PSD2

Te brindamos toda la información sobre ley de regulación europea (PSD2), relacionada a servicios de pago por Internet y ecommerce. El objetivo principal de la ley es mejorar la seguridad de las transacciones y es obligatoria a partir de septiembre de 2019.

En enero de 2018 entró en vigor la ley de regulación europea (PSD2) sobre los servicios de pago, que será de cumplimiento obligatorio a partir del 14 de septiembre de 2019. 

Payment Services Directive 2 (PSD2) cumple como objetivo principal, mejorar y facilitar la seguridad de los sistemas de pago desde internet, fomentando la innovación y competencia, además de disminuir los fraudes y abusos hacia los consumidores.

1. Directiva de la Unión Europea para estandarizar todos los pagos online.

 

Debido a los nuevos cambios tecnológicos en las formas de pago online, surge la necesidad de una regulación consolidada igualitaria en todos los estados miembros de la Unión Europea

Para generar un entorno más fiable y seguro, la PSD2 dispone de una regulación de los servicios a prestar, nuevas obligaciones de las partes que intervienen, y transparencia frente al usuario. 

 

1.1. APIs de bancos públicas.

 

El principal punto de este real decreto-ley provoca que los bancos deban tener APIs públicas para terceras empresas, denominadas TPPs (Third Party Payment Service Providers), cuya consecuencia es que las TPPS tengan acceso a las cuentas de los clientes de un banco y puedan realizar pagos en su nombre, con previa autorización del titular de la cuenta.

Para permitir el acceso a terceros en las cuentas de los usuarios sin riesgos, aparecen dos nuevos servicios de pagos: “iniciación de pagos” e “información sobre cuentas».

Los servicios de iniciación de pagos son realizados por los “proveedores de iniciación de pagos” (PISP), que permiten iniciar una orden de pago, siempre a petición del cliente, sin la necesidad de que su banco interviniera en el proceso, ni firmar, ni usar una tarjeta. El PISP se encarga de conectar con la entidad bancaria y el propio comercio, que es quien recibe la cantidad final.

Ejemplos de PISP: Paysera o Unnax.

El segundo servicio, “información sobre cuentas” lo realizan los proveedores de información de cuentas bancarias (AISP), y permiten al usuario del servicio de pago tener en todo momento información global de la situación financiera del consumidor.

Ejemplos: Fintonic, Afterbanks, Myvalue.

Para poder ser un proveedor de iniciación de pagos o un proveedor de información de cuentas bancarias, se necesita una licencia única sujeta a una serie de requisitos exhaustivos y estrictos, iguales para todos los estados miembros de la Unión Europea.

Esta licencia es expedida por los bancos nacionales de cada Estado.

Además, la PSD2 obliga a los encargados de ofrecer lecturas de cuentas bancarias (AIS o PISP) a poner en marcha los SCA (Strong Customer Authentication) o Doble factor de autentificación.

 

1.2. ¿Qué es el  protocolo de 3DSecure?

 

Es una forma de pago desarrollada por Mastercard y Visa para realizar compras a través de Internet de forma segura. Autentifica al comprador como titular de la tarjeta, mediante cualquier de los tres siguientes métodos:

  • Elementos de posesión: algo que los usuarios poseen, como la tarjeta de crédito, un móvil, una clave criptográfica, etc.
  • Elementos de conocimiento: algo que sólo conozca el usuario: su número PIN, contraseña, etc.
  • De inherencia: Autentifiación biométrica, huella dactilar, reconocimiento facial, reconocimiento de voz, etc..

 

1.3. Doble factor de autentificación o SCA. 

 

La autentificación reforzada (SCA, por sus siglas en inglés, Strong Customer Authentication), exige que para autenticarse, se ha de emplear un doble factor de verificación, es decir, se han de utilizar al menos dos de los tres tipos de autenticación 3D Secure existentes, y mencionados en el párrafo anterior.

Este es uno de los puntos más importante para el e-commerce, ya que el banco obliga a redireccionar al 3D Secure y el cliente tiene que volver a introducir los datos bancarios a la hora de pagar.

 

2. La PSD2 y los ecommerce. 

 

Desde el 14 de Septiembre, que se implanta la PSD2 de forma obligatoria, se va a generalizar el pago de doble factor de verificación. Actualmente solo es empleado en el 16% de las compras online, y sólo un tercio de los e-commerce lo tiene instalado.

 

2.1. ¿Qué es lo que más le va afectar a las tiendas online? 

 

  • Existe un riesgo de abandono de los carritos y una bajada de conversión de las compras, al introducir un paso extra en la pasarela de pago. En el sector de los ecommerces se traduce a un % de caída de las ventas (entre un 4% y 5% de pérdidas). Hay que intentar mitigar este proceso, e informar a los compradores del funcionamiento de la nueva ley para minimizar las pérdidas de nuestros comercios, y resolver cualquier problema que pueda surgir.
  • Transacciones denegadas: Al no tener una configuración no optimizada o no tener datos suficientes, el banco puede rechazar pagos al tratarlos como no seguros. Para evitar esto, hay que entregar más datos del cliente a nuestro banco Emisor.

 

2.2. ¿Cómo podemos minimizar el impacto de la normativa en los ecommerce?

 

  • Los ecommerce deben aumentar el conocimiento sobre sus compradores, cuáles son las pautas de transacciones normales y cuales pueden ser fraudulentas, para que los bancos vean a ese comercio, como un comercio de confianza.
  • También se puede utilizar métodos de pago que no requieran el 3DSecure (transferencias bancarias).
  • Intentar que los consumidores sigan disfrutando de experiencias de compras sencillas, con seguridad adicional para pagos de compra más elevados y menos frecuentes. Este punto podemos realizarlo mediante:

– Suscripciones o transacciones recurrentes: Sólo requiere el 3DSecure el primer pago, para los demás no serán necesarios. 

– Transacciones interregionales: Transacciones realizadas fueras de Europa, depende de donde está emitida la tarjeta. 

– Transacciones MO/TO (Mail Order/Telephone Order): Se utilizan para realizar transacciones por teléfono. Como requiere que otra persona/máquina introduzca los números de tarjeta, no se puede hacer la autentificación     3DSecure.

– Tarjetas corporativas.

– Pagos inferiores a 30€.

– Transacciones de bajo riesgo.

  • Asegurarse que el resto del proceso de compra no va a ser el motivo de rechazos de la finalización de los procesos de compra, como la página de pago no es responsive, o no está en el idioma del cliente, etc..

 

2.3. ¿Cómo tengo que implantar la PSD2? 

 

  • Lo primero que tienen que hacer los comercios electrónicos es activar el 3DS antes del 14 de Septiembre. Para ello, los comercios tienen que hablar con su entidad bancaria que liquida los fondos de transacciones procesadas con Mastercard y con Visa. Tienen que ir al banco que gestione los pagos del ecommerce y decirle que necesita que esté activo el 3DS con el número de comercio. Este servicio de activación puede ser de pago o nó, depende del banco que lo gestione.
  • Activar medios de pago alternativos.
  • Instalar herramientas de prevención de fraude, para disminuir el riesgo de envíos de pagos fraudulentos al banco emisor. Muchas pasarelas de pago ya tienen incorporadas sus herramientas de prevención de fraude. Pregunta a tu pasarela de pago sobre estos servicios, porque muchas empresas ofrecen gratis este servicio.

¿Por qué son tan importante las herramientas de prevención de fraude?

Porque las herramientas de verificación de prevención de fraude, ayudan a contrastar los datos recomendados y opcionales obtenidos desde la web, cuando el cliente realiza una compra. 

Un comercio electrónico puede decidir si mandar o no una transacción al banco, para disminuir su ratio de fraude. mediante las herramientas antes nombradas. El reto es ser reconocido como un comercio de confianza. Por enviar buenas transacciones. Pasar datos SCA a través de la integración. Un comercio debe asegurar que su proveedor de pago pueda aceptar el mayor número de datos para enviar estos datos a los emisores (bancos), para evitar el 3DS.

Tipos de datos SCA:

  • Datos SCA obligatorios: Metadata del navegador. Si un comercio no envía esta información, la transacción no se procesara.
  • Datos SCA recomendados: Datos del titular de la tarjeta (email, número de teléfono, dirección IP, dirección de compra, si la transacción es de bajo, medio o alto riesgo. 
  • Datos SCA opcionales: Indicador de la edad de la cuenta, número de intentos de compra al día, casos de fraude conocidos, indicador de cambio de email, etc…

 

2.3.1 ¿Cómo envío estos datos SCA a los bancos emisores? 

 

Una vez que hemos activado el 3DS con nuestro banco emisor, el siguiente paso es configurar nuestro comercio electrónico para enviar los datos SCA al banco emisor. Lo normal, es que si utilizas pasarelas de pago como Stripe, Paypal o Ingenico, este traspaso de datos se hace de forma automática mediante las APIs de estas plataformas. Las cuales tienen sus propios sistemas antifraudes para reducir el ratio de transacciones fraudulentas, con lo cual, ya no tendrías que hacer nada más. 

¿Qué pasa si el comercio electrónico tiene un equipo de desarrollo y no utiliza plataformas adaptadas a la nueva ley PSD2? Normalmente el ecommerce tiene alojado los campos de los datos a rellenar en sus propios servidores, tendrá que cambiar el protocolo para incluir estos cambios obligatorios, ya que es el comercio quien captura los datos SCA y lo pasa al proveedor. 

También puede darse el caso, que no tengas equipo de desarrollo, porque utilizas gestores de contenido como Prestashop, Magento o Pugins Woocomerce,  y que no utilices pasarelas de pago adaptas. En ese caso, los módulos de carro de compra que nos ofrecen los plugins de las plataformas de las tiendas online, deben de  recoger de forma automática los SCA, pero depende de la plataforma ecommerce que estés utilizando. Te recomendamos que realices una consulta a los desarrolladores de tu gestor de contenido les preguntes si han realizado la integración pertinente. 

 

2.4. ¿Cómo podemos mejorar la conversión de las tiendas online?

 

  • Debemos evitar el 3DS cuando sea posible, es decir, solicitar el 3DS sólo cuando sea absolutamente necesario, proporcionando el mayor número de datos adicionales de SCA para ayudar a  la toma de decisiones del banco emisor.
  • Conseguir una reputación de comercio confiable para los bancos emisores, utilizando el mayor número de exenciones, e intentar entrar en la lista blanca de los bancos.
  • Tenerlos niveles de fraude por debajo del umbral de los esquemas de tarjeta (Visa, Mastercard, American Express, etc..). Cada uno tiene unos umbrales diferentes propios, que normalmente son un 0.5%. 

STEL Order

Equipo de redacción de STEL Order, formado por profesionales con experiencia en diversos ámbitos de la gestión y facturación tanto de empresas como de autónomos. Contenidos editados, revisados y actualizados por profesionales. Si desea comunicarse con nosotros sobre sugerencias de modificaciones en los artículos puede hacerlo en el siguiente correo: marketing+redaccion@stelorder.com.

Perfil de Linkedin

Últimos artículos

TPV sin banco: cómo conseguir un datáfono libre

Sociedad Limitada Unipersonal (SLU) o Autónomo: qué te conviene más

Modelo 369: cómo rellenarlo y presentarlo

Recibo de pago: qué es y cómo hacerlo