La forma de comprar ha canviat. Milions de persones compren a tot el món cada minut. Pagar qualsevol cosa amb targeta o mòbil, és normal. Ara més que mai, la seguretat és fonamental.
Per això entra en vigor la normativa europea de pagaments, que posa en marxa l'Autenticació Reforçada de Clients, un sistema de seguretat per als teus clients basat en 3 pilars:
L'economia digital creix, i la forma de comprar també: telèfons mòbils, ordinadors, tablets i fins i tot assistents de veu, s'utilitzen cada dia per a comprar. A causa del volum creixent d'aquestes compres, necessitem verificar que el titular de la targeta realment és qui diu ser. La Directiva de Serveis de Pagament 2 (PSD2) té com a objectiu, entre altres qüestions, millorar la seguretat en transaccions presencials i els pagaments online través de l'Autenticació Reforçada de Clients.
Quan paguis en Internet, potser et demanen mesures addicionals de seguretat, com un codi d'un sol ús, o reconeixement facial. I quan paguis en comerços, poden demanar-te amb més freqüència el PIN, fins i tot per imports inferiors a 20€. Uns petits canvis que et permetran operar amb molta més seguretat.
Autenticació Reforçada de Clients. Reforçant la teva tranquil·litat també en els pagaments online.
L'Autenticació Reforçada de Clients, també coneguda com “Strong Customer Authentication” o “SCA” per les seves sigles en anglès, suposa l'aplicació de noves mesures de seguretat que faran que els pagaments amb targeta siguin encara més segurs, ja que serà la forma en la qual les entitats Emissores identificaran als titulars de les targetes quan ordenin pagaments en comerços presencials o per internet.
Aquestes noves mesures de seguretat s'han introduït a través de la nova Directiva de Serveis de Pagament, també coneguda com PSD2, una norma que hem de complir tots els proveïdors de serveis de pagament (com els bancs) que estiguem dins de l'Espai Econòmic Europeu.
L'autenticació reforçada suposa que els titulars de targetes hauran d'identificar-se davant l'entitat Emissora de la seva targeta utilitzant almenys dos factors d'autenticació quan realitzin determinats pagaments electrònics. Així, l'entitat Emissora demanarà al titular 2 dels següents 3 tipus de factors d'autenticació:
Aquests nous requisits tenen menor impacte en els pagaments amb targeta presencials, gràcies a les targetes amb xip i PIN. En aquests casos, ja es compleixen els requisits d'autenticació reforçada ja que existeix un factor de possessió (la targeta) i un factor de coneixement (el codi PIN), i l'única cosa que notarà el titular quan compri és que el terminal li demanarà que introdueixi la seva PIN amb més freqüència, fins i tot encara que es tracti d'imports inferiors a 20€.
En els pagaments en comerç electrònic l'impacte serà major, perquè els titulars de targetes ja no podran realitzar pagaments online utilitzant la informació impresa de les seves targetes (número de targeta, data de caducitat i codi de seguretat). En el seu lloc, l'entitat Emissora li demanarà 2 dels 3 possibles tipus de factors d'autenticació esmentats anteriorment, que en la majoria dels casos, serà una clau OTP que rebrà en el seu mòbil per SMS i una mica més, que dependrà del perfil més o menys tecnològic del titular.
Tot això haurà d'efectuar-se a través d'un protocol segur, per la qual cosa els comerços que no ho siguin, hauran de migrar a 3DSecure.
No, existeixen una sèrie d'exempcions i excepcions legals que permeten no haver de demanar els dos factors d'autenticació sempre, la qual cosa beneficia l'experiència de l'usuari sense reduir la seguretat del pagament.
D'una banda, hi ha diversos tipus de pagaments que, per la seva pròpia naturalesa, la PSD2 els exclou del requisit de sol·licitar autenticació reforçada. Es tracta, de pagaments iniciats per correu postal o per telèfon, els pagaments de productes o serveis quan existeixi un acord entre el comerç i el titular que permeti al comerç realitzar els càrrecs sense que el titular hagi de realitzar una acció anterior que el desencadeni (per exemple, pagament de subscripcions, de subministraments etc.), i els pagaments amb targetes prepagament anònimes.
A més el requisit de SCA només aplica quan l'emissor i l'adquirent estan en algun dels països de l'Espai Econòmic Europeu (EEE), per la qual cosa els pagaments amb targetes emeses fora del EEE no estan sotmesos a SCA.
D'altra banda es preveuen una sèrie de situacions baix les quals és possible que els Emissors decideixin no aplicar SCA.
Aquestes situacions són:
La PSD2 no obliga directament als comerços, sinó als proveïdors de serveis de pagament, però no és possible demanar als titulars de les targetes els dos factors d'autenticació que es requereixen per a aplicar correctament SCA, o bé decidir no demanar-los-hi en els casos permesos legalment, sense l'adaptació tècnica dels terminals i passarel·les de pagament dels comerços, sent responsabilitat de les entitats Adquirents fer que els seus comerços implementin les adaptacions necessàries per a poder complir amb la norma, en els casos en què aquesta actualització depengui del comerç, ja que hi haurà uns altres, en els quals l'actualització la podrà realitzar l'Adquirent.
Les entitats Emissores poden ser sancionades amb quantioses multes en cas que no compleixin amb els requeriments de SCA pel que podran denegar l'autorització de les operacions de pagament, en cas que no puguin aplicar SCA, o no puguin estar segures que es tracta d'un pagament no subjecte o exempt de SCA, la qual cosa tindria conseqüències directes per el comerç, que perdria vendes i clients.
En primer lloc, revisar els teus TPV, tant físics com virtuals. Si tots els teus TPV són segurs (3DS), és a dir, els TPV físics accepten xip i PIN i els TPV virtuals processen totes les transaccions com a "comerç electrònic segur", no et preocupis, no has de fer res.
Si tots o algun dels teus TPV no són segurs, has de posar-te en contacte amb nosaltres sense demora en […], on t'oferirem solucions que et permetin continuar operant amb la millor experiència de pagament dels teus clients.
L'autenticació reforçada de clients serà obligatòria a partir del 14 de setembre de 2019, no obstant l'anterior, un recent comunicat de l'Autoritat Bancària Europea faculta a les autoritats nacionals, en el nostre cas, el Banc d'Espanya, per a acordar una pròrroga en relació als pagaments per internet. Aquest ajornament podria donar marge a comerços i proveïdors de serveis de pagament (bancs) per a implementar els canvis necessaris, però en qualsevol cas, el més convenient és començar a realitzar-los al més aviat possible. Et mantindrem informat de qualsevol novetat sobre aquest tema.