axerve_logo

Soluciones

Soluciones únicas e integradas para gestionar todas formas de pago en todos canales en línea
Autenticación reforzada de clientes (SCA): excepciones y exenciones

Autenticación reforzada de clientes (SCA): excepciones y exenciones

Actualización: 15/9/2022 • Tiempo de lectura: 6 minutos

Cuando se menciona la Autenticación Reforzada de Clientes (SCA – Strong Customer Authentication) cada comerciante entiende perfectamente de qué se está hablando: de la normativa europea sobre la seguridad de los pagos PSD2. Concretamente, la Autenticación reforzada o de dos factores es el requisito normativo que prevé una fase de autenticación del cliente en varias etapas en el momento en que esté realizando una transacción, y su aplicación es posible gracias a los sistemas 3D Secure 2.x.

Eso significa que las medidas de protección básicas como el nombre de usuario y la contraseña ya no son suficientes, sino que es necesario autenticarse a través de dos o más de los siguientes factores:

  • Un elemento conocido solo por el consumidor (CONOCIMIENTO)
  • Un objeto de propiedad del consumidor (POSESIÓN)
  • Un elemento que caracteriza al consumidor (INHERENCIA)

Fíjate, el factor de inherencia permite servirse de las últimas tecnologías biométricas, como el escaneo de huellas dactilares o de la retina. Puedes descubrir cuáles son los elementos que permiten cumplir con dichos factores ¡en nuestro insight dedicado!

Autenticación SCA: excepciones y exenciones

Cada regla tiene su excepción, y así también la aplicación de la autenticación reforzada. De hecho, existen ciertos tipos de transacciones que están fuera del alcance de la SCA, y que se pueden agrupar en excepciones y exenciones. Ya que la autenticación de dos factores afecta las conversiones Ecommerce, como lo explicamos en este insight, aprovechar las exenciones puede beneficiar a los negocios online. Sigue leyendo y ¡aprende más sobre la solución de Axerve: Axerve Advice!

Excepciones:

Con excepciones nos referimos a los pagos que no caen bajo la PSD2 y sobre las que simplemente no se exige la autenticación:

  1. Transacciones interregionales (One leg out). La SCA se aplica a las operaciones definidas “two legs” – de dos piernas – es decir, los pagos en los que tanto el proveedor de servicios de pago como el emisor residen en el Espacio Económico Europeo. Cuando una de esas dos partes esté ubicada fuera del EEE, la transacción se denomina “one leg out” – de una pierna afuera – y no tiene que ser objeto de la autenticación SCA.
  2. Pedidos por correo y teléfono (M.O.T.O.). Se trata de una de las formas de pagos conocidos como tarjeta-no-presente, es decir, realizados sin que el titular de la tarjeta esté presente (por ejemplo, transacciones realizadas a través de centros de llamadas o solicitadas por correo electrónico).
  3. Transacciones iniciadas por el comerciante (M.I.T.). Como lo dice su nombre, se trata de pagos previamente autorizados por el comprador y que el comerciante puede iniciar sin que el cliente haya ordenado el pago en ese momento. El empleo de M.I.T. está restringido a unos pocos ámbitos, como facturas y recibos de servicios públicos, suscripciones telefónicas, servicios digitales, recargas de monederos digitales.
  4. Card-on-file (o Credencial-on-file). Cuando las credenciales de la tarjeta de pago ya se encuentran en el archivo del comerciante o de otro proveedor, significa que la autentificación se ha realizado previamente – sea a través del comerciante, como de un tercero – y la transacción no necesita remitirse a los protocolos 3D Secure. Los casos más comunes son los pagos realizados a través de monederos electrónicos como Apple Pay o Google Pay.

Exenciones:

También existen formas de transacciones para las que es posible solicitar una exención de los procesos de seguridad por parte del emisor.

  1. Transacciones de bajo valor (Low-value Transactions). Las operaciones inferiores a 30 euros están exentas de SCA siempre y cuando su suma no supere los 100 euros, hasta un máximo de cinco operaciones consecutivas exentas desde la última autenticación de dos factores.
  2. Operaciones de bajo riesgo entre 30 euros y 500 euros (Low Risk Based Analysis o RBA). La exención puede aplicarse si el emisor de la tarjeta que realiza el pago o el adquirente que gestiona la transacción tiene un índice de fraude igual o inferior a determinados índices de referencia establecidos por la normativa (1, 6 o 13bps según el umbral de exención).
  3. Pagos recurrentes. En el caso de las suscripciones o pagos recurrentes con un valor y un beneficiario fijos, la SCA solo será necesaria para la primera transacción. Si, en algún momento, el coste de la suscripción o de la transacción periódica cambiara, se habría que remitir nuevamente el primer pago a los protocolos 3D Secure.
  4. Whitelisting o Listas blancas. Los clientes pueden decidir, según la forma en que el emisor lo posibilite, añadir una empresa a su lista de “Beneficiarios de confianza”. Si los clientes pueden beneficiar esta funcionalidad, la SCA será necesaria para la creación o modificación de la lista de beneficiarios de confianza o en el primer pago a la empresa añadida a la lista. Para los pagos sucesivos no se volverá a exigir la autenticación SCA, salvo si el emisor lo considere oportuno.

Aprovechar las exenciones: el reto de Axerve Advice

Hemos empezado con decir que la SCA simplemente es requisito normativo: su aplicación puede llevarse al cabo a través de los protocolos de seguridad 3D Secure, los que comprueban la identidad de quien paga pidiéndole dos factores de las categorías que mencionamos antes. Pero, al añadir nuevas etapas al proceso de pago, a medida que se incrementa su seguridad también aumenta el riesgo de que falle, porque al consumidor se le pide más tiempo, datos y esfuerzo. En resumidas cuentas: la experiencia del cliente se vuelve más complicada y menos fluida, lo que puede resultar en minores conversiones.

El reto es tanto claro como desafiante: aprovechar las exenciones prevista por la SCA, para allanar el proceso de pago para el cliente, sin bajar el nivel de seguridad del pago. Y Axerve ha encontrado la manera de hacerlo, diseñando – junto con su socio Riskified – la solución Axerve Guaranteed Payment.

Se trata de un servicio de seguridad de extremo a extremo que permite determinar la legitimidad de las transacciones y prevenir los fraudes. A través del aplicativo Axerve Advice, se realiza un Análisis de Riesgo de la Transacción (TRA), es decir, una evaluación en tiempo real del riesgo del pago facilitando la exención de la SCA para las transacciones de bajo riesgo inferiores a 500 euros, por lo que la probabilidad de exención para dichos pagos aumenta. Tras la fase de autorización es donde interviene nuevamente Axerve Guaranteed Payment, que realiza una segunda comprobación antifraude que conlleva también un traslado de responsabilidad: si no se logra detectar el fraude, el 100% del importe del pedido se le va a devolver al comerciante.

¿El resultado? Una experiencia del cliente sin fricciones que permite al negocio optimizar su tasa de conversión a la vez que garantizar a los pagos de sus clientes un alto nivel de seguridad. Lo que para ciertos Ecommerce se ha traducido en casi el 99% de pedidos procesados sin aplicación de la SCA. Escúchalo por tus propios oídos de las palabras de Diego Morgandi, el Ecommerce Director de KIKO Milano, ¡en el video sobre caso de éxito realizado con nuestro socio Riskified que encuentras aquí abajo!

etiquetaEcommerceSeguridad

Suscríbete a nuestra newsletter