el cliente no tendrá que completar la autenticación, con lo que la conversión se verá menos afectada.

No obstante, las empresas no pueden depender de las exenciones y deben diseñar sus flujos de pago para que el cliente complete la autenticación en caso de ser necesario. Esto se debe a que las normas sobre exenciones dependen de los bancos de los clientes. Los bancos evaluarán cada pago y resolverán si se aplica o no una exención, y cada banco aplicará las exenciones de manera diferente.

Situaciones empresariales

Para ilustrar la repercusión y la aplicación de la SCA, hemos descrito cómo puede adecuarse el paso de autenticación a los flujos de pago de diferentes modelos de empresa.

Volver a las guías