La normativa PSD2 (Payment Service Directive 2) es una directiva europea que tiene como objetivo mejorar la seguridad y reforzar la protección contra fraudes en las operaciones bancarias hechas a través de Internet. PSD2 incluye todas las operaciones que hagamos dentro de países de la Unión Europea (Reino Unido también adoptó estas medidas a pesar del Brexit). Puedes consultar la información relativa a la nueva normativa en este documento del Banco de España.
Dentro de los puntos clave de la nueva normativa se incluye un mayor control por parte de los consumidores a los pagos que permiten, mediante regulación, el acceso a la información de la cuenta de terceros y a una seguridad que está reforzada. Con seguridad reforzada nos referimos al conjunto de requisitos denominados Autenticación Reforzada del Cliente (SCA), cuya misión es hacer que el pago online sea más seguro y reducir los casos de fraude.
¿En qué consiste la SCA?
Como ya te adelantábamos en el punto anterior, dentro de la normativa PSD2, la SCA tiene como objetivo reducir el fraude y aumentar la seguridad en las compras. Hasta este momento, como comprador introducías simplemente tus datos de pago, fecha de caducidad y código de seguridad y completabas la compra (aunque algunos comercios ya elegían de forma voluntaria pedir una nueva autenticación).
A partir de ahora, debido a la nueva normativa PSD2, tendrás que autorizar todas tus operaciones (pago o transferencia) en cualquier comercio electrónico, y tu entidad bancaria te pedirá verificar la compra mediante dos de estos métodos:
- Elemento inherente (algo que eres): reconocimiento facial, o a través del iris o huella dactilar.
- Algo que posees: un teléfono móvil donde recibes la contraseña de la operación mediante un SMS, un certificado o tarjeta física.
- Elemento conocido (algo que sabes): PIN de la tarjeta o contraseña.
Como comprador debes proporcionar 2 de estas formas de autenticación para que puedas completar el pago y cada banco decidirá qué factores de autenticación va a pedirte como cliente.
¿En qué transacciones se aplica la SCA?
- Cada vez que accedes a tu cuenta de pago online.
- Al comenzar una transacción de pago electrónico.
- Cuando se realiza cualquier acción a través de un canal remoto y que pueda conllevar un riesgo de fraude de pago u otro abuso.
Lo más frecuente es la autorización de operaciones sobre los pagos con tarjeta y las transferencias bancarias. La razón es que los pagos con tarjeta son instantáneos e iniciados por ti como cliente final, y el pago o el consentimiento para acceder a los datos de la cuenta es instantáneo, lo que puede generar riesgos.
Reducción de la responsabilidad por operaciones no autorizadas
De cara al cliente y para protegerlo frente a operaciones fraudulentas, se reduce la responsabilidad del cliente de 150 a 50 euros.
Rectificación en operaciones no autorizadas
Si como cliente detectas una operación que no has autorizado, tienes derecho a su corrección de forma inmediata y a la devolución del importe.
Excepciones SCA
Existen una serie de excepciones donde ciertas acciones y transacciones no requerirán la SCA:
- Tarjetas contactless para importes iguales o inferiores a 30 euros. Ahora te pedirán esta doble autenticación cada 5 pagos o ante un importe máximo acumulado sin SCA de 100 €.
- One leg transactions: transacciones en las que o bien el sistema de pago (tarjeta, cuenta), o el de cobro (TPV) está situado fuera del Espacio Económico Europeo. Reino Unido seguirá formando parte del Espacio Europeo a pesar del Brexit.
- Transacciones MO-TO (Mail Order/Telephone Order): en las que el pago se ha iniciado a través de teléfono o mail.
- Pagos anónimos: iniciados por tarjetas de prepago anónimas.
- MIT (Merchant Initiated Transactions): se incluyen pagos recurrentes, aunque el importe sea variable (suministros de agua, electricidad, seguros, suscripciones, etc.).
Aunque las operaciones MIT no necesiten doble autenticación, se requerirá esta autorización en el pago inicial. Todos estos pagos se pueden enviar por un canal No Seguro como se hacía hasta ahora.
- White-listening de beneficiarios: si el usuario autoriza a las entidades emisoras del sistema de pago a que no se aplique la autenticación cuando compran en “comercios de confianza”.
- Bajo riesgo de fraude: para operaciones con riesgo bajo de fraude, siempre y cuando la entidad de pago esté certificada por el regulador.
- Transacciones recurrentes: transacciones con el mismo importe, sistema de pago, periodicidad y beneficiario.
- Pagos TNA (transporte o parking): para terminales no atendidas como máquinas expendedoras, tickets, parkings, peajes automáticos, etc.
¿Se aplica la SCA a los pagos recurrentes?
Cuando los pagos son iniciados por ti como cliente final, la SCA solo se aplicará al primer pago en un conjunto de pagos recurrentes.
¿En qué consiste la preautorización de tarjetas bancarias?
Para poder emplear la tarjeta o tarjetas de las que dispongas, es necesario primero que tu entidad bancaria las autorice como válidas. Este proceso de autorización se realiza mediante una transacción de 0 € entre tu tarjeta y la entidad.
Por supuesto, no tendrá efectos contables en tu cuenta, pues no supone ningún cargo. Solo es una forma de autorizar tu tarjeta para las futuras compras que realices en dinahosting.
La preautorización es una práctica de lo más habitual que tiene como finalidad evitar el fraude y garantizar la seguridad en el uso de la tarjeta. A través de este proceso se conoce su número, fecha de expiración, país de emisión, CVC… además de la dirección IP desde la que se realiza la compra. Todos estos datos le permiten a la entidad bancaria hacer un análisis previo de lo más completo para comprobar que la tarjeta no es fraudulenta.
¿Pueden darse errores durante el proceso de autenticación?
Pueden producirse errores durante el proceso de autenticación de tu pago: puede que hayas escrito erróneamente tu nombre, un dígito equivocado en tu cuenta o darse un error en el proceso de compra. La pasarela de pago te indicará que se ha producido un error y tendrás que revisar si los datos de tu tarjeta son correctos en la sección Modos de pago de tu Panel de Control de dinahosting. En el caso de que los datos sean correctos, te recomendamos que contactes con tu entidad bancaria.
¿Cuándo entra en vigor la nueva normativa PSD2?
Muchas de las disposiciones de la normativa PSD2 ya entraron en vigor en noviembre del 2018 y febrero del 2019. Sin embargo, el open banking y las obligaciones de autenticación SCA serán exigibles a partir del 1 de enero de 2021, después de que la Autoridad Bancaria Europea (EBA) fijara una nueva fecha límite para dar margen suficiente a las compañías para poder implementarlo.
Y recuerda, si tienes alguna duda de cómo funciona la sección Modos de pago, tenemos este video en nuestro canal de YouTube dónde hacemos un repaso rápido: