No tan breve introducción a la PSD2 y su impacto en el comercio electrónico

En los últimos años, el mundo de los pagos en Internet ha sufrido una revolución en todos los niveles de la mano de la digitalización del sector bancario. Estos cambios han sido especialmente promovidos por el mercado con nuevos actores que han alcanzado una magnitud internacional en pocos años, tal como en su momento lo hicieron PayPal, Square, Stripe, Braintree, Adyen, Amazon Payments, Google Pay, Apple Pay, Coinbase, entre otros.

El cambio que se ha percibido a nivel internacional en el mundo de los pagos online con tarjetas es gracias a la colaboración de estos nuevos actores con grandes multinacionales de procesamiento de pagos como Global Payments, VISA o MasterCard entre otros.

En estas sinergias cada miembro ha interpretado su papel a la perfección. Por su parte, las multinacionales han aportado su red de comunicaciones en tiempo real que permite pagos con tarjeta en la mayor parte del mundo. Y por otro lado, las nuevas empresas, han centrado todos sus esfuerzos en crear una mejor experiencia de usuario para el comprador y para el comercio.

Cambio sistemas de pago online

Pero también ha ocurrido un cambio fundamental en el ecosistema de pagos a una escala radicalmente opuesta.

Y es que, de la misma manera que PayPal en su momento supo posicionarse, muchos otros se han sumado en formas de pago sin tarjeta o donde la tarjeta es secundaria, y así han aflorado varios métodos de pago locales como, por ejemplo Bizum en España.

Actualmente hay más de 350 métodos de pago en todo el mundo y muchos de ellos en EU, LATAM y Asia. Los consumidores están cambiando poco a poco sus preferencias a la hora de realizar compras y los comercios a su vez también se van adaptando.

Especialmente desde un punto de vista tecnológico, todo este cambio junto con una migración progresiva del fraude en compras con tarjeta a entornos virtuales, ha acabado forzando una actualización del marco regulatorio en Europa. Las modificaciones en el marco legal han tomado la forma de una nueva directiva de pagos llamada Payment Service Directive 2, o como muchos la conocen ya, la PSD2.

Como habrán anticipado, la PSD2 viene a tomar el relevo de la que fue la PSD1 y, en este artículo, vamos a intentar desgranar algunos de los puntos más importantes sobre esta regulación, y el gran impacto que ha tenido en el mercado europeo.

OPEN BANKING

En primer lugar, y alejando el foco ligeramente del mundo de los pagos, a priori, encontramos un cambio de paradigma fundamental en el mundo bancario. Para esto, es importante entender la motivación de dicho cambio a nivel regulatorio.

Hace ya más de 8 años que compañías como Fintonic aparecieron en el mercado con fuerza, promoviendo un uso de los servicios bancarios de forma agregada (conectar y recopilar información de diferentes fuentes como distintas bancas online). Estas compañías ofrecían el servicio gracias a tecnologías como el ScreenScrapping o, para que nos entendamos, suplantaban la identidad del usuario con su consentimiento explícito. Estas empresas accedían a las cuentas bancarias de forma automatizada y extraían información y realizaban acciones como, por ejemplo, devolver recibos o emitir transferencias en nombre de sus clientes.

Estas acciones suponían un problema para la seguridad de todos los involucrados y una falta de trazabilidad importante, pero, por desgracia, esta era la única manera de poder prestar este tipo de servicios. La falta de capacidad (y predisposición) por parte del sector bancario de crear los mecanismos de comunicación necesarios, daban margen para este tipo de soluciones y, aunque durante un tiempo lucharon contra ellas, las capacidades técnicas de estos nuevos actores prácticamente siempre conseguían el mismo resultado, prácticamente ninguno.

Payment Service Directive 2

Ante este escenario, se muestra claramente un problema que la PSD2 viene a resolver, y es que, a partir de su entrada en vigor en septiembre de 2019, todos los bancos con sede en el Espacio Económico Europeo debían exponer un mínimo de APIs (application programming interface) para poder ejecutar consultas sobre extractos de cuentas bancarias y emitir transferencias desde las mismas en nombre de sus clientes.

Estas APIs evidentemente no son públicas, sino exclusivamente consumibles por los denominados TPPs (third party providers) de servicios de agregación de información de cuentas (AISPs) e iniciadores de pagos (PISPs). Estas figuras de nueva creación requieren de una autorización del regulador para poder operar, pero no necesitan tener licencia bancaria, lo cual facilita muchísimo la obtención de autorización.

Estas segundas licencias, las de PISP, permiten a las empresas prestar servicios de pago mediante transferencia bancaria. Grandes empresas como token.io están explotando este tipo de pagos, aunque no siempre resultan atractivas para los compradores, ya que si tiene coste por transferencia, entonces el pago en tiendas virtuales también lo tendrá.

STRONG CUSTOMER AUTHENTICATION

Volviendo estrictamente al mundo de los pagos, la PSD2 también ha venido a proponer un gran cambio, especialmente con la implementación de Autenticación reforzada o en inglés Strong Customer Authentication (SCA) de forma generalizada.

La autenticación reforzada consiste en requerir dos elementos de seguridad para poder acceder a los servicios de pago. Estos dos factores, deben formar parte de dos categorías distintas de las siguientes:

  • Algo que tienes: algún elemento que el servicio de iniciación de pagos sabe que tienes, a modo de ejemplo: tarjeta de crédito física o un dispositivo móvil.
  • Algo que eres: algún elemento biométrico de tu persona como, por ejemplo, huella o reconocimiento facial, etc.
  • Algo que sabes: algún elemento que solo tu conoces como, por ejemplo, los detalles de la tarjeta, un pin privado, etc.

Por ejemplo, en el momento en que se quiera realizar un pago, el cliente deberá aportar un código de un solo uso temporal recibido en su dispositivo móvil (algo que el cliente tiene) y, además, un pin o contraseña (algo que el cliente sabe).

Esto es parecido a alguna de las experiencias de pago que conocemos. En un entorno físico, por ejemplo, la tarjeta es algo que tenemos y el pin algo que sabemos y, por lo tanto, no cambia mucho. En un entorno electrónico sí que añade una fricción importante al proceso de pago, dificultando su ejecución y reduciendo la tasa de éxito o conversión.

Es este segundo escenario es donde radica el mayor reto de esta nueva normativa, puesto que, hasta principios de año, la operativa sin ningún tipo de autenticación todavía se podía encontrar en la mayoría de grandes plataformas de alta transaccionalidad. Encontrábamos claros ejemplos de pagos sin fricción en Amazon, en Vueling o en otras grandes compañías con grandes capacidades para el análisis de fraude.

Introducción a la psd2

Así pues, ¿se han acabado las compras en 1 click?, ¿están incumpliendo las empresas con modelos de recurrencia?, ¿cómo funcionarán lo pagos por teléfono?… Son muchas las incógnitas que se planteaban a finales de 2019 y muchas las respuestas que se han encontrado en la propia normativa.

Se han establecido ya varios mecanismos para poder ofrecer el máximo de seguridad para compradores y vendedores con la mejor experiencia de pago posible. Esto es gracias a las operaciones fuera de alcance de la normativa y de las exenciones en la autenticación.

Para entenderlo de mejor manera, des necesario mencionar las operaciones fuera de alcance, que son aquellas a las que la normativa no aplicará, y que son principalmente 4:

  • Las operaciones one leg out (aquellas operaciones en que el banco emisor de la tarjeta del comprador o el comercio no pertenecen al EEE).
  • Las tarjetas anónimas (principalmente de prepago).
  • Las operaciones MO/TO (u operaciones realizadas por correo o teléfono).
  • Las merchant initiated transactions (operaciones iniciadas por el comercio) que generalmente son las recurrentes.

Por otro lado, están las exenciones a la autenticación, que es donde la propuesta tecnológica de cada uno de los proveedores de servicios de pago ha tenido que hacer el mayor esfuerzo. Aquí encontramos ciertas situaciones en las que el emisor de la tarjeta podrá decidir no autenticar una operación y, por lo tanto, proveer de una experiencia de pago sin fricción a su cliente.

Para poder entender mejor el funcionamiento de las exenciones es muy importante destacar que, en una operación, los dos actores principales son el adquirente del comercio y el emisor de la tarjeta. Estos proveen de los instrumentos financieros que permiten la transacción y son los responsables de que no haya fraude por ninguna de las partes en la operación. En los siguientes párrafos nos ponemos un poco técnicos así que si lo prefieres puedes pasar a la acción aquí. 

Así pues, todas las partes están interesadas en autenticar la operación como marca la normativa, pero, por otro lado, eso entorpece mucho el pago y limita mucho la conversión de venta. Esto provoca la anteriormente mencionada, evolución tecnológica “forzada”.

Y es que, los emisores, por su lado, querrán evitar la autenticación cuando puedan catalogar las operaciones con riesgo bajo de ser fraude. Pero, les expondrá a tener que cubrir los fondos en caso de fraude.

Por otro lado, los adquirentes solicitarán exenciones al emisor para poder mejorar la experiencia de compra de sus clientes (comercios), pero esto les expondrá a tener que cubrir los fondos en caso de fraude.

Adicionalmente, aunque un adquirente solicite exencionar una operación, el emisor siempre se podrá negar y autenticarla.

La solución en la que se ha pensado es simple: información.

Pagos en Internet PSD2

Para poder maximizar las operaciones no autenticadas con el menor riesgo de fraude para todos los implicados, se ha creado un nuevo protocolo de autenticación llamado 3DS2. Este protocolo permite a los adquirentes recoger más información sobre el comprador y compartirla con el emisor de la tarjeta. De este modo, ambas partes pueden realizar un análisis de fraude en tiempo real.

En este protocolo es importante destacar, por ejemplo, la información del dispositivo con el que se efectúa la compra y del propio comprador como, por ejemplo: su correo, dirección o teléfono y, evidentemente, la información de su tarjeta.

Se espera que cada vez sea mayor la tendencia a enviar información, no solo en los campos obligatorios, sino más opcionales para mejorar los motores de detección del fraude de todo el ecosistema.

En la PSD2 se establecen varios motivos por los que se puede no autenticar, algunos son aplicables por la parte emisora directamente y otros los puede solicitar el adquirente, aunque el emisor siempre tiene la última palabra. A continuación, destacamos los motivos más importantes de solicitud de exención a la SCA:

  • Low value: cuando una operación está por debajo de 30€ se puede solicitar esta exención. Igual que las operaciones contactless en físico, no se podrán hacer más de 5 operaciones con esta exención o superar los 150€.
  • Corporate payments: pensada para operaciones realizadas con una tarjeta de empresa para transacciones corporativas.
  • White-Listing: esta exención está todavía en proceso de implementación en muchos bancos emisores y permitirá seleccionar comercios en los que como usuarios no queramos ser autenticados cada vez que ejecutamos una compra.
  • Recurring Payments: cuando realicemos pagos de forma frecuente en un comercio, se podrá solicitar esta exención. Este concepto es bastante ambiguo y por ese motivo no se recomienda su uso. En estos casos se recomienda hacer cargos mediante MIT
  • Low risk: las operaciones que han sido analizadas en tiempo real por si son fraudulentas, y el riesgo ha sido determinado como bajo, pueden solicitar ser exencionadas. Esta es la exención que con diferencia se recomienda más. El uso de esta exención está limitado por un importe máximo. Es decir, solo se puede solicitar para operaciones de hasta 100€, 250€ o 500€ en función del adquirente con el que se trabaje.

Como se puede apreciar, son bastantes lo nuevos conceptos que se han introducido durante el último cambio regulatorio y muchos de ellos de carácter tecnológico.

Y es que, tras la entrada en vigor el 1 de enero de este año, ya está en marcha una red renovada de entidades financieras preparadas para ayudar al cambio a consumidores y comercios.

En esta época que nos ha tocado vivir, este es un gesto que ha pasado a formar parte de la normalidad de muchos, pero no somos para nada conscientes de lo que ocurre entre bastidores cada vez que lo ejecutamos.

Esperamos que dentro de la complejidad de lo expuesto podáis encontrar explicaciones que os ayuden a familiarizaros y entender mejor todos estos conceptos, y si necesitáis ayuda en cualquier tema, ¡aquí estaremos!

 

¿Quieres más información sobre el PSD2?