Todo lo que necesitas saber sobre la PSD2

La PSD2 o ‘Segunda Directiva de Servicios de Pago’ es una normativa europea que persigue mejorar la seguridad en los pagos online con el fin de beneficiar al consumidor, promoviendo la innovación y competencia entre países y proveedores, contribuyendo así al desarrollo de un mercado de pagos más integrado y eficiente en toda la Unión Europea.

Para garantizar los siguientes objetivos fundamentales:

• Fomentar la innovación, reduciendo barreras de entrada y favoreciendo la competencia.
• Reforzar tu protección como consumidor: incrementando la transparencia con el cliente y limitando comisiones, recargos y responsabilidades.
• Mejorar la seguridad de los pagos mediante nuevos requerimientos de autenticación, condición necesaria para el avance de la economía digital.
• Fortalecer el espacio de pagos europeo, homogeneizando la regulación para conseguir una experiencia de usuario equivalente e independiente del país en el que se produzca la transacción.

La Autenticación Reforzada de Clientes, también conocida como “Strong Customer Authentication” o “SCA” por sus siglas en inglés, supone la aplicación de nuevas medidas de seguridad que harán que los pagos con tarjeta sean aún más seguros, ya que será la forma en la que los bancos emisores van a identificar a los titulares de las tarjetas cuando ordenen pagos en comercios presenciales o por internet.

Estas nuevas medidas de seguridad comenzaron a aplicarse en las compras presenciales a partir del 14 de septiembre de 2019. Para las compras online comenzará a aplicarse en los próximos meses, hasta su plena implementación en enero de 2021, y los factores de autenticación que pediremos a tus clientes no serán los mismos que para las compras presenciales.

Actualmente la autenticación de los clientes en los comercios seguros se hacía pidiéndole al cliente la introducción del número de la tarjeta, la fecha de caducidad, su CVV, y la clave OTP de 6 dígitos que le mandamos a su móvil por sms.

A partir del momento en que se solicite SCA, cuando un cliente compre en tu comercio virtual, le pedirás que introduzca el número de la tarjeta y la fecha de caducidad, pero, además, el banco emisor de la tarjeta que use para comprar le pedirá 2 de los siguientes 3 tipos de factores de autenticación:

• Conocimiento: algo que sabe, por ejemplo, su contraseña de acceso a la banca electrónica, o determinadas posiciones del Pin de tu tarjeta.
• Posesión: algo que posee, por ejemplo, la App del banco vinculada a su Smartphone, o el móvil en el que recibe las contraseñas de un solo uso que le enviamos por SMS.
• Inherencia: algo que "es", por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.

Como banco emisor, a los clientes titulares de nuestras tarjetas vamos a pedirles los factores de autenticación que les resulten más cómodos y fáciles de usar ajustándonos a sus preferencias en cuanto al uso de la tecnología y a la forma en la que se relacionan con nosotros.

No obstante, no siempre vamos a pedir los mismos factores de autenticación, dependerá del dispositivo que use el cliente para hacer la compra online.

Además, hay que tener en cuenta que todos los bancos del Espacio Económico Europeo estamos sujetos a la PSD2 y por lo tanto todos tenemos que implementar estas medidas de seguridad, pero cada banco ha decidido los factores de autenticación que va a pedir a sus clientes, por lo tanto, es posible que la experiencia de compra de un mismo cliente en tu comercio sea distinta dependiendo del banco que haya emitido la tarjeta que use para pagar.

No, todos los bancos estamos trabajando para que el proceso sea lo más amigable posible y además estamos haciendo campañas informativas a los titulares de tarjetas para que conozcan los factores de autenticación que les vamos a pedir antes de que se empiece a solicitar SCA. Además estamos promoviendo entre los clientes que hagan determinadas acciones, como por ejemplo descargarse nuestra App o darse de alta en nuestra banca electrónica, que harán su experiencia de compra más cómoda y ágil.

Por otro lado, hay que tener en cuenta que existen una serie de exenciones y excepciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.

Así, hay varios tipos de pagos que, por su propia naturaleza, la PSD2 los exceptúa del requisito de solicitar autenticación reforzada:

• Pagos con tarjetas prepago anónimas, ya que al ser anónimas no es posible verificar la identidad del titular.
• Las llamadas transacciones MIT (Merchant Initiated Transactions): La normativa exige aplicación de SCA a los pagos electrónicos iniciados por el ordenante. Las operaciones MIT son pagos de productos o servicios sobre los que existe un acuerdo previo entre el comercio y el titular de la tarjeta que permite al comercio realizar los cargos sin que el titular tenga que realizar una acción anterior que los desencadene, y requieren SCA en la primera compra pero no en las siguientes (por ejemplo, pago de suscripciones, de suministros, o cargos extras en el alquiler de un coche o de una reserva hotelera). Son como operaciones de adeudo contra tarjetas.
• Operaciones MO/TO (Mail Order/Telephone Order), es decir, ordenadas por teléfono o por correo.
• Pagos realizados en redes limitadas.
• Operaciones en las que el banco emisor o el adquirente está fuera del Espacio Económico Europeo.

Además, legalmente se prevén una serie de exenciones en las cuales se permite que los bancos emisores de tarjetas no apliquen SCA por considerarse operaciones de menor riesgo. Estas exenciones son:

• Pagos por un importe inferior a 30€, hasta un máximo de 5 operaciones o un importe acumulado de 100€.
• Pagos recurrentes, por la misma cuantía y al mismo comercio, se requiere autenticación en la primera transacción. Las suscripciones iniciadas con anterioridad al 14 de septiembre de 2019 no tendrán que ser autenticadas salvo si existe una modificación de la misma.
• Pagos a los comercios de confianza del titular indicados como tal al banco emisor, también conocida como “listas blancas”.
• Algunos pagos corporativos.
• Pagos con bajo riesgo de fraude.

Con carácter general, antes de solicitar SCA al cliente, los bancos emisores intentaremos aplicar una exención o una excepción de las descritas anteriormente, por lo que la experiencia de compra en muchos casos será idéntica a la actual.

La información se intercambia entre los comercios y los emisores gracias al protocolo 3D Secure.

Desde 2001 la versión de este protocolo que se viene utilizando tanto para informar como para autenticar las operaciones es la 1.0, pero actualmente existe una nueva versión de ese protocolo que mejora la información, con un mayor número de datos, que permite tanto la solicitud de los dos factores de SCA como la aplicación de excepciones de SCA en el proceso de compra.

El TPV virtual Kutxabank que utiliza tu comercio es seguro, es decir, es 3D Secure.

Si tu comercio tiene uno o varios TPV Virtuales con Kutxabank y tienes delegada la gestión de los datos, no debes preocuparte por la migración al nuevo protocolo, ya que nosotros nos estamos encargando de actualizar la versión del mismo y de hacer esa migración.

Si tu comercio no responde a la tipología arriba mencionada, seguro que ya hemos contactado contigo y estamos ayudándote a hacer las implementaciones técnicas necesarias, pero por si acaso tienes dudas puedes escribirnos a soportevirtual@redsys.es o llamar al 902 106 223, donde te informaremos con mayor detalle.

No, el Banco de España ha confirmado que habrá que aplicar SCA siempre, salvo que la operación esté exenta (por ejemplo en caso de operaciones transfronterizas de fuera de la UE) o se pueda aplicar alguna de las exenciones previstas legalmente.

No, ya que no se consideran operaciones de pago.

Sí, ya que son operaciones iniciadas a través de internet o de un dispositivo que puede utilizarse para la comunicación a distancia. Esto incluiría las operaciones realizadas por Internet y las operaciones realizadas a través de móvil (en compra por internet, no compra “contactless”).

Las órdenes por enviadas por correo electrónico o aplicaciones de mensajería pueden considerarse operaciones MO/TO, pero las órdenes introducidas en una web a la que se accede a través de un enlace recibido en un mensaje se consideran de comercio electrónico y requieren SCA.

No, esas operaciones en las que quien inicia el pago es la solución automatizada con la que se ha interactuado se consideran de comercio electrónico y requieren SCA. Sin embargo, las transacciones de pago iniciadas por el comprador a través de una orden telefónica con el uso de una solución automatizada por parte del comercio, como por ejemplo una respuesta de voz interactiva, se considera un pedido telefónico regular.

No, las COF se consideran operaciones de comercio electrónico y requerirían SCA salvo en los casos en los que se les pueda aplicar una excepción.

No, en las operaciones COF el titular de la tarjeta realiza una acción que desencadena la orden de compra, por ejemplo, haciendo click en pagar, o comprar. Sin embargo, para que una operación se considere MIT es necesario que no haya una acción del cliente que desencadene el pago, el cliente tiene que estar ausente en el momento en que se ordena el pago. Las MIT son similares a los adeudos pero contra tarjetas.

La Autoridad Bancaria Europea ha aclarado que tanto en los casos en los que el ordenante ha preautorizado el bloqueo de una cantidad máxima como en aquéllos en que esta preautorización no se ha dado, si la cantidad final es igual o inferior a la cantidad acordada, se puede ejecutar la operación sin necesidad de volver a solicitar SCA, pero si la cantidad es mayor, el emisor tendrá que o bien requerir SCA o bien rechazar la operación.

La lista blanca se mantiene por banco emisor pero la crea el cliente y solo él puede modificarla. Es por este motivo que el que la Autoridad Bancaria Europea ha establecido que los bancos emisores no podemos hacer sugerencias de nuevas entradas o modificaciones de comercios a los clientes. Nada impide, sin embargo, que el comercio informe de esta posibilidad a su cliente e incluso que se la sugiera. No obstante, la inclusión en lista blanca se tiene que hacer en el entorno emisor y requiere SCA.

Los bancos emisores no están obligados legalmente a informar al banco adquirente ni al comercio de si un comercio está incluido en lista blanca. Compartir esa información sin el consentimiento expreso del titular de la tarjeta podría vulnerar el derecho de protección de datos. Sin embargo, nada impide que el comercio consiga esa información de su propio cliente.

Por otro lado, la decisión última de solicitar SCA a una operación es del banco emisor, por lo que, siguiendo criterios de riesgo, podría decidir aplicar SCA a una transacción aunque el comercio estuviera incluido en su lista blanca.