Autenticación reforzada de clientes (SCA)

Todo lo que las empresas de Internet deben saber sobre la normativa europea

  1. Introducción
  2. ¿Qué es la autenticación reforzada de clientes?
    1. ¿Cuándo se requiere la autenticación reforzada de clientes?
    2. Cómo autenticar un pago con tarjeta
    3. Forma en que se asigna la responsabilidad en relación con las disputas por fraude en el contexto de 3DS
    4. Exenciones a la autenticación reforzada de clientes
    5. ¿Qué sucede si falla una exención?
    6. Cómo Stripe te ayuda a cumplir los requisitos de la autenticación reforzada de clientes
    7. Próximos cambios

En esta guía, analizaremos más detenidamente los requisitos europeos conocidos como «autenticación reforzada de clientes» (SCA) que la Segunda Directiva de Servicios de Pago (PSD2) impuso y los tipos de pago que se verán afectados. También contemplaremos las exenciones disponibles que se pueden solicitar en nombre de las empresas para ofrecer una experiencia de proceso de compra sin fricciones.

También hemos publicado una guía para ayudarte a identificar cuándo debes agregar la autenticación en el recorrido del cliente y una guía sobre cómo prepararte para cumplir con la Tercera Directiva de Servicios de Pago (PSD3). Visita nuestro sitio para obtener más información sobre los productos de Stripe listos para SCA.

¿Qué es la autenticación reforzada de clientes?

La autenticación reforzada de clientes (SCA) es un requisito normativo europeo para reducir el fraude y conseguir que los pagos por Internet y de los pagos con métodos sin contacto sean más seguros. Para aceptar pagos y cumplir con los requisitos de la SCA, tendrás que incorporar un paso adicional a tu proceso de compra. La SCA exige que en la autenticación se utilicen al menos dos de los siguientes tres elementos:

Si quieres leer el texto original de los requisitos de la SCA, puedes consultar las normas técnicas de regulación para la autenticación reforzada de clientes. Los bancos deberán rechazar pagos que requieran SCA y no cumplan con estos criterios.

¿Cuándo se requiere la autenticación reforzada de clientes?

La autenticación reforzada de clientes se aplica a los pagos electrónicos y fuera de línea sin contacto «iniciados por el cliente» dentro del Reino Unido y Europa. Todos los pagos electrónicos (es decir, pagos con tarjeta y transferencias bancarias) requieren la SCA, salvo que se pueda aplicar una exención o la transacción se considere fuera de alcance de dicha SCA (por ejemplo, las transacciones iniciadas por el comerciante, como el débito directo).

Para los pagos electrónicos con tarjeta, estos requisitos rigen para las transacciones en las cuales la empresa y el banco del titular de la tarjeta se encuentran ubicados en el Espacio Económico Europeo (EEE).

Cómo autenticar un pago con tarjeta

Actualmente, la forma más común de autenticación de pagos electrónicos con tarjeta se basa en 3D Secure, un estándar de autenticación compatible con la gran mayoría de las tarjetas europeas. Por lo general, la aplicación de 3D Secure añade un paso adicional después del proceso de compra en el cual el banco solicita al titular de la tarjeta que proporcione información adicional para completar el pago (por ejemplo, un código único enviado a su teléfono o una autenticación por huella digital a través de la aplicación móvil del banco).

3D Secure 2 será el método principal para autenticar los pagos electrónicos con tarjeta y cumplir con los requisitos de la SCA.

Normalmente, las transacciones con tarjeta fuera de línea cumplen los requisitos de autenticación con el ingreso de un código PIN. Otros métodos de pago con tarjeta, como Apple Pay o Google Pay, ya admiten flujos de pago con una capa de autenticación integrada (biométrica o con contraseña). Estas pueden ser una excelente vía para que las empresas cumplan con los nuevos requisitos y ofrezcan a la vez una experiencia de proceso de compra sin fricciones.

Forma en que se asigna la responsabilidad en relación con las disputas por fraude en el contexto de 3DS

Uno de los beneficios de aplicar la SCA en los casos en que la autenticación de múltiples factores sea exitosa es que las empresas pueden acceder a la protección contra la responsabilidad que generan las disputas por fraude.

Exenciones a la autenticación reforzada de clientes

No todos los pagos se encuentran dentro del alcance de la autenticación de múltiples factores en virtud de la SCA. Algunos pueden reunir los requisitos para acceder a alguna exención que otorgue la normativa; otros están fuera del alcance de aplicación de la SCA. En los casos en que el banco del titular de la tarjeta solicite y acepte la exención, la empresa sigue siendo responsable de las disputas por fraude.

Los proveedores de servicios de pago como Stripe pueden solicitar exenciones al momento de procesar el pago. El banco del titular de la tarjeta recibirá la solicitud, evaluará el nivel de riesgo de la transacción y, en última instancia, decidirá si aprueba la exención o si la autenticación sigue siendo necesaria. Gracias a las exenciones para pagos de bajo riesgo, se puede reducir la cantidad de veces que el cliente debe autenticarse y, de ese modo, reducir también las fricciones y la pérdida de clientes.

Stripe usa el machine learning para determinar la exención óptima en cada caso a fin de ayudarte a brindar a los clientes la experiencia de proceso de compra más efectiva posible. Hemos diseñado nuestros nuevos productos destinados a los pagos listos para SCA para que puedas aprovechar las exenciones cuando sea posible y así proteger tu conversión.

Las exenciones más importantes para las empresas que aceptan pagos electrónicos son las siguientes:

Transacciones de bajo riesgo

Un proveedor de servicios de pagos (como Stripe) puede realizar un análisis de riesgo en tiempo real, conocido como Análisis de Riesgos de Transacción (TRA), para determinar si aplica la SCA a una transacción. La aplicación de esta exención solo es posible si las tasas generales de fraude del proveedor asociadas con los pagos con tarjeta no superan los siguientes umbrales:

  • 0.13 % para que las transacciones con un importe inferior a €100/£85 estén exentas
  • 0.06 % para que las transacciones con un importe inferior a €250/£220 estén exentas
  • 0.01 % para que las transacciones con un importe inferior a €500/£440 estén exentas

Estos umbrales se convertirán a importes equivalentes en la moneda local cuando sea pertinente.

Esta exención es una de las más útiles para las empresas y una de las más aceptadas por los bancos. La evaluación de riesgos integral y en tiempo real de Stripe Radar nos permite aceptar esta exención para nuestros usuarios.

Pagos por debajo de €30/£25

Los pagos con importes bajos también pueden resultar exentos. Las transacciones por debajo de €30 o £25 se consideran de «valor bajo» y pueden eximirse de la SCA. Sin embargo, los bancos deben solicitar la autenticación si la exención se ha utilizado cinco veces desde la última autenticación efectuada con éxito del titular de la tarjeta o si la suma de los pagos previamente exentos supera los €100/£85. El banco del titular de la tarjeta debe realizar un seguimiento del número de veces que se ha utilizado esta exención y decidir si la autenticación es necesaria.

Debido a las estrictas limitaciones de esta exención, es posible que no sea importante para muchos pagos. No obstante, admitiremos esta exención para nuestros usuarios.

Transacciones recurrentes

Esta exención puede aplicarse cuando el cliente efectúa una serie de pagos recurrentes por el mismo importe, a la misma empresa. Se requerirá la SCA para el primer pago, mientras que los cargos posteriores podrán ser eximidos de la autenticación.

Esta exención es muy útil para las empresas que ofrecen suscripciones y es aceptada ampliamente por los bancos europeos. Si estás usando Stripe Billing para crear suscripciones, aplicaremos automáticamente esta exención cuando corresponda y ayudaremos a gestionar las solicitudes de autenticación en caso de que el banco del cliente la rechace.

Transacciones iniciadas por el comerciante (incluidas las suscripciones variables)

Los pagos efectuados con tarjetas guardadas sin la presencia del cliente en el flujo de pago (lo que se conoce como «fuera de sesión») pueden considerarse como transacciones iniciadas por el comerciante. Estos pagos quedan técnicamente fuera del alcance de la SCA. En la práctica, marcar un pago como una «transacción iniciada por el comerciante» será similar a solicitar una exención. Y como con cualquier otra exención, el banco será el que decida si se necesita autenticación para la transacción.

Para utilizar transacciones iniciadas por el comerciante, debes autenticar la tarjeta en el momento de guardarla por primera vez o al hacer el primer pago. Por último, debes obtener el consentimiento del cliente (también llamado «mandato») para poder debitar fondos de su tarjeta más adelante.

Se trata de un caso de uso fundamental para los modelos de negocio que dependen de pagos atrasados, cobran suscripciones con importes variables o facturan complementos. Es admitido por la mayoría de los bancos europeos y aceptado en el caso de que el banco considere que la transacción es de bajo riesgo.

La API de Stripe te permite autenticar una tarjeta que se guarda para ser usada posteriormente y marcar los pagos subsiguientes como «transacciones iniciadas por el comerciante». Es importante que las empresas usen las API más recientes de Stripe a fin de garantizar la preparación para la SCA.

Ventas telefónicas (MOTO)

Los datos de la tarjeta recopilados por teléfono quedan fuera del alcance de la SCA y no requieren autenticación. Este tipo de pagos a veces se denominan «pedido telefónico/por correo» (MOTO). Tal como ocurre con los pagos exentos, las transacciones MOTO deben marcarse como tales, y el banco del titular de la tarjeta tomará la decisión final de aceptar o rechazar la transacción.

Este es un caso de uso importante para cualquier empresa que acepte pagos por teléfono y con amplia aceptación de los bancos. Los pagos creados a través del Dashboard de Stripe se pueden marcar automáticamente como pagos MOTO para este caso de uso.

Si tu empresa cumple con la normativa PCI y has creado tu propio sistema para aceptar pedidos por teléfono, nuestras nuevas API de pagos te permitirán marcar un pago como MOTO. Ponte en contacto con nosotros para habilitar esta función en tu cuenta de Stripe y acceder a la documentación técnica.

Pagos corporativos

Esta exención se aplica para pagos efectuados con tarjetas «alojadas» (es decir, tarjetas corporativas para gastos de viaje de los empleados gestionadas directamente por agentes de viaje en línea) y los pagos corporativos efectuados con tarjetas virtuales (también utilizadas en el sector turístico).

Esta exención tiene poco uso práctico fuera del sector de viajes debido a que su alcance es muy limitado. La exención misma solo puede ser solicitada por el banco del titular de la tarjeta, ya que ni la empresa ni los proveedores de servicios de pago (como Stripe) pueden detectar si una tarjeta pertenece a estas categorías.

Beneficiarios de confianza

Al completar la autenticación de un pago, los clientes tienen la opción de agregar las empresas de su confianza a una lista de permitidos para no tener que autenticar compras futuras. Luego, estas empresas se incluyen en una lista de «beneficiarios de confianza» que guarda el banco del cliente o el proveedor de servicios de pago.

Si bien el agregado a una lista de permitidos les simplifica las compras repetidas o las suscripciones a los clientes, hasta ahora la adopción de esta función entre los bancos ha sido escasa.

¿Qué sucede si falla una exención?

Si bien las exenciones pueden ser muy útiles, es importante recordar que el banco del titular de la tarjeta es el que decide en última instancia si una exención se acepta o no. Los bancos pueden presentar códigos específicos de rechazo en el caso de los pagos que no puedan concretarse debido a que la exención no fue aceptada y a que, como consecuencia, la autenticación de ese pago se encuentra faltante. Luego, estos pagos deben volver a enviarse al cliente junto con una solicitud de autenticación reforzada de clientes. Los productos listos para SCA de Stripe automáticamente activan esta autenticación extra cuando así lo requieren los bancos.

Si tu empresa se ve afectada por la SCA, te recomendamos que prepares una alternativa en caso de que se rechace una exención y tu cliente deba completar la autenticación. Esto es muy importante si cobras sin la participación activa del cliente en el flujo de compra (es decir, si está fuera de sesión) y si dicho cliente debe regresar al sitio web o aplicación para completar la autenticación. Consulta nuestra guía sobre el diseño de flujos de pago para SCA a fin de obtener más información.

Cómo Stripe te ayuda a cumplir los requisitos de la autenticación reforzada de clientes

Los cambios introducidos por esta nueva normativa afectan en gran medida al comercio en línea europeo. Las empresas afectadas que no cumplen con estos requisitos podrían ver afectadas sus tasas de conversión a medida que las reglas de la SCA siguen evolucionando en los bancos europeos.

Además de admitir métodos de autenticación como 3D Secure 2, creemos que la gestión eficaz de las exenciones es un componente clave para crear una experiencia de pagos optimizada que reduzca el fraude y también minimice la fricción para los clientes. Nuestros productos de pagos han sido optimizados en función de las diferentes disposiciones normativas, bancarias y de las redes de tarjetas, y aplican las exenciones correspondientes para pagos de bajo riesgo, de modo que la autenticación con 3D Secure solo se activará cuando sea necesario. Nuestros modelos de machine learning avanzados también te ayudan a adaptar tu empresa a los cambios en las reglas de la SCA.

Próximos cambios

Las entidades reguladoras de la Unión Europea y el Reino Unido también trabajan en la revisión de las reglas que le darán forma al futuro de la SCA en ambas regiones. La Comisión Europea revisó el marco actual de la PSD2 y propuso cambios para la Tercera Directiva de Servicios de Pago y el Reglamento de servicios de pago. Stripe publicó esta guía que detalla cómo las nuevas reglas pueden afectar a las empresas. Además, supervisaremos de cerca el progreso de reglas similares en el mercado del Reino Unido.

Más información sobre los productos de Stripe listos para SCA. Si tienes alguna pregunta o comentario, contáctanos.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos en línea y en persona desde cualquier parte del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.