PSD2 y SCA: todo lo que debes saber

La PSD2 es la Directiva Europea de servicios de pago, o Payment Services Directive 2. Se trata de una directiva de ámbito europeo que busca mejorar la seguridad y aumentar la protección contra el fraude de los pagos con tarjeta realizados por Internet llevados a cabo dentro del Espacio Económico Europeo. Entre sus principales novedades obliga a incluir un sistema de autenticación de dos factores o autenticación reforzada. Esta autenticación reforzada la conocemos como SCA (Strong Customer Authentication) para poder llevar a cabo las transacciones correspondientes.

La primera directiva a este respecto (PSD) entró en vigor en el año 2007 y posteriormente se actualizó en 2015. La nueva normativa PSD2 o Payment Services Directive 2 debería haber entrado en vigor en septiembre de 2019.

Sin embargo, dada su compleja implementación la Autoridad Bancaria Europea (EBA) decidió aprobar una moratoria el pasado año que se extenderá hasta el 31 de diciembre de 2020. Esta moratoria se dio en la mayoría de los países europeos. A partir de esta fecha, tanto entidades bancarias como comercios deberán incluir la autenticación reforzada SCA en el momento de la transacción.

El 3D Secure 2 (3DS2) y la Autenticación Reforzada del Cliente (SCA) son medidas implementadas por la Directiva PSD2. Permiten verificar la identidad del cliente y abordan los problemas de la versión previa PSD (implementada según el protocolo 3D Secure).

Con el sistema SCA, los usuarios deben utilizar al menos dos elementos de autenticación para garantizar los pagos electrónicos cuando lo solicite el emisor de la tarjeta:

Por ejemplo, antes de que el banco emisor autorice un pago, el cliente deberá aportar un código de un solo uso temporal. Este código lo recibe en su dispositivo móvil (algo que el cliente tiene) y un pin o contraseña (algo que el cliente sabe).

Esta autenticación reforzada de clientes no solo beneficia a los consumidores sino también a los comercios. Así, se disminuye en gran medida la posibilidad de que se cometan operaciones fraudulentas que le perjudiquen. Además, esta versión 3D Secure 2 permite a los comercios online integrar el proceso de autenticación en el proceso de pago. Esto da lugar a una experiencia de pago más agradable para el cliente.

La intención de PSD2 es hacer que SCA sea un requisito para todas las transacciones online con tarjeta bancaria en las que el comprador esté presente. Sin embargo, existen algunas exenciones y, para cualquier transacción determinada, su adquirente puede solicitar la exención que sea más apropiada.

No obstante, es el emisor de la tarjeta el que decidirá cuando es posible aplicar o no estas exenciones. Todas las solicitudes de exención pueden ser denegadas y requerir autenticación. a la SCA

Algunas transacciones no están cubiertas por la normativa PSD2. El banco emisor no exigirá autenticación reforzada sobre ellas a menos que el comercio lo pida explícitamente. Estas transacciones son las siguientes:

Aquellas transacciones en las que el comprador no esté presente y hayan sido iniciadas por el comercio. siempre que la primera transacción del contrato se haya autenticado a través de SCA. Por ejemplo, las suscripciones, quedan fuera del scope de PSD2.

Los pedidos iniciados por correo y por teléfono no se consideran pagos "electrónicos", por lo que están fuera del alcance de la regulación que exige el SCA.

Los pagos de tarjetas emitidas fuera de Europa se consideran fuera de alcance de PSD2. También pueden ser considerados aquellos pagos realizados fuera de Europa con tarjetas europeas. En estos últimos es posible que se requiera SCA.

Se consideran transacciones interregionales aquellas transacciones en las que o bien el emisor o el comercio se encuentran fuera de los límites del Área Econóica Europea (EEA). Este tipo de transacciones inicialmente están fuera de scope de PSD2, pero el emisor de la tarjeta puede requerir SCA/3DS incluso cuando su país no lo requiera.

Estas tarjetas solo pueden ser identificadas por los emisores, por ejemplo, tarjetas prepago anónimas.

A pesar de que la normativa exige que todas las transacciones pasen por SCA, existen algunas exenciones que se pueden solicitar al emisor y ser aplicables en función del tipo de pago. El emisor tendrá la última palabra a la hora de decidir si la exención es aplicable o no. 

Si el emisor acepta la solicitud de exención, la responsabilidad en caso de fraude recaerá sobre el comercio.

Las transacciones de menos de 30 euros pueden estar exentas de SCA. Sin embargo, el banco emisor hará un seguimiento del monto de los pagos realizados. Si la suma total de las cantidades intentadas en la tarjeta desde la última autenticación reforzada es superior a 100 EUR, se requerirá autenticación. También se requerirá cada cinco transacciones. consecutivas desde la misma tarjeta.

Los bancos emisores pueden considerar ciertas transacciones como de bajo riesgo. Para ello, se basan en los niveles de fraude medio del emisor, del adquiriente o de ambos al mismo tiempo. En estos casos, la exención puede pedirla tanto el comercio como el banco emisor.

La responsabilidad en caso de contra cargo recaerá sobre el emisor si fue este quien pidió la exención o sobre el comercio si fue el que la pidió.

Los compradores pueden asignar empresas a una lista blanca de "Beneficiarios de confianza", que mantiene su banco, siempre que hayan sido autenticados previamente. En caso de que el emisor soporte Listas blancas, las transacciones sucesivas de este cliente en el mismo comercio pueden no requerir SCA.

Los pagos realizados por empresas a través de canales corporativos dedicados y no disponibles para el consumidor pueden estar exentos de SCA.

A pocas semanas de la fecha límite es importante tener todo listo para cumplir con la normativa PSD2. Si ya has implementado el protocolo 3DS2 en tu comercio, Adyen se encargará de gestionar la autenticacion.

Siempre aplicaremos 3D Secure si así lo exigen la normativas de autenticación como PSD2. Para mitigar cualquier efecto sobre la conversión, no activaremos 3D Secure para transacciones fuera de alcance de la misma o si el banco emisor no aplica 3D Secure. También manejaremos la solicitud de una exención cuando corresponda.

Si deseas tener más control sobre qué transacciones se procesan con 3D Secure, por ejemplo, si ciertas transacciones son de alto riesgo para su negocio, puede utilizar Dynamic 3D Secure de Adyen. Esto te permite configurar reglas para determinar qué pagos se envían para la autenticación 3D Secure y cuáles prefiere que se procesen sin ellos.

Si tienes más dudas o sientes que todavía no estás listo como comercio para cumplir con esta directiva, no dudes en ponerte en contacto con nosotros o en ver este webinar donde uno de nuestros expertos explica qué es PSD2, que es SCA y como Adyen puede ayudarte a implementar todo lo necesario para poder operar acorde a la normativa legal vigente.