Uno de los puntos clave de la directiva PSD2 es el nuevo protocolo de autenticación de usuarios que establece para los servicios de pago online. Este protocolo se conoce como ‘Strong Customer Authentication’ (autenticación reforzada de clientes) o ‘SCA’ por sus siglas en inglés, e introduce una serie de nuevos requerimientos de autenticación con el objetivo de aumentar la seguridad de los servicios de pago online.
Para conocer mejor el SCA, hemos hablado con Marc Nieto Fradera. Marc es economista y MBA por Georgetown University y ESADE, y CEO y cofundador de MPServices, consultora especializada en prevención y gestión del fraude para e-commerces. Adicionalmente, Marc es el experto designado en Pagos y Fraude de aDigital (la Asociación Española de la Economía Digital) y miembro del European Payments Council.
En términos generales, ¿Qué es el Strong Customer Authentication?
Cuando se planteó la Segunda Directiva de Pagos se definieron varios objetivos relacionados con el ecosistema de los pagos online y offline. Uno de los objetivos prioritarios era precisamente reforzar la confianza de usuarios y consumidores en la solidez y la seguridad de los pagos online. Y para ofrecer este marco de garantías al usuario se articula la Autenticación Fuerte de Usuario.
El Strong Customer Authentication es un sistema de autenticación en dos pasos (o de doble factor) que dentro de la PSD2, es obligatorio en los procesos por los que los usuarios a) accedan a su cuenta online b) inicien una transacción electrónica de pago o bien c) realicen una transacción remota que pueda implicar un riesgo de fraude.
El protocolo fija que la autenticación debe realizarse con dos factores de tipología diferente siendo las tipologías posibles tres: de posesión, de conocimiento y de inherencia.
Se trata de un proceso de autenticación más sólido (y complejo) que aporta un plus de seguridad en el ecosistema de pago europeo.
¿Cuál es el origen del protocolo y por qué está cobrando importancia ahora?
El detalle del protocolo SCA viene determinado por los Estándares Técnicos Regulatorios que ha ido proporcionando la Autoridad Bancaria Europea (EBA por sus siglas en inglés) durante los últimos años. Ha sido la EBA la que ha ido definiendo qué tecnología, qué factores y qué procesos cumplen, o no, con los estándares fijados en la norma.
Y estos meses cobra de muchísima actualidad porque su aplicación teórica está prevista el día 14 de Septiembre de 2019, justo a la vuelta de las vacaciones. Sin embargo, muchos de los diferentes actores de la cadena de valor no están preparados por lo que se están articulando una moratoria práctica que evite que el SCA se implante de forma efectiva el día 14 de Septiembre.
¿Por qué se ha integrado en la PSD2?
El objetivo de la SCA es aportar una capa adicional de seguridad en las transacciones online. Aporta mayor robustez al acceso a cuentas, los pagos online y complica el fraude y las sustracciones de identidad.
Por ejemplo, el fraude en las ventas online en España actualmente se sitúa en el 0.2% del total del mercado, pero con la implementación del SCA hay estimaciones que el % puede llegar a reducirse a una décima parte del valor actual.
Ahora bien, el temor que existe en el mercado es que este aumento en la seguridad tenga un efecto pernicioso y es que desemboque en una experiencia de usuario que no alcance las expectativas de los consumidores y acabe reduciendo la tasa de conversión de los comercios y por tanto sus ventas.
Los requerimientos de autenticación bajo la PSD2 todavía se están debatiendo, ¿cuáles son los puntos de fricción más importantes?
Ha habido mucha controversia sobre los factores de autenticación. La EBA ha ido lanzando “opiniones” y respuestas a los diferentes stakeholders del mercado para ir clarificando conceptos. La última opinión ha sido el mes de Junio, muy tarde cuando se supone que la SCA entra en aplicación en Septiembre.
Respecto a las consideraciones de la EBA, ha habido una decisión que ha resultado especialmente crítica en la necesidad de aplicar la moratoria que antes comentábamos. Según la EBA los datos de la tarjeta de crédito/débito no resultan un factor de autenticación. Es decir, el número de la tarjeta, la caducidad y el CVV no resultan ser un factor de posesión o de conocimiento para autenticar al titular del medio de pago.
Por tanto, la solución que mayoritariamente se ha planteado la banca para autenticar las transacciones, usar los datos de tarjeta con un OTP (password de un solo uso), no va a ser suficiente según la EBA.
¿Cuáles son los cambios más importantes que deberán hacer las empresas que transaccionen online para incorporar el SCA?
A día de hoy, yo recomendaría estar al corriente de las novedades. Intentar preguntar e informarse a través de los PSP, adquirientes o bien asociaciones del sector.
Es posible que se aplique una moratoria de 18 meses a escala europea, pero se desconocen los timings concretos, los detalles, las métricas a aplicar… Demasiadas incógnitas que nos obligarán desgraciadamente a unos meses con cierta incertidumbre.
De aplicarse una moratoria, ¿cómo afectará al despliegue de la PSD2 y los diferentes players del mercado?
Desde una perspectiva del mercado del e-commerce, sinceramente no creo que haya alternativa a la moratoria. No hacerlo supondría retroceder dos años en términos de facturación. Ahora bien, esta situación evidentemente da un tiempo extra a aquellos operadores (adquirientes, emisores, comercios que no estaban preparados) y posiblemente da el tiempo suficiente a que los players se puedan ir ubicando. No se trata tanto de “estar preparado” sino “cómo estoy preparado”.
La SCA puede ser un catalizador para que haya un proceso de diferenciación en los mercados. Operadores que aporten más valor aprovechando las oportunidades que ofrece la SCA y aquellos que se dedicaran simplemente a gestionar transacciones. Así, en el mercado de emisión hay oportunidades en la gestión de excepciones en RBA, en la adquiriencia, en cómo se gestiona el fraude y por tanto en nivel de TRA que puede ofrecer, el PSP en el routing en la maximización de oportunidades para los merchants. Yo creo que es una oportunidad para aquellos operadores que se planteen aportar valor añadido.