¿Qué es la normativa de pagos PSD2?

Tiempo de lectura 3 minutos

¿Cumple mi hotel la normativa de pagos PSD2?

¿Qué es la normativa de pagos PSD2? ¿En qué afecta a tu hotel? Toda la información que necesitas en relación a la nueva normativa de pagos PSD2.

Todos llevamos muchos meses escuchando hablar sobre la entrada en vigor de la PSD2 y la autenticación reforzada del cliente o SCA (Strong Customer Authentication) en los pagos online. El objetivo de este post es resolver todas las posibles dudas acerca de ella y aclarar al hotelero cómo le afecta. 

En posteriores post, explicaremos con más detalle la afectación de la normativa según la operativa de cobros de cada hotel, diferentes opciones para adaptarse o simplemente, si ya están adaptados, soluciones para mejorar su operativa.

¿Qué es la PSD2 y qué objetivo tiene? 

Para ponernos en contexto, en 2007 se creó la primera Directiva de Servicios de Pago, PSD (Payment Service Directive) con el objetivo de contribuir en el desarrollo de un mercado único de pagos en la Unión Europea. 

En 2013 se propuso una revisión de la misma, para aumentar la seguridad en las transacciones que se realizan online y así reducir el fraude, y la denominaron PSD2. 

¿Qué parte de la PSD2 afecta al sector hotelero?

En la directiva PSD2 hay distintos cambios, pero el que afecta a los cobros de reservas hoteleras es la aplicación de la SCA (Strong Customer Authentication). 

¿Qué es la SCA y cómo afecta a los cobros de reservas?

La SCA o autenticación reforzada se aplicará cuando la entidad de la tarjeta del cliente identifique una operación con riesgo de fraude y requerirá al titular que se autentique para asegurar el pago en modo seguro. 

La nueva normativa obliga a que todas las transacciones eCommerce europeas estén autenticadas con 2 de estos 3 factores de autenticación: 

  1. Algo que tengo (móvil, tarjeta,…) 
  2. Algo que sé (PIN, contraseña,…)
  3. Algo que soy (huella, reconocimiento facial,…)

¿Cuando entra en vigor la PSD2?

La entrada en vigor de la nueva normativa europea PSD2 fue el pasado 14 de septiembre, pero al no estar el mercado europeo preparado para poner en marcha la SCA, se aprobó una prórroga de 18 meses, lo que pospone el cumplimiento de la misma hasta el 14 de marzo de 2021.

¿Afectará al 100% de los pagos online?

No. Existen dos grupos de transacciones sobre las que no aplica la SCA: 

Operaciones EXCLUIDAS de la SCA

Transacciones con el titular de la tarjeta presente

Estas operaciones no se ven afectadas ya que el cliente introduce su PIN en el terminal físico para autenticarse y autorizar el cargo.

MO/TO (Mail order/Telephone Order)

Operaciones en las que el pago se ha iniciado por teléfono o por email. Tan solo se tendrá que configurar este tipo de transacción en el TPV para poder realizar el cargo.

One-leg out

Operaciones donde el banco emisor o el comercio sea de fuera del EEE* (espacio Económico Europeo).
*Reino Unido se ha acogido a la normativa, así que se considera país SCA.
Ejemplos de no aplicación: tarjetas de bancos americanos, chinos o LATAM en comercios que procesen cobros a través de bancos españoles.

Tarjetas pre-pago anónimas o virtuales

No se puede autenticar a un único usuario

Operaciones iniciadas por el comercio o MIT (Merchant Initiated Transactions)

El comercio, previa firma de acuerdo con el cliente, podrá iniciar operaciones sin la participación directa del cliente. Es requerida una autenticación SCA en el pago inicial, en la primera compra.
Ejemplo: cargo por no show (la autenticación se realizaría en el momento de la reserva y así después se podría realizar un cargo posterior sin volver a autenticar)

A tener en cuenta que las operaciones EXCLUIDAS son enviadas por el comercio como compra “no segura” (No-3DSecure). El banco emisor solo puede aceptarlas o denegarlas pero nunca requerirá la autenticación al cliente.

Operaciones EXENTAS de SCA por el comercio o el banco emisor

El comercio puede solicitar a la pasarela de pagos, que aplique las siguientes excepciones: 

  1. Transacciones por importe menor o igual a 30€
  2. Transacciones de bajo riesgo

El emisor puede solicitar que aplique las siguiente excepción: 

Lista blanca de beneficiarios de confianza 

El emisor autoriza a su banco a que no le solicite autenticación cuando compre en ellos.

A tener en cuenta que las operaciones consideradas EXENTAS solo pueden ser enviadas como “compra segura” (3DSecure). El banco emisor puede aceptarlas, denegarlas y también requerir una autenticación del cliente previa. 

Conclusiones

Cada vez será más complicado poder realizar cargos manuales (a través de terminales físicos) no presenciales (tarifas prepago y no shows) únicamente con la numeración de la tarjeta del cliente, ya que éstos van a requerir que el titular se autentique en la gran mayoría de los casos y/o éstos pueden ser devueltos por la entidad del cliente al ser procesados en modo no seguro.

El hotel debe valorar la afectación de la SCA en su actual operativa y estudiar las distintas opciones de las que dispone para adaptarse a ella.

Lo que está claro, es que el deber de cumplir esta nueva normativa, está siendo un fuerte empujón a la adaptación de muchos hoteles a las nuevas tecnologías que permiten realizar cobros automatizados y seguros, reduciendo así tiempos de gestión y asegurando el cobro de las reservas.