Autenticación reforzada de clientes (SCA)

Todo lo que las empresas de Internet deben saber sobre la nueva normativa europea

  1. Introducción
  2. ¿Qué es la autenticación reforzada de clientes?
    1. ¿Cuándo se requiere la autenticación reforzada de clientes?
    2. Cómo autenticar un pago con tarjeta
    3. Cómo funciona la responsabilidad de las disputas por fraude en el marco de 3DS
    4. Exenciones a la autenticación reforzada de clientes
    5. ¿Qué sucede si falla una exención?
    6. Cómo Stripe te ayuda a cumplir con los requisitos de la autenticación reforzada de clientes
    7. Próximos cambios

En esta guía, analizaremos con detalle los nuevos requisitos de autenticación reforzada de clientes (SCA, por sus siglas en inglés) que ha establecido la segunda directiva sobre servicios de pago (PSD2) y los tipos de pagos que se verán afectados. También te contaremos cómo funcionan las exenciones que podrás solicitar en nombre de tu empresa para que puedas ofrecerles a tus clientes una experiencia de compra más sencilla y agradable.

Hemos publicado una guía para ayudarte a elegir en qué momento añadir esta autenticación adicional en el proceso que siguen tus clientes y otra guía sobre cómo prepararte para la tercera directiva sobre servicios de pago (PSD3), que entrará en vigor próximamente. En esta página te contamos todos los detalles sobre los productos de Stripe que ya están listos para cumplir con los requisitos de autenticación reforzada de clientes.

¿Qué es la autenticación reforzada de clientes?

La autenticación reforzada de clientes (SCA) es un requisito normativo europeo para reducir el fraude y conseguir que los pagos por Internet y con métodos sin contacto sean más seguros. Para aceptar pagos y cumplir con los requisitos de la SCA, tendrás que incorporar un paso de autenticación adicional al flujo de tu checkout. La SCA exige que en la autenticación se utilicen al menos dos de los siguientes tres elementos:

Three elements image - ES

Si quieres leer el texto original de los requisitos de la SCA, puedes consultar las normas técnicas de regulación para la autenticación reforzada de clientes. Los bancos deberán empezar a rechazar pagos que requieran SCA y no cumplan con estos criterios.

¿Cuándo se requiere la autenticación reforzada de clientes?

La autenticación reforzada de clientes se aplica a los pagos en línea y con métodos sin contacto «iniciados por el cliente» en el Reino Unido o Europa. Todos los pagos electrónicos (es decir, pagos con tarjeta y transferencias bancarias) requieren esa autenticación adicional, a no ser que se pueda aplicar una exención o que se considere que la transacción está fuera del alcance de la SCA, como ocurre con las transacciones «iniciadas por el comerciante» (por ejemplo, adeudos directos).

En lo que respecta a los pagos con tarjeta por Internet, estos requisitos se aplican a las transacciones en las que tanto la empresa como el banco del titular de la tarjeta se encuentran en el Espacio Económico Europeo (EEE).

Cómo autenticar un pago con tarjeta

Actualmente, la forma más común de autenticar un pago online con tarjeta es a través de 3D Secure, un estándar de autenticación compatible con la gran mayoría de las tarjetas europeas. Al aplicar 3D Secure, se añade un paso tras el checkout en el que el banco solicita al titular de la tarjeta que proporcione información adicional para completar el pago (por ejemplo, un código de un solo uso enviado a su teléfono o la autenticación con sus datos biométricos a través de la aplicación móvil de su banco).

3D Secure 2, la nueva versión del protocolo de autenticación que se implementó en 2019, es el método principal para autenticar esos pagos con tarjeta y asegurarse de cumplir con los nuevos requisitos de la SCA.

Las transacciones presenciales con tarjeta normalmente cumplen con los requisitos de autenticación pidiendo que se introduzca el código PIN. Otros métodos de pago que también usan los datos de la tarjeta, como Apple Pay o Google Pay, ya admiten flujos de pago con una capa de autenticación integrada (a través de la biometría o de una contraseña propia). Este tipo de métodos de pago son una excelente alternativa para que las empresas puedan ofrecer una experiencia sencilla y agradable en su checkout al tiempo que se aseguran de cumplir los nuevos requisitos.

Cómo funciona la responsabilidad de las disputas por fraude en el marco de 3DS

Una de las ventajas que tiene aplicar la SCA con una autenticación en varios pasos satisfactoria es que las empresas pueden obtener protección de responsabilidad en caso de disputas por fraude.

Exenciones a la autenticación reforzada de clientes

No todos los pagos están dentro del alcance de la autenticación en varios pasos en el marco de la SCA, ya que algunos pueden acogerse a una exención estipulada en la normativa y otros están fuera del alcance de aplicación de la SCA. En aquellos casos en los que se solicite una exención y el banco del titular de la tarjeta la acepte, la responsabilidad relativa a las disputas por fraude seguirá recayendo sobre la empresa.

Los proveedores de servicios de pago (como Stripe) pueden solicitar exenciones al procesar el pago. El banco del titular de la tarjeta recibirá la solicitud, evaluará el nivel de riesgo de la transacción y decidirá, en última instancia, si aprueba la exención o si la autenticación sigue siendo necesaria. Al aplicar exenciones para los pagos de bajo riesgo se reduce la cantidad de veces que es necesaria la autenticación del cliente y, por lo tanto, se reducen las complicaciones y el abandono de clientes.

Stripe usa machine learning para determinar la exención idónea en cada caso para que puedas ofrecer a tus clientes la experiencia de compra más sencilla posible. Hemos diseñado nuestros productos para pagos listos para la SCA de forma que puedas aprovechar las exenciones siempre que sea posible y así proteger tu conversión.

Estas son las exenciones más adecuadas para las empresas que aceptan pagos por Internet:

Transacciones de bajo riesgo

Un proveedor de servicios de pago (como Stripe) puede realizar un análisis de riesgo en tiempo real, que se conoce como «análisis de riesgo de las transacciones» (TRA, por sus siglas en inglés), para determinar si aplica la autenticación reforzada de clientes a una transacción. Para ello, también es necesario que las tasas de fraude para pagos con tarjeta del proveedor de servicios de pago no superen los siguientes umbrales:

  • 0,13 % para que las transacciones por debajo de 100 €/85 £ queden exentas
  • 0,06 % para que las transacciones por debajo de 250 €/220 £ queden exentas
  • 0,01 % para que las transacciones por debajo de 500 €/440 £ queden exentas

Estos umbrales se convertirán a la divisa local cuando sea pertinente.

Esta exención es una de las más útiles para las empresas y una de las más aceptadas por los bancos. Stripe Radar ofrece una evaluación de riesgos muy completa y en tiempo real que nos permite aplicar este tipo de exenciones para nuestros usuarios.

Pagos por debajo de 30 €/25 £

Los pagos de un importe bajo también pueden estar exentos. Las transacciones por debajo de 30 € o 25 £ se consideran de «bajo valor» y pueden estar exentas de SCA. Sin embargo, los bancos deberán solicitar la autenticación reforzada si la exención ya se ha utilizado cinco veces desde la última autenticación o si la suma de los pagos exentos supera los 100 € o las 85 £. El banco del titular de la tarjeta es el encargado de realizar el seguimiento del número de veces que se ha aplicado la exención y de decidir si la autenticación es necesaria.

Debido a las estrictas limitaciones de esta exención, quizá no sea relevante para muchos pagos. No obstante, admitiremos esta exención para nuestros usuarios.

Transacciones recurrentes

Esta exención puede aplicarse cuando el cliente realiza una serie de pagos recurrentes de un mismo importe y a una misma empresa. El primer pago sí se verá sujeto a la SCA, pero los cargos posteriores podrían estar exentos de esa autenticación adicional.

Esta exención la aceptan la gran mayoría de los bancos europeos y es de gran utilidad para las empresas que ofrecen suscripciones. Si usas Stripe Billing para crear suscripciones, aplicaremos automáticamente esta exención siempre que sea posible y ayudaremos a gestionar las solicitudes de autenticación en caso de que el banco la requiera.

Transacciones iniciadas por el comerciante (para importes fijos o variables)

Los pagos que se realizan con los datos de tarjetas guardadas cuando el cliente no está presente en el flujo del proceso de compra (lo que se conoce como un pago «fuera de la sesión» o con el vocablo inglés «off-session») pueden considerarse como «transacciones iniciadas por el comerciante». Aunque, en teoría, estos pagos quedan fuera del alcance de la SCA, en la práctica, marcar un pago como una «transacción iniciada por el comerciante» será similar a solicitar una exención. Por lo tanto, como con cualquier otra exención, el banco seguirá pudiendo decidir si la transacción requiere autenticación adicional.

Para poder marcar una transacción como «iniciada por el comerciante», deberás haber autenticado los datos de la tarjeta cuando se hayan introducido por primera vez o en el momento del primer pago. También deberás obtener el permiso del cliente (lo que se conoce como un «mandato») para efectuar cargos en su tarjeta más adelante.

Este es un caso de uso imprescindible para los modelos de negocio que trabajan con pagos aplazados, cobran suscripciones de importes variables o suelen añadir cargos adicionales a sus facturas. La mayoría de los bancos europeos acepta esta exención si considera que la transacción es de bajo riesgo.

La nueva API de Stripe te permite autenticar una tarjeta cuando se guardan sus datos y marcar los futuros pagos como «transacciones iniciadas por el comerciante». Es importante que las empresas usen las API de Stripe más recientes para asegurarse de que están listas para la SCA.

Ventas telefónicas (MOTO)

Los datos de tarjetas recopilados por teléfono quedan fuera del alcance de la SCA y no requieren autenticación. Este tipo de pagos suele incluirse en la categoría de «pedidos telefónicos y pedidos por correo» (o MOTO, por sus siglas en inglés). Su funcionamiento, sin embargo, es muy similar al de las exenciones: las transacciones MOTO deben ser identificadas como tales, y el banco del titular de la tarjeta es el encargado de tomar la decisión de aceptar o rechazar la transacción.

Este es un caso de uso que ya recoge la mayoría de los bancos y muy importante para cualquier empresa que acepte pagos por teléfono. Los pagos que se creen directamente desde el Dashboard de Stripe se pueden marcar de forma automática como pagos MOTO en este caso de uso.

Si tu empresa cumple con la normativa PCI y has creado tu propio sistema para aceptar pedidos por teléfono, nuestras nuevas API de pagos te permitirán marcar un pago como MOTO. Contáctanos para habilitar esta función en tu cuenta de Stripe y acceder a la documentación técnica.

Pagos corporativos

Esta exención se aplica a pagos con tarjetas emitidas específicamente para los gastos de viaje de una empresa (por ejemplo, una tarjeta corporativa gestionada directamente por un agente de viajes y que se usa para administrar los gastos de viaje de los empleados) y a pagos realizados con tarjetas virtuales (que también se usan en el sector turístico).

El alcance de esta exención es muy limitado, por lo que tiene poco uso fuera del sector de los viajes. Esta exención solo la puede solicitar el banco del titular de la tarjeta, ya que ni la empresa que recibe el pago ni los proveedores de servicios de pago (como Stripe) pueden detectar si una tarjeta pertenece a esta categoría.

Beneficiarios de confianza

Tras autenticar un pago, los clientes pueden tener la opción de añadir el negocio a su lista de «beneficiarios de confianza» para no tener que autenticar compras futuras. Aunque los negocios los elige el cliente, esta lista de «beneficiarios de confianza» debe guardarla su banco o el proveedor de servicios de pago.

Si bien estas listas de «beneficiarios de confianza» pueden conseguir que las compras recurrentes o las suscripciones sean mucho más cómodas para los clientes, los bancos han empezado a adoptar esta función muy lentamente.

¿Qué sucede si falla una exención?

Si bien las exenciones pueden ser muy útiles, es importante recordar que el banco del titular de la tarjeta es quien tiene la última palabra sobre si acepta o no una exención. Los bancos pueden devolver códigos de rechazo concretos si un pago ha fallado porque no se ha aceptado la exención y, por lo tanto, le faltaba autenticación. Tras el pago fallido, se debe volver a enviar la solicitud al cliente y pedirle un paso de autenticación adicional. Los productos para pagos listos para la SCA de Stripe activan automáticamente esta solicitud de autenticación siempre que el banco lo requiera.

Si tu empresa se ve afectada por la SCA, te recomendamos que tengas en marcha un plan alternativo para los casos en que se rechace una exención y tu cliente necesite autenticarse. Esto es especialmente importante si cobras a tus clientes cuando no participan activamente en el proceso de compra (por ejemplo, si se les envían cobros recurrentes por una suscripción) y es posible que deban volver a tu sitio web o aplicación para autenticarse. Consulta nuestra guía sobre el diseño de flujos de pago para la SCA si quieres más información sobre cómo preparar tus pagos para la nueva normativa.

Cómo Stripe te ayuda a cumplir con los requisitos de la autenticación reforzada de clientes

Los cambios que introduce esta nueva normativa afectarán significativamente al comercio por Internet en Europa. Las empresas afectadas que no cumplan estos nuevos requisitos podrían experimentar repercusiones en su tasa de conversión a medida que las reglas de la SCA sigan cambiando en los bancos europeos.

Además de admitir nuevos métodos de autenticación como 3D Secure 2, creemos que optimizar la aplicación de exenciones es un componente fundamental para ofrecer a tus clientes una experiencia de pagos sencilla, agradable y con menos fraude. Nuestros nuevos productos de pagos se optimizan para las distintas normativas, bancos y redes de tarjetas, y aplican exenciones siempre que sea posible para pagos de bajo riesgo, por lo que los pasos adicionales de autenticación solo se activan cuando sea estrictamente necesario. Nuestros modelos de machine learning avanzados también te ayudan a adaptarte a los cambios en las reglas de la SCA.

Próximos cambios

Las entidades reguladoras de la UE y del Reino Unido también están revisando las reglas que darán forma al futuro de la SCA en ambas regiones. La Comisión Europea ha revisado el marco actual de la PSD2 y ha presentado propuestas para una tercera directiva sobre servicios de pago y un reglamento sobre servicios de pago. Stripe ha publicado esta guía en la que se detalla lo que las empresas pueden esperar de las nuevas reglas. Asimismo, seguimos de cerca el progreso de reglas similares en el mercado del Reino Unido.

Aquí tienes más información sobre los productos de Stripe listos para cumplir con la SCA. Si tienes alguna pregunta o comentario, contáctanos.

¿A punto para empezar?

Crea una cuenta y empieza a aceptar pagos: no tendrás que firmar ningún contrato ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros y diseñaremos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos por Internet, en persona y desde cualquier rincón del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.