O novo regulamento europeu sobre os serviços de pagamento PSD2/SCA está ao virar a esquina. PSD2/SCA é uma grande mudança nas regras que regem os pagamentos online. Encontraremos maior segurança, mas, no processo, serão geradas maiores fricções ou dificuldades na gestão de certos fluxos de cobrança que agora funcionam com facilidade. Portanto, afecta-o a si, afecta-nos a nós, por isso não percamos mais tempo!

Desde AvaiBook estamos trabalhando para adaptar nossos sistemas aos novos regulamentos e oferecer-lhe toda informação que necessita de uma forma clara e fácil de compreender. Este é o primeiro artigo de uma série que pretende explicar em profundidade em que consiste este novo regulamento, por isso, fique atento às seguintes publicações. Por enquanto, no artigo de hoje vamos conhecer os seus aspetos básicos.

O que é a PSD2 e SCA?

PSD2 é a sigla correspondentes a Payment Service Directive 2, uma directiva europeia vigente que abrange uma vasta gama de regulamentos relativos aos serviços de pagamentos.

Uma das normas que terá mais impacto no comércio eletrónico é a SCA (Strong Customer Authentication ou autenticação reforçada). Requer a autenticação de todas as transações de compras online europeias ou, por outras palavras, que sejam processadas como “3D Secure reforçado”.

O principal objetivo destes regulamentos é melhorar a segurança das compras realizadas através da internet. No entanto, trará também outros efeitos, tais como o aumento de fricções nos pagamentos, uma perda na conversão, e certas alterações no funcionamento de todos os meios que tenham pagamentos online.

De agora em diante faremos referência a PSD2 ou SCA indistintamente, embora a SCA seja uma parte da PSD2, e assim entendemos de uma forma mais fácil.

Âmbito e data de aplicação

PSD2/SCA aplica-se aos pagamentos online em que tanto el pagador como o “cobrador” (comercio) se encontram no Espaço Económico Europeu (EEE). Esta directiva deverá ser implementada pelos Bancos Centrais de cada país do EEE. E há diferentes planos de implementação em certos países membros, embora na maioria, incluídos Espanha, Itália y Portugal, a data de aplicação será no dia 01 de janeiro de 2021. No entanto, sabemos que naFrança e na Alemanha será feito o dia 14 e 15 de março respetivamente, e no Reino Unido em 14 de setembro de 2021.

O que é “3D Secure reforçado”?

A SCA irá afetar principalmente a forma como os compradores (pagadores) serão autenticados, uma vez que exige que todas as transações eCommerce europeias estejam autenticadas com dois destes três fatores:

Isto obriga a indústria de pagamentos a desenvolver e implementar uma nova versão de 3D Secure, a chamada “3D Secure 2”, que está em conformidade com a SCA, assegurando esta “autenticação reforçada”.

Desta forma, e explicado da forma mais simples e resumida possível, a partir do dia 1 de janeiro de 2021 os regulamentos que regem os pagamentos online mudam. Estas regras exigem uma autenticação reforçada (SCA), ou seja, com 3DSecure 2, para pagamentos online dentro do EEE. Para pagamentos “não presenciais” “, estão previstas algumas exceções.

Conceitos de Pagamentos Autenticados e Não Autenticados que deveria conhecer

• Um pagamento não autenticado, sem “3D Secure”, é um pagamento online feito apenas através da introdução dos dados do cartão (número do cartão, validade, CVC/CVV) ou mesmo sem estes passos, porque o sistema tinha esses dados previamente guardados. É mais utilizado para realizar cobranças programados ou “não presenciais”, tais como quotas de subscrição ou pagamentos de reservas através de certas plataformas. É o tipo de pagamento mais rápido, más simples e com maior conversão, porque é que gera menos fricção para o pagador. No entanto, também é considerado o mais perigoso, uma vez que não tem verificações adicionais. Desta forma, qualquer pessoa poderia utilizar o cartão em caso de roubo.

• Um pagamento autenticado, ou “3D Secure”, é um pagamento online que requer autenticação adicional para além dos dados do cartão. O método varia em função de cada banco, e pode variar desde um SMS para o seu telemóvel até uma palavra-passe, coordenada específica o token gerado com uma aplicação móvel. É mais lento e gera pior conversão, pois requer mais passos e experimenta maior fricção – o utilizador não recorda da palavra-passe ou não tem o cartão de coordenadas no momento, por exemplo-. No entanto, é mais seguro, embora não permita que os pagamentos sejam programados ou emitidos de uma forma não presencial.

• Um pagamento autenticado reforçado, ou “3D Secure 2”, destina-se a cumprir as mesmas características que o pagamento autenticado, mas com maior segurança através de métodos de verificação mais sólidos. Os emissores de cartões no âmbito do EEE já estão a adaptar os seus sistemas técnicos para poderem apoiá-los antes do prazo, pelo que é provável que já tenha recebido alguma notificação a este respeito.

Excepções

NÃO estão sujeitos a SCA:

• Pagamentos efetuados por cartões emitidos fora do Espaço Económico Europeu (+UK)

• MOTO: Transações em que o pagamento tenha sido iniciado por telefone ou correio. 

• COR: Pagamentos efetuados por Cartões Pré-pagos Anónimos.

• MIT (Merchant Initiated Transactions): transações iniciadas apenas pelo comerciante (o pagador está “ausente” do processo de pagamento) e, desde que exista um acordo pré-existente entre o comerciante e o comprador. É necessária uma autenticação SCA no pagamento inicial, na primeira compra.

Algumas destas isenções influenciarão as adaptações sobre o uso habitual que fazemos no campo turístico; lembre-se delas porque, com certeza, ouvirá falar delas mais adiante. 

Mais tips

• A SCA será aplicável a todos os âmbitos (eCommerce, tokenization, transferências…) de qualquer sistema de pagamento (cartões, contas financeiras, XPay…) que sejam realizados dentro do Espaço Económico Europeu (EEE).

• Os cartões B2B y Virtual Cards Pré-pago, tais como os utilizados por vezes no Booking.com e Expedia, são excluídos do PSD2/SCA pela excepção COR.

• Os pagamentos presenciais não são afetados pelo PSD2/SCA, uma vez que não são considerados pagamentos online. No entanto, devem cumprir o requisito de estarem completamente presenciais, com TPA físico. Se os detalhes do cartão foram capturados numa venda online e são posteriormente utilizados, é considerada uma transação online e, portanto, afetada pelo PSD2/SCA.

Pode ler aqui o resto da série de artigos referentes a PSD2:

O que é a PSD2/SCA e quando começará a ser aplicada?

Como a PSD2/SCA afetará o Aluguer de férias: as excepções serão as regras

PSD2 e venda direta: Motor de reserva e PMS “PSD2 compliance”

OTAs: Adaptação a PSD2 e como o pode afetar