La doble autenticación de PSD2 se comenzará a aplicar al pago con tarjeta a partir del 1 de enero

La directiva de pagos para tarjetas pone en riesgo ventas online por 20.200 millones

Tan solo el 7% de la banca está preparada para la entrada en vigor el próximo 1 de enero de 3DS2 Secure, que exigirá una doble autenticación para realizar las transacciones

A partir del 1 de enero de 2021, los bancos emisores de tarjetas de pago en España deberán implementar sistemas de autenticación reforzada (SCA, en inglés), tal como ha establecido la Directiva de Servicios de Pago (PSD2). Esta medida está destinada a brindar una mayor seguridad en los pagos online y se rige bajo el protocolo de autenticación 3D-Secure 2.

Ello implica que todos los comercios que acepten pagos online con tarjeta deberán admitir el uso de la 3DS2, que exige una doble autenticación antes de que se haga efectivo el pago. Pero, ¿están preparadas las empresas españolas para asumir este cambio?

Un informe elaborado por Unnax, la primera fintech española en tener la triple licencia del Banco de España, alerta de un panorama «preocupante», con unos métodos de pagos alternativos que aún no están preparados, la información sobre fraude y riesgos poco clara y cientos de empresas que aún están en fases iniciales de pruebas. Se trata pues de la aplicación de PSD2, la directiva europea sobre pagos, ahora a las tarjetas. Aunque tendría que haber entrado en vigor hace un año, el sector obtuvo una moratoria.

Sin embargo, Julián Díaz-Santos, cofundador de Unnax, advierte de que esta adaptación apenas se está empezando a producir cuando falta menos de mes y medio para su entrada en vigor. «Una de las mayores ventajas con la que cuenta el pago con tarjeta en la compra online es su gran experiencia de usuario. Ello lleva a que el 85% de las transacciones online se hagan por este medio de pago. Sin embargo, con 3DS2, se va a exigir una doble autenticación que va a distorsionar esta experiencia, y puede hacer que gran número de usuarios abandonen el carrito de la compra y no no finalicen la operación», explica.

El Informe de Evaluación del Impacto Económico de la Autenticación Reforzada de Clientes (SCA) revela que en España el 59% de las transacciones podrían fracasar, un porcentaje que supondría unos 20.200 millones de euros de pérdidas en ventas. La tasa de fallos es la más alta entre los 12 países de la UE incluidos en el informe, y España representa casi una quinta parte de las ventas en riesgo. Además, se menciona que solo el 7% de los bancos españoles que emiten tarjetas de pago están listos para implementar este nuevo sistema de autenticación, en comparación con el 65% de media en Europa.

¿Qué es 3D Secure 2?

Es un protocolo de autenticación que nació con la finalidad de reducir el fraude e incrementar la seguridad en los pagos online. Esta versión mejora el antiguo protocolo (3DS) e incluye una base de análisis de riesgos inteligentes y dinámicos, en el cual se evaluará el riesgo de la transacción en dos categorías: si el emisor considera que el riesgo de la transacción es bajo, será una autenticación «frictionless», es decir, la autenticación del comprador se realizará sin interacción de su parte. En caso de que el emisor evalúe un riesgo alto, será necesaria una interacción del comprador, que se denominará «Challenge».

Durante este proceso de pago, el comprador deberá brindar por lo menos dos factores de autenticación. Este método de autenticación es el Strong Customer Authentication (SCA).

El SCA hace que las transacciones sean más seguras al requerir que se proporcionen dos factores de autenticación de entre tres posibilidades: un dato que solo el cliente conozca (contraseña o un PIN), un elemento biométrico que caracterice al cliente (como una huella digital, la voz o rasgos faciales) y algo que solo posee el cliente (como un móvil, un smartwatch...).

Este cambio en la directiva de métodos de pagos con la entrada en vigor del protocolo 3DS2 afecta a toda una cadena en el ecosistema de pagos: entidades emisoras de tarjeta, proveedores de servicios de pagos, proveedores de monederos digitales (ewallets), proveedores de tecnología de pagos y cualquier empresa que permita pagos online.

Según el Estudio Anual de eCommerce de IAB Spain, actualmente el 85% de pagos online en España se realiza a través de tarjeta, debido a su alta tasa de efectividad en cuanto a experiencia de usuario. Los pagos no securizados, aquellos en los que el cliente no debe aportar información adicional más allá de los datos de la tarjeta, tienen una aceptación por encima del 90% y habilitan servicios como el «one click», en donde no es necesario la autenticación del pago por parte del usuario.

Este gran porcentaje de aceptación hace de contrapeso a las problemáticas inherentes de las tarjetas: fraudes, devoluciones, coste... Si bien estos problemas son significativos, la experiencia de usuario positiva de los pagos one-click tiene más peso en las cifras de negocio de los usuarios de este medio.

Sin embargo, este escenario está cambiando y hay motivos para la alarma. Desde el 31 de diciembre de 2020, todas las entidades que gestionan pagos online necesitarán tener 3D Secure 2 para cumplir con la normativa PSD2-SCA. Esto incluye cualquier tipo de método de pago, y por supuesto, las tarjetas.

Un estudio de Amazon revela cómo se está implantando en los diferentes países la normativa. En España, la autenticación en las tarjetas de la 3DS 2 es baja, tan solo del 21%, lo que contrasta con la media europea, que alcanza el 84%. Este estudio también revela revela algo aún más preocupante, la tasa de abandono después de que la página del banco haya cargado se eleva a un 88%.

«A escasos dos meses de la entrada en vigor de la norma, el 70% de todos los intervinientes siguen en la fase inicial de pruebas, de los cuales solo un 13% lo están haciendo con segundos factores de autenticación. Estas pruebas han revelado el peor de los escenarios. A día de hoy, implementado el 3DS2, el abandono de los pagos (KOs) se sitúa alrededor del 60%, lo cual rompe completamente el equilibrio que existía entre experiencia de usuario positiva y las problemáticas asociadas a los pagos con tarjeta, si consideramos que esta medida no abarca solo pagos a través de ecommerce, sino también otro tipo de pagos, como por suscripciones o pagos recurrentes. Estos últimos se verán también afectados, ya que desaparecerá una de las principales ventajas que tenían las tarjetas. Los merchants podían automatizar los cobros recurrentes desde un inicio y así realizar estos cobros de forma periódica», advierten desde Unnax.