Normativa de pagos PSD2: claves de la autenticación reforzada (SCA)

Sonia Mateos Arco

15 Dic 2020

15 Dic
autenticación reforzada PSD2
Tiempo de lectura: 3 minutos

El 31 de diciembre expira la moratoria aplicada para la nueva Directiva Europea de Servicios de Pago, conocida como PSD2. Esto se traduce en que, a partir del 1 de enero de 2021, será obligatorio aplicar la autenticación reforzada de cliente (SCA, por sus siglas en inglés) a todas las tarjetas europeas, en los pagos electrónicos.  

Con ello, se pretende mejorar la seguridad de los consumidores europeos en sus compras online y minimizar la posibilidad de fraude. De esta manera, además, mejora la experiencia de usuario. 

Pero, ¿realmente sabemos qué es la autenticación reforzada y qué cambios implica para nuestro establecimiento? 

¡Descúbrelo en este artículo!

Autenticación reforzada de cliente (SCA)

La normativa PSD2 establece que, al realizar una transacción, ya no bastará con introducir el PIN de la tarjeta, sino que será necesaria la verificación mediante, al menos, dos elementos de autenticación. El sistema solicitará al cliente dos de los siguientes factores: 

  • Algo que conozcamos (PIN, contraseña, información o un código temporal). 
  • Alguna cosa que poseamos (nuestro teléfono móvil, reloj inteligente o token). 
  • Algo inherente a nosotros (huella dactilar, iris, patrones de voz o reconocimiento facial). 

Solo cuando el pagador haya proporcionado dos de estos factores de autenticación se le permitirá completar el pago. En el caso de no hacerlo, el pago sería rechazado.

Los pagos online se han vuelto clave, ¡ofrece seguridad y confianza a tus clientes cumpliendo con la normativa PSD2!

Operaciones que no requieren SCA

Las siguientes operaciones no requieren de la aplicación de la autenticación reforzada:  

  1. One-leg out. Operaciones donde el banco emisor o el comercio sean de fuera del UE. 
  1. Transacciones MO/TO (Mail Order / Telephone order), es decir, todas las operaciones que introducimos manualmente en un datáfono físico. 
  1. Transacciones MIT (Merchant Initiated Transactions) con aplicación de la SCA en la primera compra, pero no en las siguientes. 
  1. Listas blancas con comercios de confianza a los que no se les requerirá la autenticación reforzada.  
  1. Pagos corporativos realizados con tarjetas de empresa y virtuales (métodos B2B). 
  1. Pagos por un importe inferior a 30 €.  
  1. Transacciones evaluadas como de bajo riesgo, por los proveedores de pago.

Cómo adaptarnos a la autenticación reforzada

La adaptación a la SCA va a depender de la operativa que estemos aplicando actualmente en nuestro establecimiento:  

TPV virtual no seguro 

En el caso de que todavía empleemos un TPV virtual en modo no seguro, a partir del 1 de enero de 2021 este pasará a modo seguro automáticamente. Esto significa que, a partir de ese momento, todas las transacciones que se realizaban, hasta el momento, sin verificación, pasan a necesitar la autenticación reforzada.  

TPV virtual seguro 

Si ya tenemos integrado un TPV en modo seguro, el cambio será mínimo. En lugar de utilizar un método de verificación, ahora se le solicitaran al cliente dos métodos que sólo él podrá cumplimentar.  

Sin TPV virtual 

Por último, si en nuestro establecimiento realizamos los cobros de forma manual, mediante un TPV físico, está normativa no nos afecta puesto que estas operaciones están exentas de aplicación de la SCA. 

En Neobookings ya estamos adaptados a la SCA con los principales sistemas: Redsys, Addon Payments y Paycomet.

En los supuestos de disponer de un TPV virtual:

La autentificación reforzada debe ser garantizada por nuestros proveedores de servicio (motor de reserva, PMS y pasarela de pagos), estos deben ajustar sus procedimientos para cumplir con la normativa PSD2.  

En el caso de Neobookings, para cumplir con la normativa, pasamos de almacenar la información de las tarjetas en nuestro sistema PCI Compliance, a que el cliente finalice la compra en la propia pasarela de pago (bien mediante un pop up o redirección a la página del banco). Además, los campos de dirección postal (país, ciudad, dirección y provincia) estarán siempre visibles, y será obligatorio rellenarlos si el cliente elige el pago con TPV virtual. 

Por su lado, nuestro banco debe avisarnos de los cambios en la normativa, los aspectos técnicos de esta, así como las posibles excepciones de seguridad y la configuración del TPV (por ejemplo, solicitar que nuestro TPV acepte tarjetas que no sean de la UE).

Ahora, en Neobookings, Redsys se convierte, igual que Addon Payments y Paycomet, en pasarela de pago tokenizada (cifrado de tarjeta). Permitiendo la automatización de segundos cargos de forma segura.

¿Puedo seguir operando con las tarjetas de Booking y del motor?

Sí, estas operaciones están exentas de cumplir con la normativa SCA. Por lo tanto, puedes seguir cobrando manualmente con tu TPV físico. 

Ahora bien, debemos tener en cuenta que estos pagos siguen siendo no seguros, y el cliente podrá retrocederlos en cualquier momento. 

¡Importante! Aplicando esta operativa, no se puede verificar que la tarjeta sea válida, por lo que no podremos asegurar el cobro en caso de no-show.  

¿Tienes dudas?

Si tienes dudas sobre cómo va a afectar la nueva normativa PSD2 en tu establecimiento, llámanos o contacta con nosotros. 

Si eres cliente puedes contactar con tu Account Manager o dejarle un mensaje aquí

Si todavía no eres cliente, estaremos encantados de ayudarte aquí

Sonia Mateos Arco / Sobre el autor

Más artículos por Sonia Mateos Arco