Strong Customer Authentication (SCA): todo lo que debes saber sobre ella

Puede que todavía no sepas lo que significan las siglas SCA, pero si vendes por internet, te garantizamos que antes de que acabe el verano te habrás cansado de oír hablar de ellas. De hecho, si no te aplicas con el tema, estas siglas pueden convertirse en un importante cortapisas para tus ventas a través de Internet. Para que eso no ocurra, te explicamos en este post todos los detalles de una legislación que tendrá relación directa con la evolución del comercio online en Europa en los próximos años.

Empecemos por el principio, es decir, resolviendo de forma clara y sencilla las tres dudas principales que te pueden surgir al enfrentarte a las siglas SCA.

  • ¿Qué es la SCA? Estas tres letras hacen referencia al reglamento que la Unión Europea pondrá en marcha el 14 de septiembre: Strong Customer Authentication, o lo que es lo mismo, Autenticación Reforzada de Cliente. Esta normativa obligará a las empresas a reforzar la verificación de los pagos realizados a través de Internet.
  • ¿Por qué se ha creado? El objetivo de esta normativa es reducir el fraude en los pagos en la red: el que realiza un usuario que hace un pago fraudulento y el que sufre un usuario al que le han sustraído sus claves de identificación (como la tarjeta de crédito o contraseñas).
  • ¿Cómo va a afectar a los eCommerce o transacciones online? Su entrada en vigor obligará a las empresas a modificar sus pasarelas de pago, ya que la Autenticación Reforzada está basada en dos factores de autenticación. Como empresa, no solo deberás garantizar que el proceso de identificación que ofreces sea correcto, sino que te expondrás al riesgo de que el cliente, incómodo por añadir un paso más al proceso de pago, no finalice la operación.

Ahora que ya conoces las principales características de la SCA o Strong Customer Authentication, vamos a entrar en materia, porque una normativa de esta trascendencia no puede explicarse en solo unas líneas.

SCA, un reglamento que cambiará el futuro del comercio electrónico en Europa

La importancia de esta normativa reside en el hecho de que la seguridad es un factor clave para el comercio online. El miedo a que el pago no se realice correctamente, a tener que proporcionar datos personales, a que esos datos se pirateen… es sin duda uno de los mayores frenos para las compras a través de Internet. Conseguir, por lo tanto, un proceso de verificación de la identidad que dé al consumidor la total garantía de seguridad con sus datos, podría convertirse en la lanzadera definitiva para la popularización del comercio online: mayor confianza es igual a más compras y, por lo tanto, más gasto.

En el camino para conseguir esta total garantía de seguridad, sin embargo, podemos encontrarnos un gran escollo: incrementar los pasos dentro del flujo de pago puede frenar al consumidor que decide no finalizar la compra y es que, como ya hemos comentado en este blog, una buena experiencia de cliente es crucial para conseguir una venta. A esto se suma el hecho de que, en los primeros meses tras la aplicación de la nueva normativa, haya empresas (especialmente pymes) que no hayan actualizado todavía sus procesos de autenticación, por lo que el pago sería rechazado automáticamente por el banco de la tarjeta del cliente.

Las características del nuevo proceso de autenticación

Para garantizar la máxima seguridad en los pagos, la SCA exige una doble verificación, es decir, el cliente tendrá que utilizar al menos dos de estos tres elementos para poder realizar un pago o transacción:

  • Algo que el cliente tiene (su teléfono móvil)
  • Algo que el cliente conoce (una contraseña o código PIN)
  • Algo que identifique personalmente al cliente (su huella dactilar o reconocimiento facial)

Las exenciones, clave para afrontar la normativa Strong Customer Authentication

Aunque es evidente que las empresas tendrán que adaptar sus procesos de pago a esta doble autenticación reforzada, la normativa prevé importantes exenciones que podrían liberar de este paso a gran parte de los cobros que se realicen. Son las siguientes:

  • Pagos inferiores a 30 euros. La doble autenticación no será necesaria para todas aquellas compras inferiores a 30 euros. Esto podría aligerar gran parte de las transacciones, sin embargo, no es tan fácil como parece. Cada cinco pagos menores de 30 euros que realice el usuario, o cuando estos pagos menores sumen en su conjunto más de 100€, el banco del cliente deberá pedirle una autenticación reforzada.
  • Pagos telefónicos. Cuando el pago se realice a través del teléfono, es decir, cuando el cliente está en contacto con una centraliza y autoriza un pago, no se aplicará esta normativa de identificación.
  • Pagos recurrentes o iniciados por el comercio. Sin duda, es una de las exenciones que más puede liberar a los comercios. Ni la cuota del gimnasio, ni las actividades extraescolares, ni las suscripciones a periódicos, ni la tarjeta transporte, todo lo que sean pagos recurrentes queda exento de la doble verificación. Lo mismo ocurrirá cuando sea el comercio y no el cliente quien inicia el cobro, por ejemplo, en el caso de que el usuario tenga guardados los datos de su tarjeta en la aplicación de la tienda. Si un cliente ya está registrado en la web de la pizzería, no deberá verificar el pago cada vez que pida una pizza, eso sí, la primera vez que introduzca sus datos sí deberá seguir el proceso de identificación reforzada.
  • Empresas de confianza. Esta exención beneficia especialmente al cliente ya que podrá indicar a su banco aquellas empresas que considera “de confianza” y, por lo tanto, ninguna de las operaciones que realice con ellas requeriría de la doble verificación.
  • Transacciones de bajo riesgo. Determinadas operaciones podrán ser identificadas por el proveedor de pagos como “de bajo riesgo”, a través del análisis de las tasas habituales de fraude. En estos casos, no se realizará la doble identificación. Como en cualquier otra de las exenciones anteriores, será el banco del titular de la tarjeta quien tenga la última palabra para aprobar o no el pago sin necesidad de más verificación.

Checklist para que tu negocio sobreviva a la SCA

Tras leer este post tendrás claro qué es la SCA y cómo afectará a tus ventas, pero entonces te quedará pendiente la tarea más importante: preparar tu negocio para poder cumplir con la nueva normativa. Este checklist te marcará los pasos a seguir:

  1. Evalúa cómo afectará la aplicación de la normativa (especialmente sus exenciones) a tu negocio: ¿tengo cobros recurrentes?, ¿registran mis clientes su tarjeta bancaria en mi web?, ¿cuál es el importe medio de los cobros o ventas que se realizan?
  2. Adapta tu pasarela de pagos para que, a partir del 14 de septiembre, puedas pedir a tus clientes la doble autenticación reforzada de su identidad en cada operación. Si tienes dudas sobre si tienes que realizar alguna adaptación, contacta con nosotros.
  3. Mejora al máximo la experiencia de cliente en tu web para que este paso extra de seguridad no se convierta en un elemento disuasorio para los consumidores: interfaz más sencilla, pop-ups que informen a cliente de las garantías de seguridad del nuevo proceso, emails informando a tus clientes recurrentes de la nueva normativa, la fecha de entrada en vigor y sus beneficios, etc.

Aunque en este mismo artículo hemos destacado de los riesgos de la SCA, su principal ventaja es aumentar las ventas online así que no puedes desaprovechar la oportunidad de tener tu negocio listo para ello. La aplicación de una norma restrictiva no tiene por qué suponer un retroceso para la industria. La obligación de utilizar cinturón de seguridad en los coches, por ejemplo, no disminuyó las ventas de vehículos, sino que, tras convertirse en un hábito ciudadano, ayudó a disminuir las víctimas de tráfico. ¿Por qué la obligación de una doble identificación en los pagos no iba convertirse en el revulsivo definitivo para el comercio online en Europa?

¿Te ha gustado esta entrada? ¡No dudes en compartirlo!



Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies

¿No encuentras lo que estás buscando?

 

¿No encuentras lo que estás buscando?

 

POLÍTICA DE PRIVACIDAD

De conformidad con lo dispuesto en el artículo 5 de la vigente Ley Orgánica 15/1999 de Protección de Datos (LOPD), Universalpay entidad de pago, S.L.U. –como entidad receptora de los datos- informa que, tal y como se desprende de la naturaleza de los datos personales solicitados en los diferentes impresos y/o documentos electrónicos de esta Entidad y de las circunstancias en que se recaban los mismos, los datos solicitados, los obtenidos durante el estudio de la solicitud, precontrato o contrato, los derivados, en su caso, del uso del producto o servicio contratado y aquellos otros conexos que pudieran ser obtenidos en registros públicos u otras fuentes legalmente admitidas, se incorporarán y tratarán en un fichero de datos de carácter personal para uso interno y prestación de servicios financieros, consistentes en el ofrecimiento, por cualquier medio incluidos los electrónicos, de productos bancarios, seguros, productos de inversión y de previsión y todos aquellos complementarios de éstos, siendo únicamente necesario facilitar los citados datos en la medida en la que se desee formalizar el correspondiente contrato, precontrato o solicitud. Con el consentimiento del titular, los datos así recogidos se tratarán para la elaboración de perfiles, mediante técnicas de segmentación o CRM, a fin de hacerle llegar las ofertas más adecuadas, así como su tratamiento y cesión para el intercambio de información con entidades prestadoras de servicios de solvencia patrimonial, crédito y prevención del fraude, para el análisis del riesgo y para el cotejo o contraste de sus datos a fin de comprobar la exactitud y veracidad de los mismos, y aquellas cesiones que pudieran producirse a favor de un tercero que adquiriese los derechos y obligaciones derivados del contrato que tenga formalizado o formalice. El responsable del fichero y del tratamiento es la entidad receptora de los datos ante la cual las personas legitimadas para ello pueden ejercitar los derechos de acceso, rectificación, cancelación y oposición reconocidos en la indicada Ley Orgánica y su normativa de desarrollo, mediante escrito dirigido a su dirección, a tales efectos, en la calle Condesa de Venadito 1 de Madrid (28027). Con el consentimiento del interesado, los datos así recogidos serán objeto de comunicación o cesión entre la entidad receptora y Universalpay Entidad de Pago, S.L.U. y auxiliares de éstas para los fines y actividades antes indicados. Dicho consentimiento subsistirá incluso concluida la relación contractual o finalizada la prestación del servicio y en los supuestos en que, solicitado el contrato o servicio, éste no llegase a ser formalizado o prestado. En todo caso, transcurridos dos años desde la finalización de la relación contractual o de la prestación del servicio o desde su solicitud, si aquellos no hubieran llegado a ser formalizados o prestados, quedarán excluidos aquellos tratamientos consistentes en el ofrecimiento de productos financieros, así como en la elaboración de perfiles. Las entidades de crédito y demás proveedores de servicios de pago, así como los sistemas de pago y prestadores de servicios tecnológicos relacionados a los que se transmitan los datos para llevar a cabo la transacción pueden estar obligados por la legislación del Estado donde operen, o por Acuerdos concluidos por éste, a facilitar información sobre la transacción a las autoridades y organismos oficiales de otros países, situados tanto dentro como fuera de la Unión Europea, en el marco de la lucha contra la financiación del terrorismo y formas graves de delincuencia organizada y la prevención del blanqueo de capitales.

GOOGLE ANALYTICS

Esta página web utiliza Google Analytics, un servicio analítico de web prestado por Google, Inc. (“Google”). Google Analytics utiliza “cookies”, que son archivos de texto ubicados en su ordenador, para ayudar al website a analizar cómo los usuarios utilizan el sitio. La información que genera la cookie acerca de su uso del website (incluyendo su dirección IP) será directamente transmitida y archivada por Google en los servidores de Estados Unidos. En caso de activación del anonimato IP, Google truncará / anonimizará el último octeto de la dirección IP para los Estados miembros de la Unión Europea, así como para otras partes en el Acuerdo sobre el Espacio Económico Europeo. Sólo en casos excepcionales, la dirección IP completa se envía y se acorta a los servidores de Google en los EE.UU. En nombre del proveedor del sitio web, Google usará esta información con el propósito de evaluar su uso, recopilando informes de la actividad del website y prestando otros servicios relacionados con la actividad del website y el uso de Internet con el proveedor de sitio web. Google no asociará su dirección IP con ningún otro dato del que disponga Google. Usted puede rechazar el uso de cookies, mediante la selección de la configuración apropiada de su navegador. Sin embargo, tenga en cuenta que si usted hace esto, es posible que no pueda usar la plena funcionabilidad de este website. Además usted puede prevenir la colección de Google y el uso de datos (cookies y dirección IP) descargando e instalando disponible el plug-in del navegador bajo https://tools.google.com/dlpage/gaoptout.

Usted puede rechazar el uso de Google Analytics, haga clic en el siguiente enlace, una cookie de exclusión voluntaria se establecerá en su equipo, lo que impide la futura recogida de datos cuando visite este sitio web: DESACTIVAR GOOGLE

ANALYTICS

Más información acerca de los términos y condiciones de uso y privacidad de los datos se puede encontrar en http://www.google.com/analytics/terms/es.html o al https://www.google.de/intl/es_ES/policies/. Tenga en cuenta que en este sitio web, el código de Google Analytics se complementa con “anonymizeIp” para garantizar una colección anónima de direcciones IP (llamado enmascaramiento-IP).