Si has llegado hasta aquí, seguramente sea porque quieres saber qué es PSD2 SCA (Strong Customer Authentication).
Y es que sí, el 14 de septiembre de 2019 entra en vigor la normativa europea que va a afectar a todos los pagos con tarjeta de tu negocio.
Si el RGPD ya supuso una dificultad enorme, esta medida no va a ser menos. Es un tema muy serio, que toda empresa que acepte pagos con tarjeta tiene que revisar.
PSD2 SCA: qué es y cómo va a afectar a tu negocio
De forma simplificada, la normativa PSD2 SCA regula los pagos con tarjeta.
Es una medida con la que los legisladores quieren garantizar la seguridad en los pagos, tanto del cliente como de las pasarelas y bancos.
¿Quieres saber si te afecta? La respuesta rápida es probablemente sí. Es una nueva regulación que alcanza a toda página web con pasarelas de pago con tarjeta: e-commerce, membership site, etc. Si tu cliente puede pagar con tarjeta, tienes que estar al día de esto y tener todo listo para el 14 de septiembre de 2019.
Ten en cuenta que casi nada escapa a esta medida. Todos los pagos con tarjeta en Europa se verán afectados. Eso sí, siempre y cuando empresa y cliente realicen la transacción mediante banca europea (no, no vale con usar una VPN y conectarse a la web desde la otra punto del mundo).
Lo sabemos: el sudor frío empieza y la preocupación cunde en tu interior. Precisamente por eso, en ChipWeb te informamos con todo lujo de detalles, de manera que el nivel de estrés se reduzca a cero.
Entendiendo el funcionamiento de PSD2 SCA
Seguro que alguna vez has comprado en un comercio electrónico y, en vez de ir a parar a su pasarela de pagos, te ha redigirido a la página de tu banco para que lleves a cabo una verificación, ya sea por sms, tarjeta de coordenadas, etc. Cuando eso pasa, te levantabas contrariado a por la tarjeta de marras, el móvil o el sistema de seguridad pertinente.
Sin embargo, en otras ocasiones el pago se completaba directamente desde la pasarela de la web. ¡Genial! Rápido, fácil y cómodo para todos.
Con la entrada en vigor de la normativa PSD2 SCA el 14 de septiembre de 2019, todos los pagos con tarjeta van a tener ese paso adicional de verificación. Aunque habrá más métodos de verificación, pasará a ser obligatorio, salvo en algunas excepciones que te detallamos más adelante.
El problema de añadir un paso de verificación adicional
Hemos configurado muchísimas tiendas online y pasarelas de pago, y os aseguramos que añadir pasos adicionales no es bueno para el negocio.
En concreto, la nueva normativa te va a causar al menos los siguientes problemas, fuera de otros que no podamos prever ahora:
- Es una pesadez: un paso adicional, sobre todo si es nuevo, genera rechazo al cliente. Algunas personas no quieren tomarse la molestia de ir a buscar su método de verificación o de completar ese proceso. Esto afecta a las ventas pero, sobre todo, a la experiencia que el consumidor se lleva de tu web.
- Menor conversión: lo de que afectará a tus ventas no es una broma. Un paso intermedio implica ese esfuerzo adicional que algunos clientes no harán. No es algo que digamos nosotros: ten por seguro que el día 14 de septiembre vas a notar los efectos de la nueva normativa. Aunque solo sea en forma de preguntas de tus clientes habituales.
- Inseguridad jurídica: ten la certeza de que el responsable subsidiario del tema eres tú. Es decir, si la web es tuya y aceptas pagos con tarjeta, no hay duda de que has de hacerte cargo. De lo contrario, podrías tener que asumir problemas legales.
Asentadas estas bases, cabe preguntarse qué tengo que hacer para implementar PSD2 SCA correctamente en mi web.
Esta es la mejor parte, en la que puede que te demos buenas o malas noticias. Todo dependerá del tipo de página que tengas.
¿Tienes una web a medida o trabajas con WordPress y extensiones?
Si eres usuario de WordPress y utilizas en tu página la pasarela de pagos Stripe, estás de enhorabuena.
Y es que ellos van a hacerse cargo del tema por ti, con lo que tu obligación legal solo es verificar que funciona, y que lo tienes todo preparado para este cambio. Tan sencillo como contactar al servicio de soporte de Stripe o hablar con tu desarrollador, para que implemente la tecnología que utilizas en tu comercio electrónico, y confirmar con él que la situación está bajo control.
Ten en cuenta que los principales proveedores ya están trabajando en ello, así que no hay motivo para alarmarse. De hecho, Stripe ya está empezando a enviar correos electrónicos a sus clientes, solicitando que realicen algunos cambios en su cuenta para adaptarse a esta normativa.
Si tienes un desarrollo web a medida, tenemos malas noticias: lo más seguro es que te toque ponerte en contacto con tu equipo y pedirles que actualicen el sistema de pasarela de pago pertinente.
Recuerda que tú eres el responsable de que PSD2 SCA funcione en tu página. Así que la normativa te obliga a hacer los ajustes pertinentes para implementar el cambio, que posiblemente no sean pocos.
Lo más importante es que, hagas lo que hagas, no pases de todo. La normativa va en serio, y podría tener consecuencias graves ignorar este derecho a la seguridad de los clientes, sobre todo si hay una incidencia con un pago con tarjeta provocado por no implementarla en tu web.
¿Cómo sé que PSD2 SCA funciona correctamente?
Lo primero que querrás saber es cómo se hará el proceso de pago con tarjeta desde ahora. El cliente debe verificar el mismo mediante:
- Algo que conozca: por ejemplo, un código pin, una contraseña o algo secreto.
- Una cosa que tiene: por ejemplo, una tarjeta de coordenadas del banco.
- Algo que es: por ejemplo, la huella dactilar o el reconocimiento facial.
Si no se realiza al menos una de estas comprobaciones de seguridad, podrías estar violando la normativa PSD2 SCA. ¡Cuidado!
Por otra parte, para que PSD2 SCA tenga una implementación correcta, hay un par de cosas que tendrás que tener en cuenta.
- La primera, que todo debe hacerse de forma sencilla para evitar perder ventas. Recuerda, a más complejidad, más probabilidad de perder volumen de negocio.
- La segunda, que la pasarela de pago que elijas pasa a ser clave. Si bien hasta ahora el precio, la comodidad, el soporte o la seguridad podían ser factores decisivos, en lo sucesivo su fiabilidad ante los bancos resultará el valor clave. No depende de ti, sino de la pasarela que usas.
Como decíamos antes, en casos comunes, como por ejemplo Stripe, han anunciado que se hacen cargo de todo. Es probable que el resto de pasarelas serias también lo hagan, así que puedes estar tranquilo.
Te interesa mucho verificar que el sistema funciona y se presenta al cliente de forma sencilla y clara. Hay casos que vigilar de cerca, como la plataforma de pago de los bancos españoles Redsys. Tradicionalmente ha dado problemas y, probablemente, no estarán preparados para el cambio.
También resultará esencial la gestión de las excepciones. Podrás comprobar lo importante que va a ser que tengas una pasarela de pago fiable ante los bancos. ¿Qué quiere decir esto?
Las excepciones: el nuevo dominio de las pasarelas de pago fiables
Como es lógico, todo el mundo busca las excepciones a PSD2 SCA.
Para que puedas conocerlas, y aunque estas han de ser aplicadas por la pasarela de pago, te las explicamos. Estas excepciones aplican si:
- El cliente o la empresa operan fuera de Europa.
- Utilizas Google Pay, Apple Pay, Amazon Pay o similares.
- La compra se lleva a cabo desde portátiles o dispositivos con reconocimiento huella o facial activo como sistema de verificación.
- La pasarela de pago cuenta con la credibilidad suficiente ante los bancos para saltarse este paso. Esa credibilidad depende del porcentaje de transacciones reclamadas, es decir, problemas o devoluciones. Los porcentajes en los que la banca da el proceso por completado sin aplicar la normativa PSD2 SCA son:
- 0,01% de transacciones reclamadas: los pagos de hasta 500€ no requerirán validación del cliente.
- 0,06% de transacciones reclamadas: los pagos de hasta 250€ no requerirán validación del cliente.
- 0,13% de transacciones reclamadas: los pagos de hasta 100€ no requerirán validación del cliente.
- Se trata de pagos de menos de 30€: el sistema puede “recordar” la verificación hasta la quinta vez. Es decir, habrá que introducirla una vez, y no en las cuatro siguientes. No es un gran consuelo, pero algo es algo.
- Estamos ante un membership site o webs con pagos recurrentes: el cliente deberá realizar una única verificación para su primer pago.
- Paga un intermediario: en caso de que alguien represente a un cliente cuyos datos tiene pero que en ese momento no puede verificarse, la normativa se ignora. Es algo muy raro (por ejemplo, si gestionamos un servicio de compra con tokens).
- Son beneficiaros de confianza: las empresas que estén en una lista blanca creada por el cliente en su banco pasan el filtro automáticamente.
- Se trata de tarjetas de empresa: no requieren verificación por representar a la empresa, que será quien deba acreditar aquellos pagos que proceda.
Recuerda que solo podrás aplicar una excepción por trasacción, y no varias.
Quien lo juzga es siempre el banco. Por lo tanto, y al ser un criterio subjetivo, el porcentaje de transacciones reclamadas de tu pasarela de pago es importantísimo con PSD2 SCA. Si declinan el motivo de excepción desde el banco, no podrás aplicar otro ni reclamar. Estás en sus manos. O, mejor dicho, en las de la pasarela de pago que elijas para representarte.
Conclusión: si PSD2 SCA afecta a tu negocio, deberías revisar el asunto
Ahora que ya sabes qué es PSD2 SCA y cómo afecta a tu negocio, es importante dar los pasos adecuados para evitar problemas.
Si tienes en cuenta que la medida entra en vigor el 14 de septiembre de 2019, todavía te queda tiempo para implementar los cambios precisos. Eso sí, recuerda que estos dependerán siempre de ti, pues legalmente eres el responsable último de que se aplique en tu comercio electrónico.
Por lo tanto, es hora de que lleves a cabo las medidas que te proponemos. Si tienes alguna duda o idea que compartir, puedes dejarnos un comentario o contactar con ChipWeb para que te asesoremos. Pero, hagas lo que hagas, ¡no dejes ir el tema! PSD2 SCA te afectará. Ojalá que sea poco y para bien.
2 comentarios
Como afecta este cambio a Redsys?
Gracias.
Hola Manel.
Gracias por dejarnos una consulta y por pasarte por aquí.
En cuanto a tu pregunta, te recomendamos que lo hables con el propio servicio de soporte de Redsys. Las últimas noticias que tenemos nosotros es que, al parecer, se están poniendo las pilas con el tema, pero también depende de cada banco con el que tengas contratada tu pasarela de pagos.
Si por alguna razón, no te dan una solución, te recomendamos la opción Stripe. Aunque tiene comisiones algo más altas, es lo que mejor funciona en todos los sentidos.
Esperamos haberte ayudado.
Un fuerte abrazo.