Prepara tu negocio para la SCA

¿Están preparadas las empresas online para la SCA?

A pesar de que la PSD2 se adoptó por primera vez en 2015 (aunque las Normas Técnicas de Reglamentación sobre la SCA no finalizaron hasta noviembre de 2018), las investigaciones sugieren que muchas empresas no están preparadas para la próxima fecha límite de la SCA.

En 2018, Mastercard encuestó a más de 300 negocios online y descubrió que el 86% de ellos aún no cumplían los requisitos de la SCA, mientras que el 75% ni siquiera estaba al tanto de la próxima legislación.

Un estudio de mayo de 2019 realizado por 451 Research asegura que solo el 15% de las empresas se sienten "extremadamente preparadas". Muchas de las que admiten no estar preparadas son pequeñas empresas; aunque el problema de la falta de preparación es mayor. Según esta investigación, solo el 19% de las empresas con más de 5.000 empleados se sienten extremadamente preparados, y solo dos de cada cinco empresas anticipan cumplir con la SCA antes de septiembre de 2019.

Al menos, hay indicios de que las empresas online están comenzando a tomar nota: la SCA ha sido un tema importante de conversación en el sector fintech y en eventos relacionado con los pagos como el Merchant Risk Council London 2019 y Money 20/20.

El potencial impacto de la SCA en la empresa

Mientras más empresas están empezando a descubrir la inminente legislación de la SCA que entrará en vigor en septiembre, muchas todavía están pensando cuáles serán los posibles efectos de la SCA. Aquí hay cuatro potenciales impactos de la SCA.

1. Caída de la Tasa de conversión

Para transacciones que requieren Autenticación, la nueva legislación significa pasos adicionales durante el flujo de pago. La fricción durante el pago puede aumentar considerablemente la probabilidad de que un cliente final potencial no complete una compra. El 69% de las compras se abandonaron en 2019 y el 27% de quienes abandonaron una compra lo hicieron porque el proceso fue "demasiado largo o complicado".

Hay exenciones disponibles para ciertos tipos de transacciones y otras tácticas generales que las empresas pueden implementar para reducir la fricción en el pago. La SCA probablemente reduzca las tasas de conversión para los negocios que no pueden equilibrar las nuevas medidas de seguridad con una experiencia de pago conveniente para los clientes finales.

En la India, la aplicación de una legislación similar supuso una caída de la tasa de conversión "nocturna" del 25% en todas las empresas afectadas.

2. El impacto económico de la SCA

Se espera un menor número de clientes completen las compras debido a que el nuevo proceso de Autenticación tenga un efecto en cadena en la economía europea. Las empresas europeas podrían perder aproximadamente perdre environ 57 milliards d'euros en el primer año tras la implementación de la SCA.

3. Reembolsos al cliente final

Según el Consejo Europeo de Pagos: "la PSD2 prevé que el pagador pueda reclamar el reembolso completo de su PSP en caso de un pago no autorizado si no existiera una medida como la SCA y si el pagador no actuó de manera fraudulenta".

En la práctica, esto significa que cuando el PSP de una empresa (por ejemplo, un adquirente de tarjeta) opta por depender de una exención (para no aplicar la SCA) o no implementa la SCA, serán responsables de cualquier fraude resultante. Cuando se aplica la SCA, esa responsabilidad puede transferirse a la parte que aplica la SCA, es decir, el PSP del pagador (por ejemplo, el emisor de la tarjeta). Cuando un comerciante obliga a su PSP (por ejemplo, un adquirente de tarjetas) a aplicar una exención específica, no hay nada que impida que el PSP y la empresa acuerden dónde recae la responsabilidad, y esperamos que esa responsabilidad se transfiera a la empresa.

Redes de tarjetas como Visa han estado trabajando para actualizar sus reglas y reflejar estas disposiciones de responsabilidad.

4. Demanda de recursos

A corto plazo, cumplir con la SCA requerirá equipos de producto, legal, operaciones y finanzas en las empresas afectadas para ayudar a implementar los cambios. Si las empresas eligen comunicar las modificaciones a los clientes finales (encontrarás más sobre esto más adelante), también requerirá un esfuerzo por parte de marketing para que los mensajes calen de la mejor manera posible.

El 71% de las empresas creen que la carga para los recursos con el objetivo de implementar la SCA es "significativa".

Cómo implantar la SCA

En esta sección, analizaremos quién es responsable de la implementación de la SCA, y ofrecemos orientación sobre cómo las empresas afectadas pueden cumplir con los requisitos.

¿Quién es responsable de implementar la SCA?

Las empresas que realizan pagos online no son directamente responsables de cumplir con la SCA. Esa responsabilidad recae en los proveedores intermedios de servicios de pago (suponiendo que las transacciones online relevantes se encuentren bajo el mandato de ese proveedor) y en los bancos.

Para ser más precisos, el banco pagador es responsable de garantizar que las transacciones cumplan con la SCA (y denegar las transacciones que no cumplen con ello). Para hacer eso, debe recopilar la información de la Autenticación como se indica en el marco de la SCA.

Sin embargo, el banco necesita un lugar para recopilar esa información, y es donde entran los PSP. Deben capturar la información de forma segura, como parte del flujo de pago, y luego transmitirla de manera segura a los bancos utilizando mecanismos fiables para hacerlo. Así, los bancos tienen la última palabra sobre si esa transacción en particular cumple con la normativa.

Si bien es responsabilidad del PSP aplicar la SCA, puede haber dificultades prácticas dado el grado de control que una PSP puede tener sobre las actividades o el cumplimiento de otro PSP. En última instancia, cada PSP debe garantizar su propio cumplimiento, lo que podría, en algunos casos, llevar a que los PSP de un pagador adopten un enfoque más severo que el que necesariamente ha sido en el pasado.

Sin embargo, el impacto de la SCA que ya hemos descrito, incluidas las posibles caídas de conversión, recae principalmente en las empresas.

Trabajar con un PSP preparado y proactivo sobre la SCA será fundamental.

Si quieres saber más sobre la SCA y las implicaciones que tendrá en tus pagos, estaremos encantados de atenderte.

Actualización del flujo de pago

El proceso de cumplir con la SCA significa un paso adicional durante el flujo de pago. Este será el cambio más obvio que verán tus clientes finales. Dependiendo del método de pago, este paso añadido puede ser muy obvio o casi imperceptible. Por ejemplo, los pagos móviles ya utilizan el escaneo de huellas dactilares o el reconocimiento facial para aprobar las compras, y éstas son aceptadas como “inherentes” medidas de Autenticación.

Como ya hemos mencionado, la SCA afectará principalmente a las transacciones de tarjetas de crédito y débito. Para actualizar tus flujos de pago en transacciones con tarjeta, 3D Secure 2 (3DS2) ha lanzado un método de Autenticación ampliamente compatible.

En un artículo reciente para Forbes, Jordan Mckee, Director de Investigación en 451 Research señaló que "las empresas que mejor integren la SCA en su flujo de pago y apliquen efectivamente las exenciones destacarán sobre el resto al minimizar el impacto en el cliente".

3D Secure 2

3D Secure (3DS) es un método de Autenticación implementado por primera vez por Visa, que se realiza de forma online en las compras con tarjeta de crédito y débito. Los clientes finales deben proporcionar una contraseña para completar la transacción de pago. Los negocios online normalmente obtienen acceso a 3D Secure a través de un PSP relevante.

3D Secure 2 (3DS2) es una nueva versión que cumplirá con las demandas de la SCA al:

Sin embargo, es poco probable que las pruebas y la implantación de todas las partes finalicen completamente antes del 14 de septiembre.

El objetivo clave de 3DS2 es crear una "Autorización sin fricción" incluso ante las comprobaciones de seguridad adicionales requeridas por la SCA. Si la transacción se considera exenta, 3D Secure 2 debe omitir estas comprobaciones. Una mejora clave en comparación con el protocolo 3D Secure (3DS) original es la capacidad de realizar las comprobaciones necesarias sin redirigir desde la página de pago.

Problemas potenciales de 3D Secure 2

El 3D Secure (3DS) original estaba plagado de problemas para los comerciantes, incluida la temida caída de la conversión debido a los redireccionamientos mencionados anteriormente y la experiencia deficiente del usuario. Un estudio realizado por Ravelin aseguró que el 22% de todas las transacciones autenticadas con 3D Secure se perdían.

La nueva versión ha sido diseñada para minimizar los inconvenientes del original, incluida una mejor experiencia de usuario diseñada para usuarios de smartphones, requerirá una implantación más amplia para evaluar si ha tenido éxito.

Soporte 3DS2 y reconocimiento del consumidor

El éxito de 3D secure 2 gestionando las preocupaciones de conversión de la SCA dependerá de su adopción por parte de bancos y clientes finales. A pesar de la implementación inminente de la SCA, varios bancos aún tienen que comenzar a admitir el protocolo 3DS2.

En cuanto a los clientes finales, el uso del protocolo 3DS original se ha limitado en Europa. Según PYMNTS a finales de 2017, solo el 50% de los clientes finales estaban inscritos y solo el 25% de las transacciones estaban verificadas.

Normas Técnicas de Reglamentación (RTS) de la SCA

Las Normas Técnicas de Reglamentación (RTS) de la SCA establecen que las especificaciones completas de lo que cubre exactamente la SCA y lo que se espera de los interesados. La versión final fue completada y distribuida por la Comisión de la UE en noviembre de 2018.

Gran parte de esta guía está dirigida a poner los aspectos clave de RTS en un lenguaje sencillo. Sin embargo, la versión original resulta de utilidad si quieres ver los detalles completos de la SCA.

La SCA y tus clientes

Si bien la SCA, sin duda, tendrá impacto en tu negocio, también será un cambio importante para los clientes finales que intentan realizar compras online. ¿Cómo se sienten sobre ello? ¿Les importa la seguridad añadida? ¿Conocen los cambios que vienen?

El conocimiento sobre el SCA del consumidor

Los bancos han comenzado a comunicar la SCA a las empresas (ejemplo 1, ejemplo 2), pero aún no han comunicado los cambios al consumidor final.

En España, menos de la mitad de los consumidores asegura tener un buen conocimiento de los próximos cambios como consecuencia de la SCA.

Equilibrio entre seguridad y conveniencia

Independientemente del conocimiento, ¿los clientes finales estarían dispuestos a perder parte de la conveniencia en las compras online permitiendo controles de seguridad más amplios con la aplicación de la SCA? Después de todo, el sistema de pedidos de 1 clic de Amazon es el proceso conveniente con el que se comparan el resto.

En un estudio realizado a 4.000 clientes de Reino Unido, Francia, Alemania y España se les preguntó acerca de sus actitudes respecto a la seguridad y la comodidad cuando compran online.

La encuesta también se interesó sobre cómo se sienten acerca de ciertos elementos específicos de los nuevos requisitos de la SCA, y cómo una mayor seguridad en el pago afectaría a su comportamiento de compra.

Los resultados revelaron una ligera preferencia por la seguridad sobre la conversión, con el 58% de los compradores priorizando la seguridad.

Sin embargo, cuando se les preguntó cómo se sentirían si se enfrentaran a procedimientos de seguridad complejos cuando solo compraban, la mayoría (54%) reconoció que sentirían desconfianza o frustración. Sólo el 39% aseguró que se sentirían más seguros.

La encuesta también mostró que las actitudes hacia la seguridad y el comportamiento de compra real pueden ser muy diferentes. El 41% de los encuestados había abandonado previamente una compra online que era demasiado compleja, y casi una cuarta parte (24%) compraría menos en su marca favorita si la adquisición implicara medidas de seguridad adicionales.

Esta disonancia en las actitudes indica que el pensamiento de los clientes finales y cómo actúan son cosas diferentes. Pueden reaccionar positivamente a la idea de seguridad adicional, pero su comportamiento real, cuando se enfrentan con la SCA, podría ser muy diferente.

Comunicando la SCA a tus clientes finales

A raíz de la legislación GDPR de 2018, muchos clientes finales recibieron una avalancha de correos electrónicos de empresas que les informaban sobre cambios en sus políticas de privacidad. El efecto combinado fue mal recibido por los clientes finales y muchos de los correos electrónicos eran incluso ilegales según la normativa GDPR.

Comunicar cualquier cambio importante a tus clientes finales está lleno de sus propios problemas. Si no comunicas estos cambios, ¿se confundirán cuando éstos surtan efecto? Si se comunica la SCA, ¿esto creará una preocupación innecesaria? También es muy difícil comunicar la naturaleza exacta de cualquier cambio cuando aún se encuentra en proceso de implementar nuevos flujos de pago y procesos de autorización.