1. Home
2. Seguridad
3. PSD2
4. Comply with PSD2

1. Introducción

En 2013, la Comisión Europea publicó una propuesta para elaborar una versión revisada de la primera Directiva de Servicios de Pago para simplificar el procesamiento de pagos y crear reglas y reglamentos para los servicios de pago en la UE. Inició la necesidad de una segunda Directiva de Servicios de Pago conocida como PSD2 y una nueva versión de 3-D Secure, versión 2.1 (3DSv2.1). PSD2 entró en vigor en enero de 2018. Su objetivo es garantizar la protección del consumidor en todos los tipos de pagos, promoviendo un panorama de pagos aún más abierto y competitivo. Como proveedor de servicios de pago, nos enorgullece haber ratificado la conformidad con la PSD2 y seguir cumpliéndola desde el 29 de mayo de 2018.

La fecha límite para la aplicación de PSD2 fue el 31 de diciembre de 2020 para todos los países miembros de la Unión Europea. La única excepción es el Reino Unido (UK), que aplicará la autenticación SCA el Marzo 2022.

En la guía, te enseñaremos cómo sacar el máximo provecho de esta nueva norma y cómo se puede asegurar su cumplimiento.

2. Qué es la autenticación sólida de clientes

Parte de esta nueva normativa es la implementación de la Autenticación sólida de clientes (SCA) que se aplica a las transacciones electrónicas europeas. Esto significa que tus clientes deberán autenticarse usando al menos DOS de los tres métodos siguientes:

• Algo que conozcan (un código PIN, una contraseña, etc.);
• Algo que posean (un lector de tarjetas, un dispositivo móvil, etc.);
• Algo que los distinga (reconocimiento de voz, huella dactilar, etc.).

El mayor cambio y la ventaja más importante para ti como comercio es que no serás responsable en caso de una transacción fraudulenta. La decisión de la solicitud de autenticación estará en manos del banco del cliente (emisor).

El gráfico explica los tipos de transacciones electrónicas afectadas por la PSD2.

3. Indicar el escenario de SCA preferido

Cuando tu cliente (el titular de la tarjeta) inicia una transacción en tu tienda online, pueden suceder estos dos flujos:

1. Flujo con verificación: El titular de la tarjeta tendrá que proporcionar datos adicionales para autenticarse.
2. Flujo sin interacción: Los titulares de las tarjetas no necesitan autenticarse porque la autenticación se ha producido en segundo plano sin su participación. En este caso, el emisor confía en la información que le has proporcionado con la transacción y la responsabilidad se traslada al emisor. 

Como la decisión está ahora en manos del emisor, te pedirán más datos. Los emisores tienen un gran interés en que los puntos de datos mejoren la precisión en las decisiones, lo que en última instancia conducirá a un escenario sin problemas, aunque sois vosotros, los comerciantes, los que estáis en primera línea en lo que se refiere a la captura de datos. 

Nota: Antes de que enviar cualquier parámetro, asegúrate de que tienes 3DS activo en todos los métodos de pago de tarjeta de crédito. Si no es así, ponte en contacto con nosotros y solicita la activación. 

4. Exenciones de SCA

Para reducir las fricciones en el pago, hay algunas transacciones exentas de SCA. Deberás solicitar una exención y el emisor decidirá si esta se concede o no. Puedes solicitar exenciones enviando parámetros adicionales a nuestra plataforma.

Las transacciones que quedar exentas son: 

• Comerciantes permitidos: Los clientes pueden solicitar una exención a su emisor para incluir a un comercio en su lista de permitidos. Estos comercios se consideran “beneficiarios de confianza”. Esta exención es aplicada por los bancos emisores de tarjetas.
• Transacciones corporativas: Se trata de transacciones realizadas entre dos empresas. Esta exención es aplicada por los bancos emisores de tarjetas.
• TRA del comprador (Análisis de Riesgo de Transacciones): Puedes solicitar una exención para las transacciones que consideres de bajo riesgo. Como se trata de la responsabilidad del comprador, analizan la cartera global de la transacción (valor de la transacción, tasa de fraude) y deciden si se debe aplicar una exención o no. Ponte en contacto con el comprador para obtener más información.
• TRA del emisor: El emisor puede solicitar una exención si ni tú ni el comprador aplicasteis ninguna. El comprador analizará la cartera global de la transacción (valor de la transacción, tasa de fraude) y decide si se debe aplicar una exención o no. 
• Transacciones de baja cuantía: Se puede aplicar una exención para las compras con valor inferior a 30 €. Sin embargo, se producirá una autenticación sólida del cliente si este realiza cinco transacciones seguidas o alcanza un valor de más de 100 €.
• Autenticación delegada (cartera certificada): Un emisor puede dar autoridad a un tercero, como un proveedor de carteras certificadas o un comerciante, para que realice la autenticación SCA en su nombre.

Hay dos maneras de solicitar una exención: ya sea dentro de una autenticación, pidiendo un flujo sin interacción, o directamente dentro de la autorización, con la posibilidad de reintentar la transacción de nuevo con la autenticación si el banco emisor de la tarjeta rechaza tu solicitud de exención.

• Si estás utilizando nuestra solución de integración DirectLink, consulta el capítulo sobre este tema.
• Si estás utilizando nuestra solución de integración e-Commerce, consulta el capítulo sobre este tema.

5. Exclusiones de SCA

Algunas transacciones se consideran fuera del ámbito de aplicación y están excluidas de la PSD2. De este modo, no se requiere ninguna autorización sólida de clientes.

• Transacciones a través de pedidos por correo o por teléfono (MOTO)
• Transacciones que ocurren cuando su comprador o el banco del titular de la tarjeta se encuentran fuera de la zona del EEE.
• Tarjetas prepago anónimas hasta 150 € (Artículo 63 de la PSD2)
• Transacciones recurrentes, suscripciones o envíos retrasados/divididos que cumplan las condiciones de las transacciones iniciadas por los comercios (MIT). Si tus reglas no cumplen estas condiciones, deberás enviar parámetros adicionales a nuestra plataforma. Sin embargo, cuando se está configurando una primera transacción periódica con el cliente, la autenticación sólida de clientes es obligatoria y también necesita ser destacada con un parámetro específico Mpi.threeDSRequestorChallengeIndicator=04

6. Omitir SCA con rechazo suave

Tal y como hemos descrito en el capítulo anterior, puedes solicitar omitir por completo el proceso de autenticación SCA de algunas de tus transacciones. Sin embargo, siempre existe la posibilidad de que el banco de tu cliente insista en usar 3-D Secure, y esto resultará en una transacción rechazada.

El mecanismo de rechazo suave es una buena manera de recuperar estas transacciones rechazadas. Permite reenviar la transacción una vez más a nuestra plataforma después de un primer rechazo debido a la falta de 3-D Secure. El envío de los datos de autenticación en la segunda solicitud aumentará la posibilidad de que tu transacción sea finalmente aceptada. Está disponible para Visa, American Express, MasterCard y Carte Bancaire. 

Para obtener más información sobre el rechazo suave, consulta este tema de nuestra guía de DirectLink.