¿Qué es SCA? Explicación de la autenticación fuerte del cliente

23 de junio de 2022

Introducción

La introducción de protocolos y procedimientos de seguridad en procesamiento de pagos en línea fue un gran paso adelante en seguridad de pago. Sin embargo, por más beneficiosos que sean para la protección de los activos financieros y la información de pago, estos protocolos comenzaron a causar fricciones en la experiencia del usuario (UX).

En 2019, la Unión Europea lanzó el Directiva revisada sobre servicios de pago (PSD2) que incluye un método de autenticación de pago que implica menos fricción. Este método se conoce como autenticación fuerte del cliente.

Descubra cómo funciona la autenticación sólida del cliente y cómo usarla para evitar fraude de pago.

Qué es SCA y cómo funciona la autenticación sólida de clientes

¿Qué es la autenticación sólida de clientes (SCA)?

La autenticación fuerte del cliente (SCA) es un requisito introducido con el Directiva revisada sobre servicios de pago que impone el uso de la autenticación multifactor a las entidades financieras del Espacio Económico Europeo.

La autenticación multifactor tiene como objetivo garantizar que solo el verdadero titular de la tarjeta pueda usar su tarjeta de crédito o débito.

La autenticación fuerte requiere que los titulares de tarjetas verifiquen su identidad proporcionando dos de los siguientes tres identificadores:

  1. Algo de su propiedad (un teléfono móvil o un token de identificación).
  2. Algo que sepan (PIN, contraseña, esquema).
  3. Algo que sea parte de ellos (huella digital o reconocimiento facial).
Autenticación de dos factores

¿Cuándo se usa la autenticación fuerte de clientes?

La autenticación fuerte del cliente se utiliza en las siguientes tres situaciones:

  1. Acceso a una cuenta de pago en línea (el proceso de inicio de sesión en el sitio web o la aplicación móvil de un banco).
  2. Iniciar un pago (pagos presenciales o en línea, también conocidos como transacciones sin tarjeta presente).
  3. Usar un canal remoto para realizar acciones que se consideran un riesgo de fraude de pago (guardar información de pago en un sitio web o en una aplicación).

¿Cómo lograr y mantener el cumplimiento de SCA?

Para cumplir con la SCA, las empresas deben:

  1. Compruebe si SCA se aplica a ellos. La SCA se aplica cuando los bancos de la empresa y del cliente tienen su sede en el Espacio Económico Europeo.
  2. Determinar si su modelo de negocio y las transacciones requieren SCA.
  3. Asegúrese de que su integración sea compatible con 3DS.

Para mantener el cumplimiento de la SCA, las empresas deben mantenerse al día con cualquier cambio o versión más reciente de la Directiva de servicios de pago y comunicarse con sus proveedores de servicios de pago.

Cronología de la SCA

La autenticación sólida de clientes debía estar en pleno efecto el 1 de enero de 2021. Sin embargo, debido a la pandemia, la cantidad de transacciones de comercio electrónico bajo SCA aumentó drásticamente. Eso hizo que los legisladores pospusieran la aplicación de la SCA hasta 2021.

  • PSD lanzado en 2007.
  • El Banco Central Europeo (BCE) emitió recomendaciones sobre la seguridad de los pagos en Internet el 31 de enero de 2013, lo que dio como resultado tres soluciones que luego evolucionarían hacia una autenticación sólida del cliente.
  • Lanzamiento de PSD2 e introducción de autenticación sólida de clientes el 14 de septiembre de 2019.
  • La preparación para que las empresas admitan SCA se espera para el 31 de diciembre de 2020.
  • La Autoridad Bancaria Europea exige la aplicación total de la SCA antes del 1 de enero de 2021.
  • Aplicación total de SCA en los Países Bajos en enero de 2021.
  • Aplicación total de SCA en Alemania en marzo de 2021.
  • Aplicación total de SCA en Italia, Francia y Bélgica en abril de 2021.
  • El comienzo de la aplicación gradual de SCA en el Reino Unido en junio de 2021.
  • Aplicación total de SCA en Irlanda en julio de 2021.
  • Aplicación total de SCA en Suiza en septiembre de 2021.
  • La aplicación total de SCA en el Reino Unido se espera para el 14 de marzo de 2022.

Exenciones de la SCA

No se requiere una autenticación sólida del cliente por parte de los clientes en los siguientes casos:

  • Transacciones de bajo riesgo.
  • Transacciones sin tarjeta por debajo de 30€.
  • Suscripciones de monto fijo.
  • Transacciones iniciadas por comerciantes.
  • Venta telefónica o por correo.
  • Beneficiarios de confianza.
  • Pagos de una pierna.
  • Pagos corporativos.

Nota: Estas excepciones se aplican a los procesadores de pago. Los bancos pueden hacer cumplir la SCA incluso cuando se cumplen las condiciones para una exención.


Los comerciantes deben saber que si solicitan una exención, serán responsables si la transacción resulta ser fraudulenta.

Transacciones de bajo riesgo

Las instituciones financieras, como los bancos y los proveedores de pagos, pueden eximir una transacción de la autenticación sólida del cliente si sus índices de fraude cumplen con las siguientes condiciones:

  • Menos del 0.13% para eximir operaciones inferiores a 100€.
  • Menos del 0.06% para eximir operaciones inferiores a 250€.
  • Menos del 0.01% para eximir operaciones inferiores a 500€.

Nota: Los montos se convierten a la moneda local cuando corresponde.


Durante una transacción, la persona que solicita la transacción (el titular de la tarjeta) se enfrenta a dos instituciones financieras: el procesador de pagos y su banco (el emisor de la tarjeta). La exención de SCA no es aplicable si una de esas dos instituciones financieras tiene una tasa de fraude más alta que la permitida.

Como medida de seguridad adicional, las instituciones financieras pueden realizar análisis de riesgo para determinar con más detalle si se debe aplicar SCA a una transacción.

Transacciones sin tarjeta presente por debajo de 30€

Las transacciones sin tarjeta presente por debajo de 30 € se consideran de bajo valor y generalmente están exentas de SCA. Sin embargo, se aplican algunas excepciones.

Los bancos pueden aplicar SCA si, dentro de las 24 horas, un cliente utiliza esta exención más de cinco veces. El titular de la tarjeta deberá someterse a la SCA si la suma de sus pagos previamente exentos supera los 100 €.

Suscripciones de cantidad fija

Las suscripciones de cantidad fija se consideran seguras porque son pagos recurrentes de una cantidad preautorizada de una persona a la misma empresa.

Es una práctica habitual que las instituciones financieras exijan a la SCA para el pago inicial en procesamiento de suscripción.

Transacciones iniciadas por comerciantes

Las transacciones sin tarjeta presente que utilizan datos de pago almacenados e iniciadas por un comerciante no requieren SCA. Sin embargo, SCA debe aplicarse mientras se guarda la información de la tarjeta o mientras se inicia la primera transacción.


Nota: Los comerciantes no pueden iniciar transacciones hasta que obtengan un permiso por escrito del titular de la tarjeta, también llamado mandato.


A pesar de que una transacción se marque como iniciada por el comerciante, los bancos tienen la última palabra sobre si se aplica SCA.

Ventas telefónicas o por correo

Los datos de la tarjeta recopilados para pedidos por correo y pedidos telefónicos (MOTO) están fuera del alcance de SCA y no necesitan ser autenticados.

A pesar de la elegibilidad para la exención de SCA, los bancos aún toman la decisión final sobre si imponer una autenticación fuerte del cliente.

Beneficiarios de confianza

La lista de beneficiarios de confianza es una lista de empresas o personas de confianza del cliente de un banco. Las transacciones entre un cliente y un beneficiario de confianza están exentas de SCA.

Sin embargo, el cliente debe someterse a SCA antes de agregar una persona física o jurídica a la lista.

Pagos de una pierna (OLO)

Los pagos one leg out (OLO) son transacciones en las que el banco de una empresa o el banco de un cliente tiene su sede fuera del Espacio Económico Europeo o el Reino Unido. Los pagos de OLO están fuera del alcance de SCA.

Pagos Corporativos

Los pagos corporativos están exentos de SCA cuando:

  • La tarjeta corporativa se mantiene directamente con un agente de viajes en línea.
  • Los pagos se realizan con virtual números de tarjeta.

Esta exención no se utiliza con tanta frecuencia como otras debido a su alcance muy limitado (viajes de negocios).

Exenciones SCA y Emisores de Tarjetas

La siguiente tabla muestra los principales emisores de tarjetas en Europa y las excepciones SCA que ofrecen de forma predeterminada. Tenga en cuenta que los bancos pueden aplicar SCA incluso si la red de tarjetas no lo hace.

Pago de bajo valorEvaluación del riesgo de transacciónPago Corporativo SeguroLista de comerciantes de confianza
Visa
Mastercard
American Express✔ *
Club de comensales (DCI)
Tarjetas bancarias

* American Express tiene una lista predefinida de comerciantes de confianza que los usuarios pueden modificar.

Conclusión

La gente no tendría la oportunidad de disfrutar de la comodidad de pagos en línea si no fuera por las medidas de seguridad existentes.

Utilice la información proporcionada en esta guía para brindar la máxima seguridad de pago a sus clientes.

Acerca del autor.
Mirjana Fodora
Mirjana Fodora es escritora técnica con experiencia en diseño y desarrollo web. A pesar de ser uno de los miembros más jóvenes de CCBill, sus habilidades de escritura y aptitud técnica la ayudan a producir contenido fáctico, informativo y fácil de usar. Si no está escribiendo o aprendiendo una nueva habilidad, la encontrará atracándose de fintech y videos de marketing o juegos.
Hable con un especialista en asistencia comercial