Noticias y actualizaciones

PSD2 y SCA: todo lo que debes saber

PSD2 es la Directiva Europea de servicios de pago que busca mejorar la seguridad y aumentar la protección contra el fraude de los pagos con tarjeta realizados por Internet llevados a cabo dentro del EEE. Entre sus principales novedades obliga a incluir un sistema de autenticación de dos factores que conocemos como SCA.

24 noviembre, 2020
 ·  7 minutos

LaPSD2es la Directiva Europea de servicios de pago, oPayment Services Directive 2. Se trata de una directiva de ámbito europeo que busca mejorar la seguridad y aumentar la protección contra el fraude de los pagos con tarjeta realizados por Internet llevados a cabo dentro del Espacio Económico Europeo. Entre sus principales novedades obliga a incluir un sistema de autenticación de dos factores o autenticación reforzada. Estaautenticación reforzada la conocemos comoSCA (Strong Customer Authentication) para poder llevar a cabo las transacciones correspondientes.

¿Cuándo deberían entrar en vigor PSD2 y SCA?

La primera directiva a este respecto (PSD) entró en vigor en el año 2007 y posteriormente se actualizó en 2015. La nuevanormativa PSD2o Payment Services Directive 2 debería haber entrado en vigor en septiembre de 2019.

Sin embargo, dada su compleja implementación la Autoridad Bancaria Europea (EBA) decidió aprobar una moratoria el pasado año que se extenderá hasta el 31 de diciembre de 2020. Esta moratoria se dio en la mayoría de los países europeos. A partir de esta fecha, tanto entidades bancarias como comercios deberán incluir laautenticación reforzada SCAen el momento de la transacción.

¿Tienes dudas acerca de SCA?

En este webinar solventamos todas las dudas relacionadas con PSD2, 3D Secure 2 y SCA

Accede al webinar

Autenticación Reforzada de Cliente

El3D Secure 2 (3DS2)y la Autenticación Reforzada del Cliente (SCA) son medidas implementadas por la Directiva PSD2. Permiten verificar la identidad del cliente y abordan los problemas de la versión previa PSD (implementada según el protocolo 3D Secure).

Con el sistema SCA, los usuarios deben utilizar al menos dos elementos de autenticación para garantizar los pagos electrónicos cuando lo solicite el emisor de la tarjeta:

  1. Algo que el cliente tiene: como un ordenador, un dispositivo móvil o un token.
  2. Algo que el cliente sabe: como una contraseña o código temporal.
  3. Algo que el cliente es: mediante biometría o reconocimiento facial.

Por ejemplo, antes de que el banco emisor autorice un pago, el cliente deberá aportar un código de un solo uso temporal. Este código lo recibe en su dispositivo móvil (algo que el cliente tiene) y un pin o contraseña (algo que el cliente sabe).

Esta autenticación reforzada de clientes no solo beneficia a los consumidores sino también a los comercios. Así, se disminuye en gran medida la posibilidad de que se cometan operaciones fraudulentas que le perjudiquen. Además, esta versión 3D Secure 2 permite a los comercios online integrar el proceso de autenticación en el proceso de pago. Esto da lugar a una experiencia de pago más agradable para el cliente.

La intención dePSD2es hacer que SCA sea un requisito para todas las transacciones online con tarjeta bancaria en las que el comprador esté presente. Sin embargo, existen algunas exenciones y, para cualquier transacción determinada, su adquirente puede solicitar la exención que sea más apropiada.

No obstante, es el emisor de la tarjeta el que decidirá cuando es posible aplicar o no estas exenciones. Todas las solicitudes de exención pueden ser denegadas y requerir autenticación. a la SCA

Transacciones en las que no se exige SCA

Algunas transacciones no están cubiertas por la normativa PSD2. El banco emisor no exigirá autenticación reforzada sobre ellas a menos que el comercio lo pida explícitamente. Estas transacciones son las siguientes:

1. Transacciones iniciadas por el comercio (Merchant Initiated Transactions - MIT)

Aquellas transacciones en las que el comprador no esté presente y hayan sido iniciadas por el comercio. siempre que la primera transacción del contrato se haya autenticado a través de SCA. Por ejemplo, las suscripciones, quedan fuera del scope de PSD2.

2. Transacciones MOTO (Mail Order and Telephone Orders)

Los pedidos iniciados por correo y por teléfono no se consideran pagos "electrónicos", por lo que están fuera del alcance de la regulación que exige el SCA.

3. Transacciones interregionales (One leg out)

Los pagos de tarjetas emitidasfuera de Europa se consideran fuera de alcance de PSD2. También pueden ser considerados aquellos pagos realizados fuera de Europa con tarjetas europeas. En estos últimos es posible que se requiera SCA.

Se consideran transacciones interregionales aquellas transacciones en las que o bien el emisor o el comercio se encuentran fuera de los límites del Área Econóica Europea (EEA). Este tipo de transacciones inicialmente están fuera de scope de PSD2, pero el emisor de la tarjeta puede requerir SCA/3DS incluso cuando su país no lo requiera.

4. Tarjetas anónimas

Estas tarjetas solo pueden ser identificadas por los emisores, por ejemplo, tarjetas prepago anónimas.

Exenciones a la SCA

A pesar de que la normativa exige que todas las transacciones pasen por SCA, existen algunas exenciones que se pueden solicitar al emisor y ser aplicables en función del tipo de pago. El emisor tendrá la última palabra a la hora de decidir si la exención es aplicable o no. 

Si el emisor acepta la solicitud de exención, la responsabilidad en caso de fraude recaerá sobre el comercio.

1. Transacciones de bajo valor

Las transacciones de menos de 30 euros pueden estar exentas de SCA. Sin embargo, el banco emisor hará un seguimiento del monto de los pagos realizados. Si la suma total de las cantidades intentadas en la tarjeta desde la última autenticación reforzada es superior a 100 EUR, se requerirá autenticación. También se requerirá cada cinco transacciones. consecutivas desde la misma tarjeta.

2. Transacciones de bajo riesgo - TRA (Transaction Risk Analysis)

Los bancos emisores pueden considerar ciertas transacciones como de bajo riesgo. Para ello, se basan en los niveles de fraude medio del emisor, deladquirienteo de ambos al mismo tiempo. En estos casos, la exención puede pedirla tanto el comercio como el banco emisor.

La responsabilidad en caso de contra cargo recaerá sobre el emisor si fue este quien pidió la exención o sobre el comercio si fue el que la pidió.

3. Whitelisting o Lista blanca

Los compradores pueden asignar empresas a una lista blanca de "Beneficiarios de confianza", que mantiene su banco, siempre que hayan sido autenticados previamente. En caso de que el emisor soporte Listas blancas, las transacciones sucesivas de este cliente en el mismo comercio pueden no requerir SCA.

4. Tarjetas Corporativas

Los pagos realizados por empresas a través de canales corporativos dedicados y no disponibles para el consumidor pueden estar exentos de SCA.

¿Cómo puede ayudarte Adyen ante la llegada de PSD2?

A pocas semanas de la fecha límite es importante tener todo listo para cumplir con la normativa PSD2. Si ya has implementado el protocolo 3DS2 en tu comercio, Adyen se encargará de gestionar la autenticacion.

Siempre aplicaremos 3D Secure si así lo exigen la normativas de autenticación como PSD2. Para mitigar cualquier efecto sobre la conversión, no activaremos 3D Secure para transacciones fuera de alcance de la misma o si el banco emisor no aplica 3D Secure. También manejaremos la solicitud de una exención cuando corresponda.

Si deseas tener más control sobre qué transacciones se procesan con 3D Secure, por ejemplo, si ciertas transacciones son de alto riesgo para su negocio, puede utilizar Dynamic 3D Secure de Adyen. Esto te permite configurar reglas para determinar qué pagos se envían para la autenticación 3D Secure y cuáles prefiere que se procesen sin ellos.

Si tienes más dudas o sientes que todavía no estás listo como comercio para cumplir con esta directiva, no dudes enponerte en contacto con nosotros o en ver este webinar donde uno de nuestros expertos explica qué es PSD2, que es SCA y como Adyen puede ayudarte a implementar todo lo necesario para poder operar acorde a la normativa legal vigente.

¿Sigues teniendo dudas?

Accede al webinar donde te explicamos todo lo recogido en el artículo y mucho más

Ver webinar


Regístrate en nuestra newsletter

Suscríbase a nuestras alertas

Confirmo que he leído la Política de Privacidad de Adyen y estoy de acuerdo con el uso de mis datos.