Autenticación reforzada de clientes (SCA)

Todo lo que las empresas de Internet deben saber sobre la nueva normativa europea

  1. Introducción
  2. ¿Qué es la autenticación reforzada de clientes?
    1. ¿Cuándo se requiere la autenticación reforzada de clientes?
    2. Cómo autenticar un pago
    3. Exenciones a la autenticación reforzada de clientes
    4. ¿Qué sucede si falla una exención?
    5. Cómo Stripe te ayuda a cumplir con los requisitos de la autenticación reforzada de clientes

En esta guía, analizaremos con detalle los nuevos requisitos de autenticación reforzada de clientes (SCA, por sus siglas en inglés) y los tipos de pagos que se verán afectados. También te contaremos cómo funcionan las exenciones a las que se podrán acoger las transacciones de bajo riesgo para que puedas ofrecerles a tus clientes una experiencia de compra más sencilla y agradable.

Hemos publicado una guía para ayudarte a elegir en qué momento añadir esta autenticación adicional en el proceso que siguen tus clientes. En esta página te contamos todos los detalles sobre los productos de Stripe que ya están listos para cumplir con los requisitos de autenticación reforzada de clientes.

¿Qué es la autenticación reforzada de clientes?

La autenticación reforzada de clientes (SCA) es un requisito normativo europeo para reducir el fraude y conseguir que los pagos por Internet y con métodos sin contacto sean más seguros. Para aceptar pagos y cumplir con los requisitos de la SCA, tendrás que incorporar un paso de autenticación adicional al flujo de tu checkout. La SCA exige que en la autenticación se utilicen al menos dos de los siguientes tres elementos:

Si quieres leer el texto original de los requisitos de la SCA, puedes consultar las normas técnicas de regulación para la autenticación reforzada de clientes. Los bancos deberán empezar a rechazar pagos que requieran SCA y no cumplan con estos criterios.

¿Cuándo se requiere la autenticación reforzada de clientes?

La autenticación reforzada de clientes se aplica a los pagos en línea y con métodos sin contacto «iniciados por el cliente» en Europa. En la práctica, eso significa que la mayoría de los pagos con tarjeta y todas las transferencias bancarias requieren esa autenticación adicional. Los adeudos directos recurrentes, sin embargo, se consideran «iniciados por el comerciante» y, por lo tanto, no requieren una autenticación reforzada.

En lo que respecta a los pagos con tarjeta por Internet, estos requisitos se aplican a las transacciones en las que tanto la empresa como el banco del titular de la tarjeta se encuentran en el Espacio Económico Europeo (EEE).

Cómo autenticar un pago

Actualmente, la forma más común de autenticar un pago online con tarjeta es a través de 3D Secure, un estándar de autenticación compatible con la gran mayoría de tarjetas europeas. Al aplicar 3D Secure, se añade un paso tras el checkout en el que el banco solicita al titular de la tarjeta que proporcione información adicional para completar el pago (por ejemplo, un código de un solo uso enviado a su teléfono o la autenticación con sus datos biométricos a través de la aplicación móvil de su banco).

3D Secure 2, la nueva versión del protocolo de autenticación que se implementó en 2019, es el método principal para autenticar esos pagos con tarjeta y asegurarse de cumplir con los nuevos requisitos de la SCA. Esta versión ofrece una mejor experiencia de usuario que ayuda a minimizar la fricción que esos pasos adicionales de autenticación añaden al flujo del proceso de compra.

Las transacciones presenciales con tarjeta normalmente cumplen con los requisitos de autenticación pidiendo que se introduzca el código PIN.

Otros métodos de pago que también usan los datos de la tarjeta, como Apple Pay o Google Pay ya admiten flujos de pago con una capa de autenticación integrada (a través de la biometría o de una contraseña propia). Este tipo de métodos de pago son una excelente alternativa para que las empresas puedan ofrecer una experiencia sencilla y agradable en su checkout al tiempo que se aseguran de cumplir los nuevos requisitos.

También esperamos que muchos de los métodos de pago locales más utilizados en Europa, como iDEAL, Bancontact o Multibanco se adapten a la nueva normativa sin grandes cambios en su experiencia de usuario.

Exenciones a la autenticación reforzada de clientes

Bajo esta nueva regulación, algunos tipos de pagos específicos que se consideren de bajo riesgo pueden estar exentos de la autenticación reforzada de clientes. Los proveedores de servicios de pago como Stripe pueden solicitar estas exenciones al procesar el pago. El banco del titular de la tarjeta recibirá la solicitud, evaluará el nivel de riesgo de la transacción y decidirá, en última instancia, si aprueba la exención o si la autenticación sigue siendo necesaria.

Integrar esta autenticación adicional en el flujo de tu checkout añade un paso más al proceso, lo que puede añadir fricción y aumentar el abandono de clientes. Al aplicar exenciones para los pagos de bajo riesgo se reduce la cantidad de veces que es necesaria la autenticación del cliente y, por lo tanto, se reduce la fricción. Hemos diseñado nuestros nuevos productos para pagos listos para cumplir con la SCA para que puedas aprovechar las exenciones siempre que sea posible y así proteger tu conversión.

Estas son algunas de las exenciones más relevantes para las empresas de Internet:

Transacciones de bajo riesgo

Un proveedor de pagos (como Stripe) puede realizar un análisis de riesgo en tiempo real para determinar si aplica la autenticación reforzada de clientes a una transacción. Para ello, también es necesario que las tasas de fraude para pagos con tarjeta del proveedor de pagos o del banco no superen los siguientes umbrales:

  • 0,13 % para que las transacciones por debajo de 100 € queden exentas
  • 0,06 % para que las transacciones por debajo de 250 € queden exentas
  • 0,01 % para que las transacciones por debajo de 500 € queden exentas

Estos umbrales se convertirán a la divisa local cuando sea pertinente.

En los casos en los que la tasa de fraude del proveedor de pagos sí esté por debajo del umbral, pero la del banco lo supere, se espera que el banco rechace la exención y requiera autenticación.

Esta exención es una de las más útiles para las empresas y una de las más aceptadas por los bancos. Stripe Radar ofrece una evaluación de riesgos muy completa y en tiempo real que nos permite aplicar este tipo de exenciones para nuestros usuarios.

Pagos por debajo de 30 €

Esta es otra exención que se puede aplicar a pagos de un importe bajo. Las transacciones por debajo de 30 € se consideran de «bajo valor» y pueden estar exentas de SCA. Sin embargo, los bancos deberán solicitar la autenticación reforzada si la exención ya se ha utilizado cinco veces desde la última autenticación o si la suma de los pagos exentos supera los 100 €. El banco del titular de la tarjeta es el encargado de realizar el seguimiento del número de veces que se ha aplicado la exención y de decidir si la autenticación es necesaria.

Debido a las estrictas limitaciones de esta exención, la exención para las transacciones de bajo riesgo será más relevante para la mayoría de los pagos. No obstante, admitiremos esta exención para nuestros usuarios.

Suscripciones con importes fijos

Esta exención puede aplicarse cuando el cliente realiza una serie de pagos recurrentes de un mismo importe y a una misma empresa. El primer pago sí se verá sujeto a la SCA, pero los cargos posteriores podrían estar exentos de esa autenticación adicional.

Esta exención la acepta la gran mayoría de bancos europeos y debería ser de gran utilidad para las empresas que ofrecen suscripciones, así que decidimos habilitarla para los usuarios de Stripe. Si usas Stripe Billing para crear suscripciones, aplicaremos automáticamente esta exención siempre que sea posible y ayudaremos a gestionar las solicitudes de autenticación en caso de que el banco la requiera.

Transacciones iniciadas por el comerciante (para importes fijos o variables)

Los pagos que se realizan con los datos de tarjetas guardadas cuando el cliente no está presente en el flujo del proceso de compra (lo que se conoce como un pago «fuera de sesión» o con el vocablo inglés «off-session») pueden considerarse como «transacciones iniciadas por el comerciante». Aunque, en teoría, estos pagos quedan fuera del alcance de la SCA, en la práctica, marcar un pago como una «transacción iniciada por el comerciante» será similar a solicitar una exención. Por lo tanto, como con cualquier otra exención, el banco seguirá pudiendo decidir si la transacción requiere autenticación adicional.

Para poder marcar una transacción como «iniciada por el comerciante», deberás haber autenticado los datos de la tarjeta cuando se hayan introducido o en el momento del primer pago. También deberás obtener el permiso del cliente (lo que se conoce como un «mandato») para efectuar cargos en su tarjeta más adelante.

Este es un caso de uso imprescindible para los modelos de negocio que trabajan con pagos aplazados, cobran suscripciones de importes variables o suelen añadir cargos adicionales a sus facturas. La mayoría de bancos europeos aceptan esta exención si consideran que la transacción es de bajo riesgo.

La nueva API de Stripe te permite autenticar una tarjeta cuando se guardan sus datos y marcar los futuros pagos como «transacciones iniciadas por el comerciante».

Beneficiarios de confianza

Tras autenticar un pago, los clientes pueden tener la opción de añadir el negocio a su lista de «beneficiarios de confianza» para no tener que autenticar compras futuras. Aunque los negocios los elige el cliente, esta lista de «beneficiarios de confianza» debe guardarla su banco o el proveedor de servicios de pago.

Si bien estas listas de «beneficiarios de confianza» pueden conseguir que las compras recurrentes o las suscripciones sean mucho más cómodas para los clientes, los bancos han empezado a adoptar esta función muy lentamente. Aun así, en los casos en los que se encuentre disponible esta exención, la habilitaremos para nuestros usuarios.

Ventas telefónicas

Los datos de tarjetas recopilados por teléfono quedan fuera del alcance de la SCA y no requieren autenticación. Este tipo de pagos suelen incluirse en la categoría de «pedidos telefónicos y pedidos por correo» (o MOTO, por sus siglas en inglés). Su funcionamiento, sin embargo, es muy similar al de las exenciones: las transacciones MOTO deben ser identificadas como tales, y el banco del titular de la tarjeta es el encargado de tomar la decisión de aceptar o rechazar la transacción.

Este es un caso de uso que ya recoge la mayoría de los bancos y muy importante para cualquier empresa que acepte pagos por teléfono. Los pagos que se creen directamente desde el Dashboard de Stripe se marcarán de forma automática como pagos MOTO.

Si tu empresa cumple con la normativa PCI y has creado tu propio sistema para aceptar pedidos por teléfono, nuestras nuevas API de pagos te permitirán marcar un pago como MOTO. Contáctanos para habilitar esta función en tu cuenta de Stripe y acceder a la documentación técnica.

Pagos corporativos

Esta exención se aplica a pagos con tarjetas emitidas específicamente para los gastos de viaje de una empresa (por ejemplo, una tarjeta corporativa gestionada directamente por un agente de viajes y que se usa para administrar los gastos de viaje de los empleados) y a pagos realizados con tarjetas virtuales (que también se usan en el sector turístico).

El alcance de esta exención es muy limitado por lo que prevemos que tenga poco uso fuera del sector de los viajes. Esta exención solo la puede solicitar el banco del titular de la tarjeta, ya que ni la empresa que recibe el pago ni los proveedores de servicios de pago (como Stripe) pueden detectar si una tarjeta pertenece a esta categoría.

¿Qué sucede si falla una exención?

Si bien las exenciones pueden ser muy útiles, es importante recordar que el banco del titular de la tarjeta es quien tiene la última palabra sobre si acepta o no una exención. Los bancos pueden devolver nuevos códigos de rechazo si un pago ha fallado debido a la falta de autenticación. Tras el pago fallido, se debe volver a enviar la solicitud al cliente y pedirle un paso de autenticación adicional. Los productos para pagos listos para la SCA de Stripe activan automáticamente esta solicitud de autenticación siempre que el banco lo requiera.

Si tu empresa se ve afectada por la SCA, te recomendamos que tengas en marcha un plan alternativo para los casos en que se rechace una exención y tu cliente necesite autenticarse. Esto es especialmente importante si cobras a tus clientes cuando no participan activamente en el proceso de compra (por ejemplo, si se les envían cobros recurrentes por una suscripción) y es posible que deban volver a tu sitio web o aplicación para autenticarse. Consulta nuestra guía sobre el diseño de flujos de pago para la SCA si quieres más información sobre cómo preparar tus pagos para la nueva normativa.

Cómo Stripe te ayuda a cumplir con los requisitos de la autenticación reforzada de clientes

Los cambios que introduce esta nueva normativa afectarán significativamente al comercio por Internet en Europa. Las empresas afectadas que no se hayan preparado para estos nuevos requisitos podrían experimentar una fuerte caída en su tasa de conversión a medida que los bancos europeos aumenten la aplicación de la SCA.

Además de admitir nuevos métodos de autenticación como 3D Secure 2, creemos que optimizar la aplicación de exenciones es un componente fundamental para ofrecerles una experiencia de pagos sencilla y agradable a tus clientes. Nuestros nuevos productos de pagos se optimizan para las distintas normativas, bancos y redes de tarjetas, y aplican exenciones siempre que sea posible para pagos de bajo riesgo, por lo que los pasos adicionales de autenticación solo se activan cuando sea estrictamente necesario. Por supuesto, a medida que estas reglas cambien, mantendremos y actualizaremos en tiempo real nuestra lógica de SCA para seguir los cronogramas de cumplimiento de la normativa en cada país.

Hemos lanzado una nueva API de pagos que utiliza la lógica de SCA de Stripe para aplicar las exenciones adecuadas y activar 3D Secure solo cuando sea necesario. Tanto Stripe Billing como nuestro nuevo Stripe Checkout están fundamentados en esta API y pueden aplicar 3D Secure de forma dinámica siempre que se requiera.

Aquí tienes más información sobre los productos de Stripe listos para cumplir con la SCA. Si tienes alguna pregunta o comentario, contáctanos.

¿A punto para empezar? Contáctanos o crea una cuenta.

Crea una cuenta y empieza a aceptar pagos, sin necesidad de contratos ni datos bancarios. Si lo prefieres, puedes contactar con nuestro equipo y diseñaremos un paquete personalizado para tu empresa.