PSD2 para ecommerce y tiendas online: cambios legislativos y autentificación de pagos online

4.7/5 - (15 votos)

Si tienes una tienda online o realizas cobros por internet y a distancia, seguramente ya estés familiarizado con las siglas PSD2, que hacen referencia a la directiva europea que regula los pagos electrónicos en Europa.

Los cambios que trae consigo esta normativa afectan a todas las personas que tienen una cuenta o tarjeta bancaria, a los comercios electrónicos o ecommerce que venden en Europa y a los usuarios que compran en esos comercios. Si has llegado hasta aquí es que seguramente tengas un negocio online y tengas ciertas dudas de cómo la PSD2 cambiará la forma en que te pagan tus clientes. Nosotros resolvemos tus dudas, sigue leyendo.

¿Qué es la directiva PSD2?

La seguridad y la lucha contra el fraude son los ejes vertebradores de la directiva PDS2, la normativa europea que obliga a aplicar medidas de seguridad específicas en las operaciones de pago electrónicas, y en especial en las que tienen lugar a distancia.

Todos los procedimientos de seguridad giran en torno a la autenticación reforzada de clientes (SCA), más conocida como doble autenticación. Con la directiva PSD2, los proveedores de servicios de pago deben autenticar la identidad de todo aquel que realice un pago en un comercio electrónico mediante elementos de seguridad independientes, conocidos como factores de autenticación.

La autenticación de doble factor, ¿cómo influye en las compras en mi tienda online?

La aplicación de la autenticación de doble factor en los pagos con tarjeta por internet va a suponer un cambio importante en la forma en que tus clientes compran en tu comercio a distancia.

Ya no podrán realizar pagos online utilizando únicamente la información impresa de sus tarjetas –número de tarjeta, fecha de caducidad y código de seguridad–. En su lugar, a mayores, tendrán que verificar su identidad a través de, como mínimo, dos de los siguientes tres tipos de factores de autenticación:

  • Conocimiento: algo que sabe, por ejemplo, su contraseña de acceso a la banca electrónica, o determinadas posiciones del PIN de su tarjeta.
  • Posesión: algo que posee, por ejemplo, la app del banco vinculada a su smartphone, o el móvil en el que recibe las contraseñas de un solo uso por SMS.
  • Inherencia: algo que “es”, por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.

¿Cómo me afecta la PSD2 si tengo un negocio o comercios? ¿Qué tengo qué hacer?

En ABANCA adaptamos constantemente nuestras pasarelas de pago para que cuenten con los más rigurosos sistemas de seguridad, como los estándares 3D-Secure y Comercio Electrónico Seguro, que ya cuentan con la autenticación de doble factor.

Si tienes un comercio electrónico o realizas pagos a distancia a través del TPV Virtual de ABANCA, seguramente ya estés ofreciendo pagos seguros de acuerdo a la directiva PSD2. Si no es así, nos pondremos en contacto contigo para comunicarte las acciones que tienes pendientes de realizar para permitir a tus clientes la mejor experiencia de pago.

Si tienes dudas, ponte en contacto con tu proveedor informático. Él te indicará los pasos a seguir para continuar ofreciendo pagos online de acuerdo a la nueva normativa. También puedes escribirnos a epasarela@abanca.com y resolveremos todas tus dudas.

Esta nueva forma de comprar online comenzará a aplicarse de forma progresiva hasta que se implemente definitivamente en enero de 2021, por lo que conviene estar preparado para que el cambio no te coja desprevenido.

PSD2: ¿Cómo afectará a mis clientes?

El banco emisor de la tarjeta con la que paga tu cliente decide qué factores de autenticación va a pedirle, por lo que la experiencia de compra puede variar dependiendo de la tarjeta que se utilice.

Cuando tus clientes realicen un pago con una tarjeta ABANCA nos aseguraremos de pedirles los factores de autenticación que menos alteren el proceso de compra en función de su uso de la tecnología y de la forma en que se relacionan con nosotros.

Con todo, existen una serie de excepciones que te explicaremos a continuación por las que no necesitaremos pedir los dos factores de autenticación siempre.

Excepciones por las que no solicitaremos la autenticación de doble factor (SCA)

A continuación, te detallamos los supuestos en los que la PSD2 no se aplica y que están exceptuados de solicitar la SCA.

  • Pagos con tarjetas prepago anónimas o tarjetas regalo. Por su propia naturaleza, no se puede identificar al ordenante de la operación.
  • Operaciones en las que el banco emisor o el adquirente está fuera del Espacio Económico Europeo (EEE). La aplicación de la doble autenticación solo es obligatoria cuando el emisor y adquiriente tengan domicilio en el EEE. En el caso de operaciones ordenadas por tarjetas emitidas en Reino Unido, o adquiridas en dicho país, también se solicitará SCA.
  • Operaciones MO/TO (Mail Order/Telephone Order). Son aquellas donde la orden de pago se realiza mediante correo o teléfono. Quedarían fuera de esta consideración los asistentes de voz que actúan vía comercio electrónico, por ejemplo, Alexa, Siri, o Google Assistant.
  • Pagos realizados en redes limitadas con instrumentos de pago específicos de uso limitado en instalaciones del emisor, en una red de comercios para adquirir una gama muy limitada de bienes o servicios, o que se emiten con fines sociales o fiscales para adquirir bienes o servicios concretos bajo acuerdo con el emisor. Se trata, por ejemplo, de operaciones realizadas con tarjetas gasóleo o tarjetas restaurante.
  • Transacciones MIT (Merchant Initiated Transactions). Las operaciones MIT son pagos de productos o servicios sobre los que existe un acuerdo previo entre el comercio y el titular de la tarjeta. Son ejemplos de transacciones MIT el pago de suscripciones, de suministros, o cargos extras en el alquiler de un coche o de una reserva hotelera.

Operaciones de bajo riesgo, exentas de la doble autenticación

Existen una serie de situaciones en las cuales se permite que los bancos emisores no apliquen SCA por considerarse de menor riesgo. Sin embargo, la decisión última de si se solicita la doble autenticación recae sobre el banco emisor de la tarjeta. Estas situaciones son:

  • Operaciones de bajo importe
  • Operaciones frecuentes
  • Procesos y protocolos de pago corporativo seguro:
  • Operaciones de pago a favor de beneficiarios incluidos en una lista confianza
  • Operaciones con bajo riesgo de fraude

Hablando de pagos online, ¿qué es una lista blanca o lista de confianza?

Un usuario puede identificar aquellos comercios en los que compra habitualmente de tal forma que no sea necesario utilizar de forma recurrente un sistema Autenticación Reforzada de Clientes (SCA), lo que hará que su experiencia de compra sea un poco más sencilla.

En nuestro caso, ABANCA se encarga de mantener esa lista blanca, pero es el cliente quien la crea y solo él puede modificarla. Los bancos tampoco podemos hacer sugerencias de nuevas entradas o modificaciones de comercios a los clientes. Nada impide, sin embargo, que tú informes de esta posibilidad a tus clientes, e incluso que se la sugieras.

En el caso de tus clientes ABANCA, podrán añadir tu comercio a su lista blanca desde la sección ‘Open Banking’ de su banca electrónica.

Si quieres saber más sobre PSD2, consulta nuestra guía sobre la nueva directiva.

Recibe nuestros contenidos más útiles

en tu bandeja de entrada. Consigue además nuestra guía con ¡todo lo que debes saber para comprar tu primera vivienda!