Vivimos un momento en el que los pagos sin contacto o a través de Internet están, más que nunca, a la orden del día. Un cambio de hábitos que ha de ir acompañado de un fortalecimiento de la seguridad en las operaciones financieras que afronte el impulso que están teniendo los pagos digitales, como bien señala el Informe de tendencias e innovación en medios de pago elaborado por el Payment Innovation Hub
Y si bien es cierto que pagar con tarjeta, ya sea de manera presencial o a través de Internet, es una actividad segura a día de hoy, en breve se van a implementar nuevas medidas que van a reforzar aún más la seguridad de los pagos.
PSD2, regulación europea para pagos digitales
En 2013, la Comisión Europea comenzó la revisión de la norma PSD (Payment Services Directive) de 2007 para adaptarla a las nuevas necesidades de comercio. Con esta actualización se pretendía reforzar la seguridad del consumidor europeo, los pagos electrónicos e impulsar el desarrollo en innovación de las propias empresas del sector.
En 2015 se aprobaba en la Unión Europea la normativa PSD2, que entró en vigor en España en 2018. Esta aprobación ha dado lugar a un impulso del “open banking” en nuestro país y de figuras innovadoras como los iniciadores y agregadores de pagos.
Además del “open banking”, la PSD2 también incorpora una serie de medidas para aumentar la seguridad en los pagos electrónicos, conocida como Autenticación Reforzada de Cliente (o SCA por sus siglas en inglés). Tras una moratoria, la SCA para pagos con tarjeta en e-commerce deberá estar implementada en su totalidad antes del 1 de enero de 2021. ¿Qué quiere decir esto? Que todos los bancos deberán incorporar una serie de medidas para que los pagos sean aún más seguros y ofrezcan una mayor protección contra el riesgo de fraude.
A su vez, los comercios deberán asegurarse de que su banco adquirente o la compañía que proporciona los servicios de pagos electrónicos activen la tecnología que se adapte a la regulación. De lo contrario, corren el riesgo de que las transacciones sean rechazadas.
SCA, punto vital en la normativa PSD2
Por ejemplo, hasta la implementación de SCA, para realizar una compra con tu tarjeta por Internet solo era necesario introducir un SMS OTP (o contraseña enviada por SMS). A partir del 1 de enero de 2021, un único factor ya no será suficiente y se deberá comprobar la autenticidad del cliente usando al menos 2 de los siguientes 3 factores:
- Conocimiento: Algo que solo sabe el cliente, es decir, una contraseña personal e intransferible o un pin.
- Posesión: Algo que el cliente tiene. Como, por ejemplo, su teléfono móvil al cual enviar un SMS o una notificación en la app bancaria.
- Inherencia (biometría): Algo que es inherente a la persona, como su huella dactilar.
Estos factores se solicitarán siempre que el cliente de una entidad financiera del Espacio Económico Europeo (EEE) haga una transacción en un comercio electrónico adquirido, a su vez, por una entidad también del EEE (sean compras o suscripciones, por ejemplo, en plataformas de contenido por streaming).
Bien es cierto que hay ciertos supuestos en los que una transacción online puede estar exenta de la aplicación de la SCA. Por poner algunos ejemplos: si se efectúa un pago online inferior a 30 euros o si el cliente ha agregado una lista de comercios de confianza, esta autenticación reforzada no se pedirá. En los pagos contactless la excepción es diferente: no se pedirá PIN si el importe es menor de 50 euros, siempre y cuando no se hayan realizado pagos acumulados por un importe de 150 euros.
Visa y su compromiso con la seguridad en las transacciones comerciales
Roble Dorronsoro, Head of Merchant Sales & Acquiring en Visa para el Sur de Europa, ha remarcado lo importante que es esta medida para los comercios y les habla directamente a ellos: "Tienes que asegurarte que tus clientes pueden seguir comprando en tu e-commerce sabiendo que esta normativa entre en vigor el 31 de diciembre de este año (...) Desde Visa, hemos trabajado junto a bancos y empresas de nuestro sector para garantizar que los pagos electrónicos siguen teniendo lugar de manera efectiva cuando la normativa entre en vigor. Sin embargo, y pese a que ésta afecta directamente a las instituciones financieras, los comercios españoles también deben tomar ciertas medidas".
Prosigue: "Los comercios españoles podéis decidir, hasta cierto punto, cómo de ágil será la experiencia de pago para vuestros clientes y asegurar que estos puedan ser aprobados (...) Creemos que la mejor manera de asegurarnos que las transacciones de los clientes cumplen con la regulación es apostar por la tecnología llamada 3-D Secure (3DS). Con esta tecnología, los bancos pueden verificar la identidad del titular de la tarjeta, tú mantienes tus ventas online seguras y evitas las pérdidas por fraude, teniendo un impacto positivo en tu rentabilidad".
Por su parte, Mark Nelsen, Vicepresidente Senior de Open Banking en Visa, comentalos pormenores de la nueva inclusión de la normativa PSD2 y el SCA. Nelsen sabe que “la seguridad es esencial para que el comercio digital exista y prospere, pero también sabemos que tenemos que encontrar el equilibrio entre seguridad y conveniencia” y por ello, Visa, “está introduciendo un nuevo conjunto de soluciones que satisfacen la demanda de los consumidores de seguridad y control de su dinero”, cuyo objetivo no es otro que “minimizar la fricción en la experiencia de compra del consumidor y mejorar la seguridad de pago al mismo tiempo”.
En definitiva, la regulación sobre seguridad (SCA) de la PSD2 sigue en constante evolución y aplicación. Puede que en un futuro cercano no necesitemos siquiera un dispositivo como manera de identificarnos sino, simplemente, usar nuestro propio rostro en las tiendas. Una nueva normalidad supone acoger nuevas normas y directrices para asegurar las transacciones y pagos entre cliente y comercio. Y Visa trabajará con el resto de actores del ecosistema para conseguirlo.
