¿Qué es la PSD2/SCA y cuándo empezará a aplicarse?

Evolución de las búsquedas sobre viajes durante los últimos meses
27 octubre, 2020
Modelo de contrato de alquiler vacacional o vivienda turística
4 noviembre, 2020

¿Qué es la PSD2/SCA y cuándo empezará a aplicarse?

La nueva normativa europea sobre servicios de pago PSD2/SCA está a la vuelta de la esquina. La PSD2/SCA supone un importante cambio en las reglas que rigen los pagos on-line. Encontraremos mayor seguridad, pero, en ese proceso, se generarán mayores fricciones o dificultades a la hora de gestionar ciertos flujos de cobro que ahora operan muy fácilmente. Por tanto, te afecta, nos afecta, así que ¡manos a la obra!

Desde AvaiBook estamos trabajando para adaptar nuestros sistemas a la nueva normativa y ofrecerte toda la información que necesitas de forma clara y fácil de entender. Este es el primer artículo de una serie que pretende explicar en profundidad en qué consiste esta nueva normativa, así que permanece atento a las siguientes publicaciones. De momento, en el artículo de hoy conoceremos sus aspectos básicos.

 

¿Qué es PSD2 y SCA?

PSD2 son las siglas correspondientes a Payment Service Directive 2, una directiva europea vigente que cubre un amplio abanico de normativas relativas a servicios de pagos.

Una de sus normas que más impacto tendrá en el comercio electrónico es la SCA (Strong Customer Authentication o autenticación reforzada). Esta obliga a autenticar todas las transacciones de compras on-line europeas o, lo que es lo mismo, a ser procesadas como “3D Secure reforzado”.

El objetivo principal de esta normativa es mejorar la seguridad de las compras que se realizan por internet. Sin embargo, también traerá otros efectos, como el aumento de la fricción en los pagos, una pérdida en la conversión, y ciertos cambios en la operativa de todos los entornos que tengan pagos on-line.

En adelante nos referiremos a PSD2 o SCA indistintamente, aunque SCA es una parte de PSD2, para entendernos de forma más sencilla.

 

Ámbito y fecha de aplicación

PSD2/SCA aplica a los pagos on-line en los que tanto el pagador como el “cobrador” (comercio) estén dentro del Espacio Económico Europeo (EEE). Esta directiva ha de ser aplicada por los Bancos Centrales de cada país del EEE. Y existen diferentes planes de implantación en ciertos países miembros, aunque en la mayoría, incluidos España, Italia y Portugal, la fecha de aplicación será el 1 de enero de 2021. No obstante, conocemos que en Francia y en Alemania se hará el 14 y el 15 de marzo respectivamente, y en UK el 14 de septiembre de 2021.

 

¿Qué es “3D Secure reforzado”?

La SCA afectará principalmente a la forma en cómo se autenticarán los compradores (pagadores), puesto que exige que todas las transacciones eCommerce europeas estén autenticadas con dos de estos tres factores:

 

 

Esto obliga a la industria de pagos a desarrollar e implementar una nueva versión de 3D Secure, la llamada “3D Secure 2”, que cumpla con la SCA asegurando esta “autenticación reforzada”.

 

De esta forma, y explicado de la forma más simple y resumida posible, a partir del 1 de enero de 2021 cambia la normativa que rige los pagos on-line. Esta normativa obliga a autenticar de forma reforzada (SCA), es decir, con 3DSecure 2, los pagos on-line dentro de EEE. Para pagos “no presenciales” se establecen ciertas excepciones.

 

Conceptos de Pagos Autenticados o No Autenticados que deberías conocer

  • Un pago sin autenticar, sin “3D Secure”, es un pago on-line efectuado únicamente a través de la introducción de los datos de tarjeta (número de tarjeta, caducidad, CVC/CVV) o, incluso, sin este paso porque el sistema tenía dichos datos previamente guardados. Es el más utilizado para realizar cargos programados o “no presenciales”, como pueden ser, por ejemplo, cuotas de suscripción o pagos de reservas a través de ciertas plataformas. Es el tipo de pago más rápido, más sencillo y con mayor conversión, pues es el que menos fricción genera al pagador. Sin embargo, también se considera el más peligroso, pues no cuenta con verificaciones adicionales. De esta forma, cualquier persona podría utilizar la tarjeta en caso de que se efectuase un robo.
  • Un pago autenticado, o por “3D Secure”, es un pago on-line que requiere de una autenticación adicional además de los datos propios de la tarjeta. El método varía en función de cada banco, y puede ir desde un SMS a tu teléfono móvil hasta una clave, coordenada específica o token generado con una app móvil. Es más lento y genera peor conversión pues requiere de más pasos y experimenta mayores fricciones -el usuario no recuerda la clave o no dispone de la tarjeta de coordenadas encima en ese momento, por ejemplo-. Es más seguro, no obstante, aunque no permite programar pagos ni emitirlos de manera no presencial.
  • Un pago autenticado de forma reforzada, o “3D Secure 2”, pretende cumplir con las mismas características que el pago autenticado, aunque aportando una mayor seguridad a través de métodos de verificación más sólidos. Los emisores de tarjetas del entorno EEE ya están adaptando sus sistemas técnicos para poder soportarlo antes de la fecha límite, así que es probable que ya hayas recibido alguna notificación al respecto.

 

Excepciones

NO están sujetos a SCA:

  • Pagos realizados por tarjetas emitidas fuera del Espacio Económico Europeo (+UK)
  • MOTO: Operaciones en las que el pago se ha iniciado por teléfono o correo. 
  • COR: Pagos realizados por Tarjetas Prepago-Anónimas.
  • MIT (Merchant Initiated Transactions): operaciones iniciadas solo por el comercio (el pagador está “ausente” en el proceso de pago) y, siempre y cuando, haya un acuerdo preexistente entre comercio y comprador. Es requerida una autenticación SCA en el pago inicial, en la primera compra.

Algunas de estas exenciones influirán en las adaptaciones sobre el uso habitual que hacemos en el ámbito turístico; recuérdalas porque, seguro, oirás hablar de ellas más adelante.

 

Otros tips

  • La SCA se aplicará a todos los entornos (eCommerce, tokenización, transferencias…) de cualquier sistema de pago (tarjetas, cuentas financieras, XPay…) que se realicen dentro del Espacio Económico Europeo (EEE).
  • Las tarjetas B2B y Virtual Cards Prepago, como las que a usan a veces en Booking.com y Expedia, quedan excluidas de la PSD2/SCA por la excepción COR.
  • Los pagos presenciales no están afectados por la PSD2/SCA al no considerarse pagos online. No obstante, deben cumplir el requisito de ser completamente presenciales, con TPV físico. Si los datos de tarjeta fueron capturados en una venta on-line y se usan posteriormente, sí se considera transacción on-line y por tanto sí están afectados por PSD2/SCA.

Como ves, cada OTA o portal actúa de una forma diferente, por ello es muy importante que cuentes con un Channel Manager y Pasarela de Pagos que estén completamente adaptados a todos estos escenarios, para que puedas realizar una correcta gestión de las reservas que provienen de estos canales. 


Aquí puedes leer el resto de la serie de artículos pertenecientes a la PSD2:

¿Qué es la PSD2/SCA y cuándo empezará a aplicarse?

Cómo va a afectar la PSD2/SCA al Alquiler Vacacional: las excepciones serán la regla

PSD2 y venta directa: Motor de reservas y PMS “PSD2 compliance”

OTAs: Adaptación a PSD2 y cómo puede afectarte