Autenticación reforzada de clientes

Lo que las empresas de Internet deben saber sobre la nueva normativa europea

Última actualización: 4 de mayo del 2020

Introducción

El 14 de septiembre del 2019 se introdujeron nuevos requisitos para la autenticación de pagos por Internet en Europa como parte de la segunda Directiva sobre servicios de pago (PSD2). Prevemos que estos requisitos entrarán en vigor en el transcurso del 2020 y 2021.

En esta guía, examinaremos más de cerca estos nuevos requisitos conocidos como "autenticación reforzada de clientes" (SCA, por sus siglas en inglés) y los tipos de pagos que se verán afectados. Asimismo, trataremos las exenciones que se podrán usar para transacciones de bajo riesgo con el fin de ofrecer una experiencia de compra sin fricciones.

Hemos publicado una página separada con la información más reciente sobre el plazo de aplicación de la SCA, así como una guía que te ayude a determinar en qué fase del proceso de compra del cliente incorporar la autenticación. Visita nuestro sitio para consultar más información sobre los productos listos para la SCA de Stripe.

¿Qué es la autenticación reforzada de clientes?

La autenticación reforzada de clientes (SCA) es un nuevo requisito normativo de Europa para reducir el fraude y redoblar la seguridad de los pagos por Internet. Para aceptar pagos y cumplir con los requisitos de SCA, tendrás que incorporar un paso adicional de autenticación a tu flujo de compra. La SCA exige que en la autenticación, se utilicen al menos dos de los siguientes tres elementos.

Algo que el cliente SABE (por ejemplo, una contraseña o PIN)
Algo que el cliente TIENE (por ejemplo, un token de hardware o teléfono)
Algo que el cliente ES (por ejemplo, la huella digital o el reconocimiento facial)

(Si te gustaría consultar los requisitos originales para la SCA, los encontrarás en las normas técnicas de regulación o RTS, por sus siglas en inglés.)

Los bancos tendrán que empezar a rechazar los pagos que requieran la SCA y no cumplan con estos criterios. Si bien la normativa se introdujo el 14 de septiembre de 2019, prevemos que estos requisitos serán ratificados por los órganos legislativos durante el transcurso del 2020 y 2021.

¿Cuándo se exige la autenticación reforzada de clientes (SCA)?

La autenticación reforzada de clientes se aplica a los pagos por Internet "iniciados por el cliente" dentro de Europa. En consecuencia, la mayoría de los pagos con tarjeta y todas las transferencias bancarias requieren la SCA. Por otra parte, los adeudos directos periódicos se consideran "iniciados por el comerciante" y no requieren la autenticación reforzada. Con excepción de los pagos sin contacto, los pagos con tarjeta realizados en persona tampoco se ven afectados por la nueva normativa.

En el caso de los pagos con tarjeta por Internet, estos requisitos se aplican a las transacciones en las que tanto la empresa como el banco del titular de la tarjeta se encuentran en el Espacio Económico Europeo (EEE). (Suponemos que la normativa SCA se aplicará en el Reino Unido, independientemente del resultado del Brexit.)

Cómo autenticar un pago

En este momento, la forma más común de autenticar un pago con tarjeta por Internet es mediante 3D Secure, un estándar de autenticación aceptado por la gran mayoría de las tarjetas europeas. Por lo general, al utilizarse 3D Secure se añade un paso extra posterior a la compra en el que el banco del titular de la tarjeta le solicita información adicional para completar un pago (por ejemplo, un código de única vez que se envía a su teléfono o autenticación por huella digital desde el móvil a través de la aplicación del banco).

3D Secure 2, la nueva versión del protocolo de autenticación que se implementó en 2019, será el principal método para autenticar los pagos con tarjetas por Internet y cumplir con los nuevos requisitos de la SCA. Esta nueva versión presenta una mejor experiencia de usuario que ayudará a minimizar parte de la fricción que añade la autenticación al flujo del proceso de compra.

Otros métodos de pago con tarjeta como Apple Pay o Google Pay ya aceptan flujos de pago con una capa integrada de autenticación (biométrica o con contraseña). Esta puede ser una excelente manera de ofrecer una experiencia de compra sin fricciones y, al mismo tiempo, cumplir con los nuevos requisitos.

Imaginamos también que muchos de los métodos de pago habituales en Europa, como iDEAL, Bancontact o Multibanco, cumplirán con las nuevas normas de la SCA sin que se produzcan grandes cambios en la experiencia del cliente.

Exenciones a la autenticación reforzada de clientes

Conforme a esta nueva normativa, ciertos tipos específicos de pagos de bajo riesgo pueden eximirse de la autenticación reforzada de clientes. Los proveedores de servicios de pago como Stripe pueden solicitar estas exenciones cuando procesan el pago. A continuación, el banco del titular de la tarjeta recibe la solicitud, evalúa el nivel de riesgo de la transacción y finalmente decide si aprueba la exención o si sigue siendo necesaria la autenticación.

Incorporar la autenticación en tu flujo de compra añade un paso extra que puede generar fricción y aumentar la pérdida de clientes. El uso de exenciones para los pagos de bajo riesgo puede disminuir la cantidad de veces que necesites autenticar a un cliente y reducir la fricción. Hemos diseñado nuestros nuevos productos de pago listos para la SCA de forma que, cuando sea posible, puedas aprovecharte de las exenciones para ayudar a proteger la conversión.

Las exenciones más relevantes para las empresas que operan en Internet son las siguientes:

Transacciones de bajo riesgo

Se permite a un proveedor de servicios de pago (como Stripe) efectuar un análisis de riesgo en tiempo real para determinar si se debe aplicar la SCA a una transacción. Esto solo se puede hacer si las tasas de riesgo de fraude generales para pagos con tarjetas del proveedor de pagos o del banco no exceden los siguientes umbrales:

  • 0,13 % para eximir transacciones inferiores a 100 €
  • 0,06 % para eximir transacciones inferiores a 250 €
  • 0,01 % para eximir transacciones inferiores a 500 €

Estos umbrales se convertirán a los importes en la divisa local cuando corresponda.

En algunos casos en los que solo la tasa de riesgo de fraude del proveedor de pagos es inferior al umbral, pero el banco del titular de la tarjeta está por encima de este, prevemos que el banco rechace la exención y exija la autenticación.

Pagos inferiores a 30 €

Esta es otra exención que se puede utilizar para los pagos de importe bajo. Las transacciones inferiores a 30 € se consideran de "valor bajo" y pueden quedar exentas de SCA. No obstante, los bancos tienen que solicitar la autenticación si la exención se ha usado cinco veces desde la última autenticación realizada correctamente por el titular de la tarjeta o si la suma de los pagos exentos anteriormente superaba los 100 €. El banco del titular de la tarjeta debe hacer el seguimiento de la cantidad de veces que se ha utilizado esta exención y decidir si es necesaria la autenticación.

Suscripciones de importe fijo

Esta exención se puede aplicar cuando el cliente efectúa una serie de pagos periódicos por el mismo importe, a la misma empresa. La SCA es necesaria para el primer pago del cliente, mientras que es posible que los siguientes pagos estén exentos de la SCA.

Transacciones iniciadas por el comerciante (incluidas las suscripciones variables)

Los pagos efectuados con tarjetas guardadas cuando el cliente no está presente en el flujo de compra (a veces llamados "fuera de sesión") pueden considerarse transacciones iniciadas por el comerciante. Técnicamente, estos pagos quedan fuera del alcance de la SCA. En la práctica, marcar un pago como "transacción iniciada por el comerciante" será similar a solicitar una exención. Y, como con cualquier otra exención, seguirá siendo el banco el que decida si se necesita la autenticación de la transacción.

Para poder utilizar transacciones iniciadas por el comerciante, deberás autenticar la tarjeta ya sea cuando se está guardando o en el primer pago. Finalmente, tendrás que obtener la aceptación del cliente (también llamada "mandato") para hacer cargos en su tarjeta en el futuro.

Beneficiarios de confianza

Al completar la autenticación de un pago, los clientes pueden tener la opción de incluir en la lista blanca a una empresa en la que confíen para evitar tener que autenticar compras futuras. Posteriormente, se incluye a estas empresas en una lista de "beneficiarios de confianza" que mantiene el banco del cliente o el proveedor de servicios de pago.

Ventas telefónicas

Los datos de tarjeta que se recopilan por teléfono quedan fuera del alcance de la SCA y no requieren autenticación. En ocasiones, este tipo de pago se denomina "Pedido telefónico/por correo"(MOTO). De manera similar a los pagos exentos, las transacciones MOTO deben marcarse como tales, y el banco del titular de la tarjeta debe tomar la decisión final de aceptar o rechazar la transacción.

Pagos corporativos

Esta exención puede abarcar pagos que se realizan con tarjetas para gastos de viajes corporativos (por ejemplo, en los casos en los que se tenga directamente con una agencia de viajes que opere por Internet una tarjeta corporativa para gestionar los gastos de los empleados en viajes de empresa), así como los pagos corporativos efectuados con números de tarjetas virtuales (que también se usan en el sector de viajes).

¿Qué sucede si falla una exención?

Si bien las exenciones pueden ser muy útiles, es importante recordar que será finalmente el banco del titular de la tarjeta el que decida si acepta o no una exención. Los bancos pueden enviar nuevos códigos de rechazo para pagos que fallaron por falta de autenticación. Estos pagos deberán entonces reenviarse al cliente con una solicitud de autenticación reforzada de clientes. Los productos listos para la SCA de Stripe activan automáticamente esta autenticación extra cuando la solicitan los bancos.

Si tu empresa se ve afectada por la SCA, te recomendamos que prepares un plan B en caso de que una exención sea rechazada y tu cliente deba realizar la autenticación. Esto es especialmente importante si cobras a tus clientes cuando no están en tu flujo de compra de forma activa (es decir, cuando están fuera de la sesión) y tu cliente tiene que volver al sitio web o a la aplicación para hacer la autenticación. Para consultar más información, lee nuestra guía sobre cómo diseñar flujos de pago para la SCA.

Cómo te ayuda Stripe a cumplir con los requisitos de la autenticación reforzada de clientes

Los cambios que introduce esta nueva normativa tienen un gran impacto en el comercio por Internet en Europa. Y si bien prevemos que la aplicación de estos requisitos solo se exigirán en el transcurso de 2020 y 2021, las empresas afectadas que no se preparen para estos nuevos requisitos podrían experimentar una caída importante en sus tasas de conversión a medida que la aplicación de la SCA se extienda a todos los bancos europeos.

Además de aceptar los nuevos métodos de autenticación como 3D Secure 2, creemos que un componente clave para crear una experiencia de pagos de primer nivel que minimice la fricción es la correcta gestión de las exenciones. Nuestros nuevos productos de gestión de pagos están optimizados conforme a las diferentes normas reguladoras, bancarias y de redes de tarjetas, y aplican las exenciones correspondientes a los pagos de bajo riesgo de manera que solo se active 3D Secure cuando sea necesario. Y, a medida que estas normas cambien, podremos mantener y actualizar esta lógica de SCA en tiempo real, teniendo en cuenta las fechas de aplicación en cada país.

Hemos lanzado una nueva API de pagos fundacional que usa la lógica de la SCA de Stripe para aplicar la exención correcta y activar 3D Secure cuando sea necesario. Tanto nuestro nuevo Checkout como Stripe Billing han sido desarrollados basándose en esta API y pueden aplicar 3D Secure de forma dinámica cuando sea necesario.

Consulta más información acerca de los productos listos para la SCA de Stripe. Puedes enviarnos tus preguntas o comentarios a.

Volver a las guías
You’re viewing our website for Ireland, but it looks like you’re in the United States.