¿QUÉ ES LA SCA O AUTENTICACIÓN REFORZADA?
La SCA (Strong Customer Authentication) o Autenticación Reforzada tiene como objetivo principal proteger los servicios de pago online de peligros como el fraude, el robo de credenciales o transferencias inapropiadas de fondos.
No sólo en pagos online. También incluye pagos en comercio físico, si bien en las tiendas físicas, esta doble autentificación ya se utiliza en compras sin efectivo, se pide la tarjeta de débito o crédito y un pin para los pagos.
¿CUÁNDO SERÁ OBLIGATORIO CUMPLIR LA SCA O AUTENTICACIÓN REFORZADA?
Esto entrará en vigencia el día 14 de septiembre de 2019. Hablamos de un reglamento y por tanto, es una norma de directa aplicación.
¿CUÁL ES EL PRINCIPAL OBJETIVO DE LA SCA?
Pretende incrementar la seguridad del usuario en los Ecommerce. Pero esto viene de la mano también de sistemas innovadores en los medios de pago y requiere utilizarlo como una referencia internacional, no sólo dentro de las fronteras de la Unión Europea.
EN QUÉ CONSISTE
Para aceptar pagos del cliente, se han de aportar al menos dos de estos tres elementos:
- Algo que el cliente conozca, tales como una contraseña o la clave PIN. Esto no incluye los datos de la tarjeta (número, fecha de expiración…), pues se entiende que no es algo que el usuario tenga que saber
- Algo que el cliente posea, como es su teléfono móvil, la tarjeta física…
- Algo que el cliente tenga de forma inherente, ya sea la huella dactilar, la voz o los rasgos faciales
A partir de la fecha acordada, en caso de no poder verificarse dos de los criterios, los pagos serán simplemente declinados.
A QUÉ PAGOS AFECTA
La normativa recoge algunas excepciones, pero pocas, por lo que es probable que tengas que asegurar los métodos de pago de tu negocio. Estas son las transacciones que se ven afectadas:
- Los pagos superiores 30€ o aquellos que sumen más de 100€ desde que el usuario tuvo que identificarse mediante SCA por última vez.
- Las transacciones que se emitan y reciban dentro de la Unión Europea. Si tu cliente paga desde Estados Unidos, por ejemplo, no tiene que someterse a esta doble autenticación.
- Las transacciones que solicita el cliente, no la entidad de cobro. Por ejemplo, los débitos directos periódicos están iniciados por la empresa, por lo que no se requiere esta doble autenticación.
Por el contrario, estas son las transacciones que están exentas de la autenticación reforzada:
- Aquellas de bajo riesgo y/o de pagos inferiores a 30€
- Pagos realizados con tarjetas corporativas
- Las transacciones que el cliente verifica en ‘lista blanca’. Es decir, aquellos pagos habituales a comercios que el usuario estima de confianza
- Las transacciones en las que una de las partes se encuentra fuera de la UE
- Los pagos presenciales, excepto los contactless por más de 50€
QUÉ TENGO QUE HACER COMO EMPRESA PARA ADAPTARME A LA NUEVA REGULACIÓN
Llegados a este punto, te damos las claves para que puedas adaptar rápidamente a tu empresa:
- Ofrece métodos de pago eWallet como Google Play, Apple Play o PayPal, pues ya tienen por sí integrados un doble método de autenticación.
- Ofrece soluciones no vinculadas directamente al smartphone, porque hay gente que no tiene uno. Por ejemplo, puedes enviar un código por SMS además de solicitar un PIN o contraseña.
- Contacta con tu proveedor de servicios de pago para conocer el riesgo de fraude y tomar medidas específicas si fuera necesario.
Aunque a priori pueda parecer un problema adaptar tu negocio a la nueva regulación, verás que los cambios no son tan grandes y que colaboran a la reducción del fraude y el aumento de la seguridad de las transacciones.