Hoy vengo con un tema super aburrido pero esencial de tratar para todos nosotros, tanto si eres usuario como si tienes un ecommerce. Además, he visto necesario hacer hincapié redactando un post completo dedicado a ello porque he notado que es un tema que ha pasado bastante desapercibido con lo importante que es.
Y es que estamos hablando de un cambio tremendo en la forma en la que vamos a comprar por Internet.
Índice
¿Qué es la normativa PSD2?
Es una nueva normativa Europa que ha entrado en vigor el 14 de septiembre de 2019 y que tiene como objetivo reforzar la seguridad en las transacciones electrónicas y reducir al máximo posible el riesgo de fraude.
También regula el gran crecimiento de la aparición en el mercado en los últimos años de las empresas llamadas fintech (como nuestro querido STRIPE, por ejemplo, pero existen muchísimos más actores de tecnologías financieras).
Todas estas mejoras suenan muy bien pero tienen bastantes repercusiones sobre las tienda/bancos/usuarios porque tendremos que gestionar los pagos de una forma totalmente diferente.
Por suerte, visto la complejidad que parece toda la adaptación por ciertos sectores de la economía (lo leerás a continuación), se ha conseguido una prorroga por el Banco de España de entre 14 y 18 meses (todavía pendiente de definir). Así que ahora puedes respirar y seguir leyendo, pero tampoco te relajes demasiado, ¿eh?
Entonces, ¿cómo se va a reforzar la seguridad en las transacciones?
Fácil: aplicando unos nuevos requisitos de seguridad… Y esa es la parte chunga para todos, pero que realmente aporta beneficios.
Por cierto, aunque haya una prorroga para las tiendas en el cumplimiento de la normativa, como usuario estoy segura que si has entrado en tu banco online desde el 14 de septiembre has necesitado tu móvil para acceder. Es un nuevo sistema de autenticación reforzada (strong customer authentication, abreviado como SCA), una de las medidas estrella de la normativa PSD2.
¿Cómo es el nuevo sistema de autentificación?
La autentificación reforzada combina dos elementos independientes para verificar la identidad del cliente que accede a una cuenta o realiza un pago electrónico (two factor authentification – 2FA).
El usuario que procederá a realizar un pago estará obligado a usar al menos dos de los tres siguientes factores:
– Algo que solo conozca el usuario, como, por ejemplo, una contraseña.
– Algo que tenga el usuario, como un teléfono móvil, un DNI o una tarjeta,
– Algo que forme parte de él (identificación de rasgos biométricos), como su huella dactilar, el reconocimiento facial, su ojo.
Existen algunas excepciones:
– Transacciones denominadas de bajo riesgo (pasadas por un filtro especial).
-Transacciones de bajo valor: con importes iguales o inferiores a 30€ siempre y cuando el cliente que las realice tenga un importe exento acumulado igual o inferior a 100€ o un total de transacciones exentas iguales o inferiores a 5.
– En las transacciones recurrentes en las que se mantengan importes, beneficiarios, periodicidad y sistema de pago solamente se requerirá autenticación en la primera transacción (en suscripciones, por ejemplo). Aquellas operaciones que se hayan iniciado con anterioridad a la entrada en vigor de la directiva PSD2 no será necesario autenticarlas.
– Transacciones en que el cliente haya puesto el comercio en una lista blanca (comercio de confianza indicada a su banco).
– Ventas por teléfono.
– Pagos corporativos con tarjetas de empresa.
– Pagos fuera de al UE porque esta normativa es Europa…
Algunas ventajas:
Para el usuario: mayor control sobre sus datos bancarios y transacciones.
La nueva normativa también contempla una mayor protección del usuario en caso de robo y de fraude: el usuario sólo será responsable de pagos no autorizados de hasta 50 euros y a partir de esa cifra será el proveedor el que tendrá que hacerse cargo del importe defraudado. Antes, era hasta 150 euros.
El cambio importante que quiere instaurar esta normativa tiene que ver con la experiencia de usuario en las tiendas. Se quiere evitar las pasarelas externas de pago que ralentizan todo y que el pago se realice en la misma web como Amazon Pay, por ejemplo. El objetivo es igualar las diferencias entre plataformas grandes y pequeñas en este aspecto y hacer el proceso de pago más ágil, reduciendo el mayor número posible de actores.
Con la PSD2 las plataformas de pago se incorporaran directamente en los ecommerces y todo el proceso de compra se hará sin abandonar la web.
Así que para los ecommerces y los usuarios, supuestamente, las compras serán más rápidas así que menos abandonos de carritos en el proceso de compra (por cierto, te has dado cuenta que ya no será necesario tener físicamente la tarjeta, flipante, ¿verdad?).
Se disminuye el número de actores pero esta normativa conlleva la aparición de nuevos intermediarios para posibilitar todos estos procesos de autentificación…
Posibles problemas…
Bueno, comentan los expertos que todo va ser más sencillo a la hora de comprar para el usuario (no será necesario la tarjeta si no quieres, menos actores, menos redirecciones en la web), pero… eso ya habrá que verlo, por lo menos al principio… ¿Habéis oído del famosos proceso de APRENDIZAJE…?
Lo cierto es que el usuario tendrá que autenticarse con mucha más frecuencia que hoy.
Entiendo que esta ley es buena para nosotros, pero por experiencia propia, cuantos más requisitos le ponemos al usuario peor… Este cambio, si no está al corriente, le generará sorpresa…
Además, si es un poco torpe (perdón por decirlo de esta forma), si no tiene el móvil a mano, la cartera con la tarjeta, se ha quedado sin batería, etc, y no sabe autentificarse bien o le resulta complicado en ese momento (por ejemplo, está currando, y… ohhhh está comprando mientras trabaja, ¡qué cosa más rara, ¿verdad?), perderá paciencia o desistirá y no tramitará la compra, así que mucho cuidado al principio… Vigilar mucho el número de carritos abandonados, porque puede ser una de las principales consecuencias del cambio para los ecommerce…
Así que es mejor seguir ofreciendo otros métodos de pago eWallet como Google Play, Apple Play, Amazon Pay o PayPal, ya que tienen por sí integrados un doble método de autentificación.
¿Y ahora qué?
Ahora, tu responsabilidad como gestor de tienda online es asegurarte de procesar como compra segura todas las operaciones que así lo requieran por la nueva normativa PSD2.
Te recomiendo contactar con tu proveedor de servicio de pago o banco para verificar que el mismo cumple con la normativay PSD2 y comprobar si necesitas hacer algún ajuste en el proceso de compra de tu web con el programador (es decir, por ejemplo, optimizar la página de compra si es necesario, añadir un check o algo similar en plan “recuerdame para que te añada en la “lista blanca”).
Por norma general, ellos ya están haciendo los cambios y actualizando el nuevo protocolo y utilizando tecnología para cumplir con la directiva, pero es mejor informarse porque tú eres el responsable final de cumplir la normativa.
Tendrás que actualizar también tus Condiciones de Venta y tu Política de Privacidad para cumplir con la RGPD.
Si usas Stripe como yo, en principio solo es necesario actualizar el plugin y el de woocommerce también.
Stripe tiene una herramienta llamada Stripe Radar de machine learning para combatir el fraude y nos comenta que permite que tu empresa acceda a exenciones por transacciones de bajo riesgo (no sería necesario la autentificación en muchos casos). Y cuando los clientes sí deben autenticar, Stripe te ayuda a reducir la fricción mediante flujos de autentificación integrados en el proceso de compra y soporte para la verificación biométrica (datos extraídos de su página).
Stripe ya utiliza 3D Secure 2, la nueva versión del protocolo de identificación que cumple la normartiva PSD2, asi que fenomemal.
Y para resumir, todo esto no es una opción, es obligatorio, así que manos a la obra y no te demores demasiado.
Seguramente todo esto contribuye a la larga a aumentar la confianza online de los usuarios más reticentes a realizar pagos online, así que seguramente será bueno para los negocios ;).
Cuéntame, ¿te habías enterado de esta nueva normativa?
Deja una respuesta