El 1 de enero de 2021 era la fecha prevista para la finalización del plazo de «flexibilidad supervisora» otorgado por el Banco de España para la aplicación de Autenticación Reforzada (Strong Customer Authentication, SCA) en las transacciones online de más de 30 euros. El año ha comenzado y, sin embargo, el ecosistema de medios de pago sigue sin estar del todo preparado para el pleno funcionamiento de la SCA, por lo que el Banco de España ha otorgado cierta discrecionalidad a las entidades emisoras para autorizar los pagos, ampliando de facto el plazo máximo de implementación. Para aclarar las posibles dudas que esta situación ha podido generar en el sector, el pasado lunes organizamos una sesión virtual, de la mano de José Luis Zimmermann, director general de Adigital, y Marc Nieto, asesor en materia de medios de pago de Adigital. Estas son las principales conclusiones del encuentro.
Un poco de contexto
La necesidad de implementar la autenticación reforzada en los pagos online viene establecida por la Directiva de Medios de Pago (PSD2), que entró en vigor en septiembre de 2019 y que establece que todas las transacciones online, con algunas excepciones, exigirán la autenticación del usuario del medio de pago con dos de los siguientes tres factores: algo que se es, algo que se tiene o algo que se sabe.
Sin embargo, antes de la entrada en vigor de la Directiva, el sector de medios de pago alertó a la Autoridad Bancaria Europea (EBA) de que el sistema no estaba preparado para asumir las obligaciones establecidas en la misma. De este modo, se acordó un periodo de “flexibilidad supervisora”, durante el cual no se aplicó la autentificación reforzada. Este periodo finalizó el pasado 1 de enero.
La situación actual: un aterrizaje suave
Una vez llegado el 1 de enero, y dado que persisten las dificultades para la implementación de la SCA, los bancos tienen margen de actuación para autorizar pagos:
- hasta el 31 de enero se puedan realizar transacciones de hasta 250 euros sin SCA, y
- desde el 1 de febrero, ya solo se podrán realizar transacciones hasta 30 euros sin SCA, tal y como estaba previsto en la Directiva del 2019.
Desde el día 1 de marzo, las entidades emisoras deben rechazar todas las transacciones, no sujetas a alguna exención, que no sean autenticadas por el banco adquiriente (full enforcement). A partir de esa fecha, salvo las excepciones previstas, todas las transacciones online de más de 30 euros exigirán la autenticación del usuario con dos factores (algo que es, algo que tiene o algo que sabe).
Es muy importante destacar que el Banco de España otorga discrecionalidad a las entidades emisoras para autorizar los pagos, pero es potestativo de las mismas autorizar o no la transacción y que, en cualquier caso, no se modificaría la responsabilidad en caso de fraude. Es decir, en las transacciones no autenticadas, la responsabilidad sería del banco adquirente, que la repercutirá al ecommerce.
Si miramos al resto de Europa, podemos observar que la aplicación de la SCA difiere según el país. Algunos Estados han otorgado formalmente mayor flexibilidad (en Reino Unido no será totalmente aplicable hasta octubre de 2021) y otros han aplicado la normativa desde el inicio de año (Portugal u Holanda).
¿Qué nos estamos encontrando actualmente en el mercado?
De acuerdo con los datos que se han podido obtener en estos últimos días sobre la evolución del efecto de la aplicación de la SCA, las entidades emisoras apenas están declinando transacciones no autenticadas, independientemente del importe, y a pesar de la normativa y de los timings del Banco de España. De hecho, según los datos que comparte Marc Nieto, procedentes de MPServices, sólo el 2% de las transacciones con importes superiores a 250€ y sin autenticación están siendo rechazadas (soft decline).
Asimismo, se continúa apreciando que ni el ecosistema de medios de pago ni el consumidor parecen estar lo suficientemente preparados para esta normativa. En primer lugar, cabe señalar que en España hay un número muy significativo de tarjetas que no soporta la SCA y, por parte de los usuarios, en la mayoría de los casos, desconocen el proceso de doble autenticación. De hecho, los ecommerce que hicieron la migración el día 1 de enero se encontraron con un volumen considerable de llamadas a sus servicios de atención al cliente de usuarios que no sabían completar el proceso de pago de la compra como consecuencia de la aplicación de los protocolos para realizar la autenticación .
El impacto de la SCA
En el caso de los ecommerce que sí están aplicando SCA, se ha podido apreciar durante estos días un impacto relevante en la tasa de conversión, con un ratio de transacciones caídas debidas a la aplicación de la SCA de un 23,5%.
Se estima que, a medida de que las entidades emisoras empiecen a aplicar soft-declines y fuercen la autenticación para transacciones de más de 30 euros, el impacto de la SCA en España puede llegar a ser muy relevante debido a que las transacciones online que no se realicen a través de SCA serán rechazadas y podrían observarse, por tanto, mayores caídas en las tasa de conversión. Por ello es fundamental corregir las deficiencias y evitar que la tasa de abandono en el ecommerce aumente.
Recomendaciones para los comercios
- Definir una estrategia propia que se adecue a las necesidades del comercio y hacer uso si se puede de las exenciones previstas;
- Tener integrado ya 3DS 2.X (a ser posible en la v. 2.2) y con llamada a la v. 1;
- Demorar en tanto que el mercado lo permita la autenticación con la posibilidad de volver a hacer la transacción en SCA de forma automática;
- Formar al equipo de atención al cliente para atender las dudas de los clientes; e
- Incluir en el check out de pago información para los clientes sobre los nuevos requisitos de pago introducidos por la SCA.
Desde Adigital, seguiremos muy de cerca las novedades en esta materia para informar a nuestras empresas asociadas de todos los cambios que afecten e impacten en su actividad. Puedes mantenerte al día en nuestra sección de noticias y nuestros canales en Twitter y Linkedin.