Autenticación fuerte del cliente: ¿cuáles son las reglas de la nueva directiva PSD2?

Actualidad | 27.03.2019

Impacto de la PSD2 en los pagos recurrentes

En este artículo, queremos hablarte sobre un aspecto de la PSD2 que tiene impacto directo en los comercios: la autenticación fuerte del cliente (o SCA, del inglés, Strong Customer Authentication) en el momento del pago.

A partir del 14 de septiembre de 2019, los comercios deberán adaptarse a la SCA, que tiene como objetivo aumentar la seguridad de los pagos y proteger los datos confidenciales de los consumidores.

¿Cuáles son las características de la SCA?

Para que una autenticación cumpla con los criterios de la directiva PSD2, debe combinar al menos 2 de estos 3 tipos de factores:

Contextualizando, para poder realizar el pago, el usuario deberá tener a mano su móvil (posesión), en el que deberá autenticarse con su huella digital (inherencia).

El método de autenticación segura 3D secure, utilizado para los pagos con tarjeta de crédito, también evolucionará hacia una versión 2.0. Hoy en día, antes de la validación de un pago con tarjeta, la operativa 3-D secure tiene en cuenta dos elementos que son: el número de la tarjeta y el código enviado por SMS al usuario que quiere pagar. A partir del 14 de septiembre, el número de tarjeta ya no se considerará como un factor de autenticación válido, ya que puede ser leído por un intruso o una persona ajena. Por lo tanto, se reemplazará por otro factor que cumpla con los requisitos de la PSD2, como es la biometría (a partir de parámetros relacionados con nuestro cuerpo).

¿En qué casos será aplicable la SCA?

La SCA será obligatoria, ya sea para individuos o profesionales,  en los siguientes casos:

  • Al realizar una consulta de una cuenta bancaria online iniciada por el consumidor o por un AISP (Proveedor de Servicios de Información de Cuenta)
  • Al agregar un beneficiario al espacio de la banca online, ya que esto podría llevar a transacciones fraudulentas
  • Y durante el pago online iniciado por el consumidor o por un PISP (Proveedor de Servicios de Iniciación de pagos)

¿Cuáles son las exenciones de la SCA?

Para los pagos online, la PSD2 ha otorgado ciertas exenciones a excluir a la SCA:

  • Pequeñas cantidades:

Para transacciones menores de 30 euros, con límite en los 100 euros acumulados o hasta 5 pagos consecutivos desde la último SCA. Por encima de 100 euros o más de 5 transacciones no autenticadas, se requiere una nueva SCA.  

  • Transacciones recurrentes de la misma cantidad para el mismo beneficiario:

No se requiere una nueva SCA si la cantidad  y la recurrencia de la suscripción del servicio es exactamente la misma.

  • Pago a un beneficiario de confianza:

El pagador puede declarar beneficiarios de confianza, incluidos en una lista “blanca” en su banco, para quienes no se requiere tener una SCA para cada pago.

  • Transferencias a uno mismo:

La SCA no se aplica cuando se realiza una transferencia a sí mismo, pero solo si ambas cuentas están en manos del mismo banco.

  • Análisis de Riesgo Transaccional (TRA: Transactional Risk Analysis)

Para pagos online de entre 30 y 500 euros, la SCA se puede desactivar gracias a la TRA. Para ello, la tasa de fraude del proveedor de pagos debe cumplir con los siguientes criterios:

  • Transacciones iniciadas por el comerciante (conocidas como MIT: Merchant Initiated Transaction)

Las transacciones MIT están sujetas a la SCA, excepto cuando el cliente firma un mandato. Por ejemplo, en los casos en los que los adeudos directos SEPA que son iniciados por el comerciante tienen un mandato  firmado por el cliente, la SCA no será aplicable y no hay restricciones, independientemente de la frecuencia o de la cantidad.

 

El reto radica en encontrar un buen equilibrio entre la seguridad de los pagos y una experiencia de usuario sin fricción que evite pasos adicionales que podrían afectar a la tasa de conversión.

PSD2 y Pagos inmediatos explicado gráficamente

This post is also available in: English Français

Volver a artículos