3D Secure

El 3D secure se experimenta a diario por millones de compradores, mediante tarjetas de crédito o débito. Este protocolo de seguridad es el utilizado tanto por esquemas bancarios como bancos emisores a la hora de autorizar una transacción y añade una capa de seguridad adicional para compras online, lo que reduce drásticamente el fraude.

Desde el punto de vista del consumidor, la experiencia se traduce en una ventana emergente o un input en el que insertar detalles adicionales, tales como una contraseña, unos dígitos que llegan en un SMS o una petición de datos biométricos (huella o cara). La directiva PSD2 permite regular a todo el que use este protocolo e identifica 3 actores principales:

Banco Adquirente:Proveedor de servicios de pagos al vendedor.

Banco Emisor:El banco que ha emitido la tarjeta del comprador.

Esquemas:Provee la infraestructura de conexión entre las dos entidades anteriores.

Para completar una transacción haciendo uso de 3D Secure, los tres dominios deben soportar la misma versión, así como estar preparados y operativos.

En el mercado se reconocen tres versiones del protocolo: 1.0.2, 2.1.0 y 2.2.0:

3D Secure 1.0.2:Esta versión se caracterizaba por sus redirecciones y mala experiencia de usuario. Los compradores eran redirigidos al sitio web del emisor de la tarjeta en la que proporcionaban datos de autentificación adicionales (e.j: una contraseña o un código de verificación por SMS). Distaba de ser la versión óptima, dado que la redirección puede afectar negativamente a las tasas de conversión debido a errores técnicos o a abandonos del pago por no entender el proceso, además se utilizaban contraseñas estáticas de baja seguridad.

3D Secure 2.X.0:En 3D Secure 2, gracias a nuestra experiencia nativa 3DS2 el emisor de la tarjeta realiza la autenticación dentro de la aplicación del comercio, en el mismo formulario de pago. La identidad del comprador se verifica con métodos mas avanzados, lo que se conoce como autenticación reforzada (SCA), que usa datos de autenticación pasiva, biométrica y de dos factores.

Con la llegada del PSD2, esquemas como Visa anunciaron que dejarían de utilizar 3DS1 a partir del 15 de octubre de 2022, fecha tras la cual se han ido sumando el resto de esquemas y bancos emisores.

Estadescontinuacióntiene alcance global e implica que los esquemas declinarán todas aquellas transacciones que se procesen utilizando 3DS1 como protocolo de seguridad, siendo estas rechazadas con diversos códigos de error. Se cuentan limitadas excepciones a esta descontinuación como los mercados de India o Bangladesh.

Esto no será una preocupación para nuestros clientes gracias a la tecnología que hemos desplegado en los últimos años. Adyen cuenta con herramientas robustas que permitirán continuar procesando sin necesidad de realizar modificaciones sobre la integración disponible. Entre estas herramientas, hemos desarrollado 3DS2 por redirección, lo que simula un flujo 3DS1 en el checkout y se usará siempre que no se haya integrado un flujo 3DS2 nativo. A pesar de soportar 3DS2 por redirección, la recomendación para maximizar los ratios de conversión es integrar el flujo 3DS2 nativo.

Siempre se ha visto un gap entre las expectativas de cliente, las necesidades del emisor y la experiencia ofrecida por el adquirente. El comprador espera una experiencia rápida y segura, mientras que el adquirente busca mas negocio y menor riesgo y el emisor necesita controlar su responsabilidad ante el fraude (liability). La idea central de 3DS2 es suavizar el intercambio de información de transacción entre estos tres actores, permitiendo a los comercios prevenirtransacciones fraudulentas y ofreciendo una experiencia de pago mejorada.

3DS2 se ideó para ofrecer a los compradores experiencias de mínima fricción y consistentes, el consumidor que compra por primera vez en un comercio debería tener la misma experiencia de pago que aquel consumidor habitual, permitiendo a los comercios tomar decisiones inteligentes teniendo en cuenta el riesgo de cada transacción.

La versión 2 del protocolo, por lo tanto, se enfoca en resolver los principales problemas de la versión mas legacy, proveyendo autenticaciones basadas en riesgo con una experiencia de usuario integrada y nativa.

Por el momento la versión 3DS2.1 es la más extendida. Se ve sin embargo un movimiento progresivo hacia 3DS2.2, motivado por nuevas funcionalidades como exenciones en Autenticación, gracias a 3RI, Whitelisting y las renombradas “Delegated Authentication” y “Decoupled Authentication”.

Por el momento, la versión 3DS1.0.2 va desapareciendo del mercado en favor de 3DS2.1, que actualmente es la más extendida, y mejora la experiencia de usuario con flujos de fricción reducida, autenticación reforzada, exenciones y una experiencia nativa. Pero la transición a 3DS2.2 es inevitable, esto aportará principalmente nuevas funcionalidades a un protocolo, 3DS2, ya con poca fricción de por si.