Explicación de PSD2 y autenticación fuerte de clientes

Febrero 3, 2022

Introducción

Las API modernas están remodelando el panorama de los servicios de pago. Conceptos innovadores, como comercio sin cabeza y aplicaciones web progresivas, permita a los comerciantes llegar a los clientes en cualquier lugar y en cualquier dispositivo.

Los proveedores de servicios de pago están bajo presión para ofrecer un flujo de pago atractivo y sin fricciones a través de estos nuevos puntos de contacto con los clientes.

PDS2 es una pieza de legislación diseñada para intensificar la competencia y proteger a los clientes y empresas en este mercado acelerado y fragmentado.

Descubra cómo PSD2 afecta a su negocio y use las soluciones listas para SCA de CCBill para mantenerse a la vanguardia.

Autenticación fuerte de cliente PSD2 SCA

¿Qué es PSD2?

La Directiva de servicios de pago revisada (PSD2) es un acto legal que regula los pagos electrónicos dentro del Espacio Económico Europeo (EEE).

La directiva describe los derechos y responsabilidades de los clientes y proveedores de servicios de pago.

Su objetivo es dar a los clientes más control sobre sus datos, fomentar la innovación en la industria de pagos y reducir la actividad fraudulenta.

PSD2 establece reglas con respecto a:

  • Autenticación de pago - Fuerte autenticación del cliente (SCA) ahora es obligatorio para la mayoría de los pagos electrónicos en el Espacio Económico Europeo. Al hacer cumplir la SCA, los reguladores esperan prevenir el fraude, preservar la integridad de los datos del cliente y mitigar posibles disputas.
  • Proveedores de terceros - Los bancos y otras instituciones financieras están obligados a otorgar a los proveedores externos (TPP) acceso a sus API y a los datos financieros de los clientes. Se espera que los TPP de la competencia encabecen la innovación y construyan un ecosistema completamente nuevo en torno a los servicios financieros existentes.
  • Derechos del cliente - Los clientes son libres de elegir entre TPP y decidir qué proveedores pueden acceder a sus datos financieros y con qué fines se utilizan esos datos. La libertad de elección y la transparencia añadida es una oportunidad para empoderar a los clientes y darles más voz sobre cómo se utiliza su información.

La autenticación sólida de clientes (SCA) es uno de los requisitos principales de PSD2.

¿Qué es SCA?

SCA es un conjunto de reglas que los emisores de tarjetas (bancos u otras instituciones financieras) deben cumplir al aprobar una transacción sin tarjeta presente.

Los proveedores de servicios de pago deben verificar la identidad del cliente mediante la autenticación multifactor para garantizar que pagos en línea no puede iniciarse sin el conocimiento del pagador.

Se pide a los clientes que proporcionen al menos dos independientes piezas de información para probar su identidad al pagar en línea.

Cada pieza de información debe obtenerse de una de las siguientes categorías:

  • Conocimiento - Información que solo conoce la persona que realiza el pago, por ejemplo, un PIN o contraseña.
  • Posesión - Un objeto que el cliente posee y al que tiene acceso. El artículo generalmente se usa para iniciar la compra, como una tarjeta de débito/crédito, un token USB, un teléfono inteligente, etc.
  • Inherencia - Un rasgo exclusivo de un individuo, incluidas soluciones biométricas avanzadas como escaneos de huellas dactilares y retina, reconocimiento de voz, etc.

Para admitir SCA, los comerciantes y los procesadores de pago deben capturar y entregar los datos del cliente al emisor de la tarjeta. Necesitan integrar la autenticación multifactor en el flujo de pago.

Los tres elementos de la autenticación sólida de clientes.

El flujo de pago y el proceso de autenticación deben ser seguros, sencillos y no deben interrumpir la experiencia del cliente.

3DS es uno de los protocolos de seguridad más utilizados para la autenticación sólida de clientes.

¿Cómo afecta PSD2 a su negocio?

El emisor de la tarjeta (el banco del cliente) es responsable de aprobar o denegar la transacción según los resultados de la SCA.

Dado que el alcance de PSD2 se limita al Espacio Económico Europeo:

  • Los clientes que paguen en el sitio web de un comerciante europeo con una tarjeta emitida por un banco europeo siempre deben autenticarse mediante SCA. Solo ciertos tipos de transacciones, como transferencias corporativas, pagos de montos pequeños, transacciones recurrentes, etc., están exentos de autenticación.
  • Los clientes europeos que paguen en sitios web no europeos pueden estar sujetos a SCA si el adquirente (banco mercantil) es compatible con SCA.
  • Los clientes de países no europeos, por ejemplo, los clientes de EE. UU., no están sujetos a un control SCA obligatorio incluso si viajan dentro de la UE o pagan en sitios web europeos.
  • Los bancos no europeos no están obligados a utilizar una autenticación sólida de clientes a menos que lo exijan las reglamentaciones locales. Sin embargo, algunos bancos han decidido implementar SCA para verificar transacciones de alto valor u otros pagos que consideran de alto riesgo.

La decisión de implementar una solución SCA depende de dónde esté registrada su empresa y si vende productos y servicios en el mercado europeo:

  1. Los comerciantes europeos que aceptan pagos de clientes europeos deben implementar una solución SCA.
  2. Los comerciantes no europeos, por ejemplo, los comerciantes estadounidenses que desean aceptar pagos de clientes europeos, no están obligados a adoptar SCA, pero se recomienda encarecidamente que lo hagan.
  3. Los comerciantes no europeos que no acepten pagos de clientes europeos no necesitan implementar SCA a menos que lo exijan las leyes locales.

SCA tiene varios beneficios claros:

  • Cambio de responsabilidad - Si el emisor de la tarjeta aprueba una transacción SCA, generalmente acepta la responsabilidad en caso de disputa, como una relacionada con fraude. solicitud de contracargo.
  • Seguridad - La autenticación fuerte existe desde hace muchos años. La tecnología está probada y comprobada. Los clientes en Europa ya están acostumbrados a SCA y aprecian la capa de seguridad adicional.
  • Implementación - Procesadores de pago establecidos, como CCBill, ofrecen soluciones listas para SCA que son fáciles de configurar y requieren actualizaciones mínimas para las aplicaciones y los sistemas del comerciante.

SCA también ha recibido su cuota de críticas:

  • Tasas de abandono más altas - El paso de autenticación adicional ha aumentado las tasas de abandono del carrito. Los comerciantes sienten que los requisitos de SCA conducirán a menores ingresos, independientemente de qué tan bien esté diseñado el flujo de pago.
  • Demasiadas partes móviles - La gran cantidad de participantes en un proceso de pago de SCA dificulta mantener la disponibilidad total del sistema las 24 horas del día, los 7 días de la semana. Un problema técnico en cualquier etapa del proceso de autenticación es un cuello de botella potencial. Por ejemplo, si el operador de telefonía móvil de un cliente no puede entregar una OTP en el plazo requerido, el cliente no podrá completar su compra.

Las API de pago de CCBill y las soluciones listas para SCA están diseñadas para ayudarlo a ajustar sus flujos de pago y cumplir con los requisitos de PSD2.

Solución preparada para CCBill SCA

Los comerciantes saben cuánto tiempo y esfuerzo se necesita para configurar un flujo de pago continuo que se ajuste perfectamente a su modelo de negocio.

Las soluciones de CCBill permiten a los comerciantes para actualizar fácilmente los flujos de pago en sus sitios web y aplicaciones para admitir una fuerte autenticación del cliente.

CCBill ha implementado el protocolo 3DS en todos sus sistemas de pago y cumple totalmente con las regulaciones de PSD2. Cuando se requiere una autenticación sólida, CCBill autentica al cliente mediante una OTP (contraseña de un solo uso), PIN o datos biométricos, según lo que admita el banco del cliente.

Formularios flexibles

El Sistema FlexForms es el entorno fácil de usar de CCBill para diseñar y crear formas y flujos de pago.

Los formularios de pago son totalmente receptivos y reconocen dispositivos, navegadores y la ubicación del cliente para mostrar las opciones de pago óptimas.

FlexForms admite la autenticación 3DS de forma predeterminada. Los comerciantes pueden implementar SCA simplemente colocando un enlace de formulario de pago en su sitio web. No es necesaria ninguna configuración adicional.

El enlace al formulario de pago solo debe colocarse una vez. Los comerciantes no necesitan cambiar los enlaces de pago al modificar un formulario o flujo.

Los clientes son evaluados automáticamente en función de la información que ingresan en el formulario de pago. Si se requiere que el cliente pase un proceso de autenticación fuerte, se le solicita que autorice el pago proporcionando un factor de autenticación adicional, como una OTP.

Caso de uso: Suscripción mensual recurrente

1. Los clientes inician un pago en línea desde un formulario de pago e ingresan la información de su tarjeta, incluido el CVV (posesión).

CCBill FlexForm con 3DS.

2. Si la transacción requiere un SCA, al cliente se le presenta una pantalla para ingresar una OTP (conocimiento) y confirmar que inició la transacción.

Pantalla de autenticación 3DS.

3. La OTP generalmente se envía al teléfono del cliente mediante un SMS o una notificación automática. El número de teléfono está registrado en el banco del cliente.

4. Si el código es correcto, el emisor de la tarjeta (banco del cliente) aprueba la transacción.

El cliente tiene acceso al contenido de pago.

Posterior cargos mensuales recurrentes no requieren autenticación 3DS adicional.

PSD2 en el futuro

Desde que PSD2 entró en vigor en la UE, redujo el fraude y amplió los derechos de los clientes.

Las medidas importantes contra el fraude introducidas por PSD2 incluyen:

  • Los proveedores de servicios de pago deben desarrollar procedimientos claros de resolución de disputas, cumplir con PSD2 y garantizar respuestas rápidas a las quejas de pago de los clientes (dentro de 15 días hábiles en comparación con el requisito regulatorio anterior de 8 semanas).
  • Los pagos realizados en monedas no pertenecientes a la UE y las transacciones en las que uno de los proveedores de servicios de pago no es residente de la UE ahora están regulados por PSD2.
  • El reglamento proporciona un marco legal para un derecho de reembolso incondicional ("sin preguntas") para el débito directo en euros.
  • La cantidad que un cliente no puede recuperar de su proveedor de pago o banco cuando se produce un pago no autorizado se ha reducido de 150 € a 50 €. Esto no se aplica en casos de negligencia grave o fraude del cliente.
  • En las transacciones con tarjeta preautorizadas con un monto final no especificado, el destinatario puede reservar los fondos de la cuenta del pagador solo una vez que el titular de la tarjeta haya ingresado y aprobado el monto total.

Si bien PSD2 sin duda mejora la seguridad en línea, también genera fricciones en los pagos. Los comerciantes están viendo un aumento significativo en las tasas de abandono del carrito. Los proveedores de servicios de pago y los TPP se esfuerzan por desarrollar nuevas herramientas de autenticación multifactor y agilizar el proceso de pago.

Los elementos esenciales de PSD2.

La Autoridad Bancaria Europea se ha adelantado a este problema y exime a ciertas transacciones de la SCA obligatoria. Éstas incluyen:

  • Transacciones recurrentes y suscripciones - clientes recurrentes haciendo pagos regulares de cantidades fijas a empresas de suscripción no tendrá que someterse a SCA cada vez que realice el pago, solo durante el pago inicial.
  • Lista segura de fuentes confiables - Los clientes pueden incluir en una lista segura a los comerciantes en los que confían para que no se aplique la SCA. Los consumidores suelen hacer una lista segura de los comerciantes a los que compran con frecuencia.
  • Pagos contactless por debajo de 50€ - PSD2 no requiere SCA para pagos sin contacto por debajo de 50 €. Sin embargo, la SCA se aplica si un cliente realiza cuatro o más pagos de 50 € seguidos y supera el umbral de 150 €.
  • Transacciones inferiores a 30 € - Toda transacción sin tarjeta presente inferior a 30 € está exenta de SCA. Sin embargo, se requiere SCA en el caso de cuatro o más pagos de 30 € en sucesión, que superan el umbral de 100 €. 
  • Pagos de bajo riesgo - La SCA no es obligatoria si la tasa de fraude del adquirente es inferior al 0.13%, 0.06% y 0.01% para pagos de hasta 100€, 250€ y 500€, respectivamente.
  • Un propietario, más cuentas - Si una persona transfiere fondos de una cuenta de su propiedad a otra, no es necesaria una SCA.

Antes de que se introdujera PSD2, solo los bancos podían manejar datos de cuentas de pago.

Permitir que los AISP (proveedores de servicios de información de cuentas) y los PISP (proveedores de servicios de iniciación de pagos) accedan a los datos financieros de los clientes abrirá los mercados a nuevos jugadores y conducirá a una mayor competencia.

Los comerciantes se beneficiarán de este proceso al obtener acceso a valiosos datos agregados que antes no estaban disponibles.

Conclusión

PSD2 va a dar forma al mercado de pagos electrónicos en la UE en los próximos años. Precipitará nuevos servicios bancarios y de pago y descentralizará la industria de pagos.

No hay duda de que los clientes del mercado europeo serán los principales beneficiarios de esta rápida diversificación de servicios.

Compartir en Etiqueta LinkedIn
Procesamiento de tarjetas de débito: ¿Cómo funciona?
Vladímir Kaplarevic
25 de mayo de 2023
Declive suave versus Declive fuerte: ¿Cuál es la diferencia?
Anastazija Spasojevic
25 de mayo de 2023
PCI DSS 4.0: cambios y cómo cumplir
Anastazija Spasojevic
25 de mayo de 2023
Acerca del autor.
Vladímir Kaplarevic
Vladimir es un redactor técnico residente en CCBill. Tiene más de 8 años de experiencia en la implementación de comercio electrónico y soluciones de pago en línea con varios proveedores de servicios de TI globales. Su atractivo estilo de escritura proporciona consejos prácticos y tiene como objetivo despertar la curiosidad por las tecnologías innovadoras.
Hable con un especialista en asistencia comercial