Vamos con el segundo asalto relativo a la PSD2, (si no has visto la primera parte te la dejamos por aquí) la que seguramente sea una de las directivas europeas más prolíficas en cuanto a acrónimos. En este artículo, nos centraremos en la otra sigla protagonista, la SCA ¿sabes lo que es? ¿por qué llevamos meses viéndola en todos sitios?
En unas líneas profundizaremos en todo ello, pero antes hagamos juntos un ejercicio de memoria para entrenar el cerebro. Vamos a trasladarnos a nuestra última compra en Internet, ¿ha sido esta semana? ¿el mes pasado? ¿durante Navidad? ¿o fue en el Black Friday?
¿La tienes? Perfecto, ¿recuerdas algo diferente? ¿No? Dale una vuelta a todos los pasos: añadir al carrito, tramitar pedido, método de envío, pago… ¿Nada? Antes de que salga humo, no te preocupes, que lo vieras depende de cuándo realizases esa compra o de su importe. Si no has advertido nada distinto, seguramente realizaste tu compra aún en 2020 y no se había implantado aún la SCA o tu compra cumplía las condiciones para situarse dentro de las excepciones.
¡Estupendo! Tras este intenso calentamiento (mental), ya nos podemos meter en materia.
¿Qué es la SCA?
El acrónimo SCA proviene de Strong Consumer Authentication que, en castellano conocemos como autentificación reforzada.
Se trata quizá de la medida más destacada de la directiva PSD2, con la que desde las instituciones europeas se pretende reducir el fraude en los pagos electrónicos mediante un aumento de la seguridad en el momento de realizarlos.
Para poder dotar de mayor seguridad a las transacciones electrónicas dentro del mercado europeo, en el momento del pago se ha hecho obligatorio implementar un sistema de doble autentificación que debe emplear al menos dos de los tres elementos propuestos por la normativa:
- Elemento de conocimiento: algo que solo conocemos nosotros. Como una contraseña o un código pin.
- Elemento de posesión: algo que tenemos únicamente nosotros. Por ejemplo, nuestro smartphone en el que recibiremos un SMS con un código de un solo uso.
- Elemento inherente: algo que forma parte de nosotros. El reconocimiento de iris, retina o huella dactilar son algunos ejemplos.
Tan o más importantes, son los elementos que se invalidan para autentificar la identidad del usuario al realizar un pago electrónico: las tarjetas de pago y las tarjetas de coordenadas. Las tarjetas de pago se venían empleando tanto como elemento de conocimiento como de posesión solicitando cierta información (número de tarjeta, fecha de caducidad y CVV), con la aplicación de la autentificación reforzada la solicitud de dicha información no computa para la verificación de la identidad del cliente. Lo mismo sucede con las antiguas tarjetas de coordenadas, con la SCA en vigor pedir un código correspondiente a una coordenada concreta no será reconocido como elemento de posesión.
Excepciones a la SCA
Toda prevención es poca y por eso cualquier medida que sirva para incrementar la seguridad es fantástica, pero a veces lastra la experiencia de usuario al añadirle procesos y tiempo a una compra.
Para cuidar ese equilibrio entre experiencia de usuario y seguridad se plantean las siguientes excepciones al sistema de autentificación reforzada:
- Pagos electrónicos hasta 30€.
- Siempre que, desde la última vez que se solicitó la SCA, no se haya acumulado un importe superior a 100€ en este método de pago o no se hayan realizado más de cinco operaciones consecutivas.
- Pagos contactless de importe menor o igual a 50€.
- Siempre que, desde la última vez que se solicitó la SCA, no se haya acumulado un importe superior a 150€ en este método de pago o no se hayan realizado más de cinco operaciones consecutivas.
- Pagos en peajes y parkings no atendidos.
- Suscripciones regulares (Netflix, Amazon Prime…) con el mismo importe y el mismo beneficiario.
- Pagos a beneficiarios de confianza que ha de indicar previamente el cliente.
Las prórrogas de la SCA
La SCA es el motivo por el que la PSD2 continúa acaparando titulares y minutos en los medios de comunicación seis años después de su aprobación. La autentificación reforzada ha sido todo un desafío tecnológico que se ha alargado por su amplio alcance. Este cambio en la operativa no ha afectado únicamente al sector de la banca y las cajas de ahorros sino que también ha repercutido en muchos comercios y negocios que no tenían las herramientas y los recursos para adaptarse al nuevo marco de los servicios de pago.
Por este motivo, el 14 de septiembre de 2019, fecha en que la SCA (junto con el resto de medidas de la PSD2) debía estar completamente implementada, ni en España ni en el resto de Estados miembros de la Unión Europea se instauró la autentificación reforzada para los pagos electrónicos.
Incumplida dicha fecha por la dificultad que entrañaba el desafío marcado, la EBA (Autoridad Bancaria Europea) aceptó conceder un tiempo adicional limitado para adaptarse a esta directriz de la norma PSD2. En ese momento, la banca y el comercio español solicitaba un período de transición de 18 meses (hasta marzo de 2021).
Sin embargo, la EBA se pronunció más tarde y concedió una prórroga hasta el pasado 31 de diciembre de 2020 para implementar de manera efectiva la SCA en toda Europa. Estableciendo así un período de transición de 15 meses.
De esta manera, el período límite para adoptar la autentificación reforzada en los pagos electrónicos coincidió con las campañas del black friday y Navidad (a diferencia de lo que solicitaba el sector del comercio).
Banca electrónica y PSD2
Hasta ahora nos hemos centrado en la SCA para los pagos electrónicos, pero el sistema de autentificación reforzada también se ha aplicado al acceso a la banca online. En este caso, como el resto de medidas de la PSD2 (a excepción de la SCA de los pagos electrónicos, comentada en el punto anterior) se aplica desde el 14 de septiembre de 2019.
La autentificación reforzada en el acceso a la banca electrónica es el motivo por el cual cada 90 días, además de introducir usuario y contraseña (en ordenador) o acceder mediante reconocimiento facial o de huella dactilar (en móvil) se pide un segundo elemento de verificación de identidad tal y como ya hemos visto al definir la SCA.
Hay dos opciones para realizar este segundo paso de la autentificación reforzada:
- El más popular suele ser el envío de un código de validación a través de SMS.
- Aunque hay entidades que lo efectúan mediante el envío de una notificación en la propia app del banco.
Otras directrices de la PSD2 sobre pagos electrónicos
La autentificación reforzada de los pagos online ha sido la medida estrella de la Directiva PSD2, pero existen otra serie de directrices respecto a los pagos electrónicos muy relevantes:
- La responsabilidad ante pagos fraudulentos se reduce a 50 euros. Previamente, en caso de perder la tarjeta y que fuera utilizada sin consentimiento, asumíamos los primeros 150€ hasta notificar el incidente y cancelar la tarjeta.
- Se eliminan los sobrecostes por pagar con tarjeta de débito o crédito. En España, es una práctica que había desaparecido hace algún tiempo, pero en cualquier caso la PSD2 prohíbe estos recargos.
- Simplificación de los pagos electrónicos gracias a los PISP. Debido a los servicios de inicio de pago (Payment Initiation Services Provider) un comercio podrá solicitar directamente al banco que le abone el importe adeudado (siempre que se haya autorizado previamente por el cliente).
- Derecho a la devolución del dinero cuando un pago autorizado no especifique en la autorización su importe correspondiente, o cuando considerando el historial de pagos anteriores, el importe sea superior.
- Generación de un registro público con todas las instituciones de pago autorizadas, para su consulta en caso de duda o desconfianza.
¿Ya has adaptado la parte digital de tu negocio a la SCA? ¿Has instalado en tu tienda virtual la última actualización de Redsys? ¿Ahora solo dispones de métodos de pago alternativos que no requieren SCA?
Desde SDi nos encargamos de mantener tu ecommerce actualizado para que ningún cambio legislativo afecte a tu actividad económica. ¿Tienes alguna duda? Te ayudamos.