La Segunda Directiva de Servicios de Pago, PSD2 por sus siglas en inglés, es una ley europea que entró en vigor en septiembre de 2019 y que tiene como objetivo regular los servicios de pago en la Unión Europea. La PSD2 establece una serie de medidas para garantizar que las transacciones electrónicas sean más seguras y menos propensas al fraude. Entre las medidas que se establecieron en esta directiva, se encuentran:
- Autenticación reforzada de clientes (SCA): La PSD2 exige que los proveedores de servicios de pago (también llamados PSP) implementen medidas de seguridad adicionales para verificar la identidad del cliente al realizar transacciones electrónicas, como por ejemplo la utilización de códigos de un sólo uso mediante SMS o la aceptación de la operación dentro de la aplicación móvil de su banco.
- Acceso a terceros a las cuentas bancarias: La PSD2 permite que los PSP accedan a las cuentas bancarias de los clientes sólo si este lo autoriza y sólo a través de una API segura y regulada. Esto implica que los clientes puedan utilizar servicios de pago de terceros, como aplicaciones de pago móvil, sin comprometer la seguridad de sus cuentas bancarias.
- Reducción del fraude: En esta directiva también se establecieron medidas para reducir el fraude en las transacciones electrónicas, como la detección temprana de transacciones sospechosas, la notificación inmediata al cliente en caso de actividad inusual y la obligación de que los proveedores de servicios de pago reembolsen al cliente en caso de fraude.
En resumen, la PSD2 busca aumentar la seguridad de los pagos electrónicos a través de la implementación de medidas de seguridad adicionales, la regulación del acceso a las cuentas bancarias de los clientes y la reducción del fraude en las transacciones electrónicas.
Autenticación reforzada de clientes
La autenticación reforzada de clientes, o SCA; es una medida de seguridad establecida por la directiva PSD2 que exige que los clientes se autentiquen de manera adicional al realizar transacciones de pago electrónicas. La SCA es obligatoria para la mayoría de transacciones en línea dentro del Espacio Económico Europeo (EEE), incluyendo las compras en línea, las transferencias electrónicas y los pagos móviles. Su objetivo es reducir el fraude en línea y proteger a los clientes contra el robo de identidad y otras formas de fraude financiero.
La SCA requiere al menos dos de los siguientes elementos de autenticación para confirmar la identidad del cliente:
- Algo que el cliente sabe: como una contraseña, un número PIN o una respuesta a una pregunta de seguridad.
- Algo que el cliente tiene: como una tarjeta inteligente, un token de seguridad o un teléfono móvil.
- Algo que el cliente es: como la huella dactilar, el reconocimiento facial o cualquier otra forma de biometría.
Requerir dos de estos factores es lo que se conoce como «autenticación de doble factor» o «2FA».
Exenciones a la SCA
La PSD2 establece una serie de excepciones, llamadas exenciones, para evitar la aplicación de SCA en ciertas transacciones, destinado a simplificar el proceso de pago en situaciones en las que el riesgo de fraude es bajo o se dan una serie de circunstancias. Las cifras en euros que se utilicen como umbral, se convertirán a la divisa local si es necesario para comprobar que dicho umbral se cumple.
TRA: Transacciones de bajo riesgo
Las transacciones que el banco o el proveedor de servicios de pago consideren de bajo riesgo basándose en ciertos criterios de evaluación de riesgos definidos por la PSD2, están exentas de realizar SCA. Para ello, es necesario que el proveedor de pagos cumpla unos requisitos de fraude:
- 0,13% de fraude para que las transacciones por debajo de 100€ queden exentas.
- 0,06% de fraude para que las transacciones por debajo de 250€ queden exentas.
- 0,01% de fraude para que las transacciones por debajo de 500€ queden exentas.
Es posible que si el proveedor de servicios de pago (PSP) cumple los umbrales de fraude pero el banco no, se rechace la petición de exención y la operación se envíe a autenticar.
LWV: Transacciones de bajo valor
Las transacciones de bajo valor (Low value) son aquellas cuyo importe no supera los 30€. Este tipo de transacciones pueden estar exentas de realizar SCA, pero el banco puede enviar la operación a autenticar y solicitar al cliente autenticación reforzada si esta exención se ha utilizado más de cinco veces desde la última autenticación o si la suma de las cantidades exentas por esta exención supera los 100€. El banco es el encargado de contabilizar el número de usos de la exención.
Las restricciones de esta exención hacen que sea más útil utilizar TRA que marcar las transacciones como bajo valor.
Pagos recurrentes y suscripciones
Los pagos recurrentes, como las suscripciones mensuales; están exentos de realizar SCA después de la primera transacción que sí debe ir autenticada. Esto se mantiene siempre y cuando el importe y la frecuencia de la operación sean los mismos.
Beneficiarios de confianza
Los clientes pueden designar a ciertos beneficiarios (comercios) de confianza en sus cuentas, lo que significa que las transacciones realizadas por estos beneficiarios están exentas de realizar SCA.
MIT: Transacciones iniciadas por el comercio
Las transacciones que se realizan con referencias o tarjetas guardadas cuando el cliente no se encuentra presente en el flujo de la operación, están técnicamente fuera del alcance de SCA; pero, en la práctica, marcar una operación como «MIT» se podría considerar una exención y, como cualquier otra exención, la entidad bancaria podría rechazarla y solicitar autenticación del cliente.
Ten en cuenta que sólo se puede utilizar una exención si la primera operación, la que generó la referencia o en la que se guardó los datos de la tarjeta, fue autenticada. Además, el cliente debe haber permitido que se realicen cargos posteriores a su tarjeta, lo que se conoce como «mandato».
Otras exenciones a la SCA
Existen otras exenciones que pueden evitar que una operación entre en el flujo de SCA. Estas exenciones, como las anteriores, también están supeditadas a que, en última instancia, el banco las admita o las rechace.
- Ventas telefónicas: Cuando el pago se realiza con una tarjeta recogida por teléfono, esta operación queda fuera del alcance de SCA. Esta es la situación en la que se basa la operativa MO/TO. Pese a que es un tipo de operativa en sí misma, este tipo de operación se debe considerar como una exención ya que debe ir debidamente marcada en el envío de la operación.
- Tarjetas corporativas: Las transacciones realizadas por empresas a través de canales corporativos que no están al alcance del consumidor medio puede estar exentos de SCA.
Protocolo EMV 3-D Secure
El protocolo EMV 3-D Secure, abreviado EMV3DS es un protocolo de autenticación de clientes en línea desarrollado por EMVCo, un consorcio de empresas de pagos que incluye a American Express, Discover, JCB, Mastercard, UnionPay y VISA. EMV3DS es la última versión del protocolo 3D Secure, que se utiliza para proteger las transacciones y reducir el fraude en línea. El protocolo EMV3DS está diseñado para mejorar la experiencia del usuario en los pagos en línea y reducir el riesgo de fraude. EMV3DS utiliza una serie de nuevas funciones y tecnologías, como el intercambio de datos en tiempo real, el análisis de riesgos basado en el comportamiento y la autenticación biométrica para mejorar la seguridad y reducir la «fricción» en los pagos en línea.
EMV3DS se integra con el flujo de pagos en línea existente, lo que significa que los clientes pueden autenticarse directamente en la página de pago del comerciante sin tener que ser redirigidos a un sitio web de autenticación externo. Además, EMV3DS permite a los comerciantes y a los proveedores de servicios de pago recopilar y compartir más datos de transacciones en tiempo real, lo que facilita la evaluación del riesgo y la toma de decisiones sobre la autenticación del cliente.
Aplicación del protocolo EMV 3-D Secure a la operativa de pagos
Para realizar el proceso de autenticación es necesario incorporar en el flujo de pago varios pasos adicionales (salvo que estés integrando usando la integración por redirección, en cuyo caso el proceso es transparente para ti). Si estás realizando una integración REST, debes incluir en el flujo de transacción la mensajería del protocolo de seguridad EMV3DS. El proceso de pago de una operación con autenticación en la conexión REST sigue una serie de pasos que puedes ver a continuación:
- iniciaPeticion: Debes realizar una petición al TPV Virtual para obtener los datos de la tarjeta de tu cliente y poder iniciar el proceso de autenticación correspondiente.
- 3DSMethod: Este método permite al emisor de la tarjeta capturar la información del dispositivo.
- Primer trataPeticion: Se trata de la solicitud de autorización, ya que envías la solicitud de la operación con los parámetros correspondientes al TPV Virtual.
- Respuesta: Enviada la petición, se puede recibir una respuesta frictionless que indica el final de la operación. Si has enviado exenciones, en este punto sabrás si el banco las ha tomado en cuenta o las ha ignorado y por tanto la operación se ha enviado a autenticar con SCA.
- Autenticación: Si se ha requerido SCA, la entidad emisora solicitará que el titular verifique su identidad. Debes mostrar la información pertinente al titular.
- Segundo trataPeticion: El comercio debe enviar la petición de autorización adjuntando el resultado de la autenticación para finalizar el proceso.
Todos estos pasos están detallados en cada una de las guías de las operativas disponibles en tu TPV Virtual