Cumplimiento de SCA
La PSD2 es la nueva Directiva Europea sobre Pagos cuyos principales objetivos son el aumento de la seguridad, la protección del usuario final y el impulso de la innovación. Uno de los principales cambios que se introduce es la obligatoriedad de aplicar una autenticación reforzada (SCA) en las transacciones, afectando, sobre todo, a aquellas realizadas en el canal online.
¿Qué es la atenticación reforzada?
La SCA consiste en la autenticación reforzada de las transacciones mediante un mínimo de dos factores, como por ejemplo:
- Algo que el usuario sabe (contraseña).
- Algo que tiene (dispositivo móvil o tarjeta).
- Algo que “es” (biometría mediante huella dactilar, reconocimiento facial, etc.).
Exenciones y excepciones
La norma contempla una serie de exenciones y excepciones que permiten evitar la autenticación para casos puntuales.
Las exenciones son situaciones en las que el comercio puede solicitar que no se aplique la doble autenticación por cumplir alguna de las condiciones establecidas:
- Transacciones de bajo importe.
- Cuando el importe de transacción es menor o igual a 30€.
- Cuando el importe de varias transacciones sin SCA es menor o igual a 100€.
- Cuando el número de transacciones consecutivas inferiores a 30€ es menor o igual a 5.
- Transacciones con un análisis de riesgo transaccional bajo.
- Cuando el cliente inicia un pago electrónico de forma online y el adquirente lo identifica como de bajo riesgo según sus mecanismos de control.
- Operaciones recurrentes.
- El cliente autoriza el cobro de transacciones recurrentes periódicas del mismo importe y al mismo beneficiario. Debe ser autenticada la primera transacción y cuando se produzca alguna modificación en el cobro recurrente.
- Operaciones enmarcadas dentro de una Whitelist.
- Cuando el comercio ha sido incluido en una lista de beneficiarios de confianza creada por el cliente. Son las entidades emisoras las encargadas de gestionar y mantener la lista de confianza de sus titulares. El alta, baja o modificación del comercio en la lista de confianza debe ser autenticada.
En cuanto a las excepciones, se trata de operaciones que quedan fuera del alcance de la SCA y que deben estar correctamente identificadas para que puedan tratarse como tal. Es el caso de las denominadas:
- “One-leg-out”, operaciones procedentes o dirigidas a un país fuera de la UE.
- Las Merchant Initiated Transactions (MIT), operaciones iniciadas por el comercio sin la presencia del usuario, pero se tiene su aceptación para cobros futuros.
- Las transacciones MO/TO (Mail Order/Telephone Order).
- Las transacciones B2B o relacionadas con tarjetas prepago-anónimas.