24 julio 2019

Como ya os contamos en el artículo de Introducción a la SCA, el próximo 14 de septiembre comienza la vigencia de la directiva PSD2 que incluye la obligatoriedad de SCA en compras online para la Unión Europea. 

Captura de la portada del documento de Visa

Por ello los e-commerce deberán adaptarse a la normativa, deciros que plataformas de pagos como Stripe o Adyen ya implementan 3D Secure 2 (3DS2) para gestionar los pagos con tarjetas de crédito en la Unión Europea. Ya que como os dijimos en el anterior post 3D Secure 2 es el protocolo que implementa SCA para el pago con tarjetas. 

Visa y Mastercard han sacado dos documentos (el de Visa, el de Mastercard) sobre cómo adaptarse a SCA (Strong Customer Authentication, Autenticación Fuerte del Cliente en castellano) y a la directiva PSD2 por añadidura. 

En el documento de Visa encontramos una sección muy interesante sobre cuándo debemos aplicar SCA.

¿Cuándo debemos aplicar SCA?

Lo primero que debemos saber es que las transacciones electrónicas de menos de 30€ no necesitan de SCA, es decir están exentas de cumplir con la normativa. Por lo tanto deberás aplicar SCA para cualquier transacción superior a 30€, las cuales en un e-commerce suelen ser muy habituales. Tampoco se aplica en el caso de pagos recurrentes, es decir pagos que se producen cada cierto tiempo y están autorizados por el usuario. 

La SCA se aplica cuando hay una compra única mayor de 30€ y se puede aplicar la primera vez que se autoriza un pago recurrente si hay un riesgo de fraude alto. 

La autenticación más sencilla y que cumple la SCA, según Visa, será el SMS OTP (One Time Password, Password de un sólo uso en castellano), es decir el sistema te enviará un password por SMS al teléfono que tengas conectado con la tarjeta, e introducirás ese password en el comercio para autenticar el pago y asegurar que eres tú el que haces ese pago. 

SCA según Mastercard 

Según Mastercard se deben cumplir los RTS (Regulatory Technical Standards, los estándares técnicos regulatorios) de SCA que son éstos. Además hay una aclaración de la EBA (European Banking Authority, Autoridad Europea de Banca en castellano) sobre el RTS de SCA. Estos criterios se aplicarán a partir del 14 de septiembre de 2019. 

Mastercard implementa la SCA y 3D Secure 2 (3DS2) a través de Mastercard Identity Check. Esta opción implementa la SCA para e-commerce, apps y websites, y el internet de las cosas (IoT). Mastercard usa 3DS2 en todo el territorio de la Unión Europea. 

Mastercard nos cuenta que la SCA no se aplica para cargos de menos de 30€, 100€ de gasto acumulado o 5 transacciones desde que SCA fue aplicado por última vez. El emisor de la tarjeta elige qué límite aplica al usuario. 

Mastercard apuesta porque los emisores de tarjetas apliquen las exenciones que marca la directiva y la RTS para que las transacciones tengan menos fricción y los usuarios puedan hacer mejor sus compras. Es decir, que los usuarios tengan una mejor experiencia de usuario en definitiva.

Trabajamos proyectos de diseño de servicios y productos digitales en los que la investigación de usuarios es un elemento fundamental del proceso.