La Autenticación Reforzada de Clientes, también conocida como “Strong Customer Authentication” o “SCA” por sus siglas en inglés, supone la aplicación de nuevas medidas de seguridad que harán que los pagos con tarjeta sean aún más seguros, ya que será la forma en la que los bancos emisores van a identificar a los titulares de las tarjetas cuando ordenen pagos en comercios presenciales o por internet.

Estas nuevas medidas de seguridad comenzaron a aplicarse en las compras presenciales a partir del 14 de septiembre de 2019. Para las compras online comenzará a aplicarse en los próximos meses, hasta su plena implementación en enero de 2021, y los factores de autenticación que pediremos a tus clientes no serán los mismos que para las compras presenciales.

Actualmente la autenticación de los clientes en los comercios seguros se hacía pidiéndole al cliente la introducción del número de la tarjeta, la fecha de caducidad, su CVV, y la clave OTP de 4 dígitos que le mandamos a su móvil por sms.

A partir del momento en que se solicite SCA, cuando un cliente compre en tu comercio virtual, le pedirás que introduzca el número de la tarjeta y la fecha de caducidad, pero además, el banco emisor de la tarjeta que use para comprar le pedirá 2 de los siguientes 3 tipos de factores de autenticación:

• Conocimiento: algo que sabe, por ejemplo, su contraseña de acceso a la banca electrónica, o determinadas posiciones del Pin de tu tarjeta.

• Posesión: algo que posee, por ejemplo, la App del banco vinculada a su Smartphone, o el móvil  en el que recibe las contraseñas de un solo uso que le enviamos por SMS.

• Inherencia: algo que "es", por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.
  

Como banco emisor, a los clientes titulares de nuestras tarjetas vamos a pedirles los factores de autenticación que les resulten más cómodos y fáciles de usar ajustándonos a sus preferencias en cuanto al uso de la tecnología y a la  forma en la que se relacionan con nosotros.

No obstante, no siempre vamos a pedir los mismos factores de autenticación, dependerá del dispositivo que use el cliente para hacer la compra online.

Además, hay que tener en cuenta que todos los bancos del Espacio Económico Europeo estamos sujetos a la PSD2 y por lo tanto todos tenemos que implementar estas medidas de seguridad, pero cada banco ha decidido los factores de autenticación que va a pedir a sus clientes, por lo tanto, es posible que la experiencia de compra de un mismo cliente en tu comercio sea distinta dependiendo del banco que haya emitido la tarjeta que use para pagar.

No, todos los bancos estamos trabajando para que el proceso sea lo más amigable posible y además estamos haciendo campañas informativas a los titulares de tarjetas para que conozcan los factores de autenticación que les vamos a pedir antes de que se empiece a solicitar SCA. Si quieres apoyar nuestra campaña incluyendo información en tu web sobre esta nueva forma de comprar online, llámanos al 962919100 y te facilitaremos documentación que podrás adaptar a tus clientes.

Además estamos promoviendo entre los clientes que hagan determinadas acciones, como por ejemplo descargarse nuestra App o darse de alta en nuestra banca electrónica, que harán su experiencia de compra más cómoda y ágil.

Por otro lado, hay que tener en cuenta que existen una serie de exenciones y excepciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.

Así, hay varios tipos de pagos que, por su propia naturaleza, la PSD2 los exceptúa del requisito de solicitar autenticación reforzada:

• Pagos con tarjetas prepago anónimas ya que al ser anónimas no es posible verificar la identidad del titular.

• Las llamadas transacciones MIT (Merchant Initiated Transactions): La normativa exige aplicación de SCA a los pagos electrónicos iniciados por el ordenante. Las operaciones MIT son pagos de productos o servicios sobre los que existe un acuerdo previo entre el comercio y el titular de la tarjeta que permite al comercio realizar los cargos sin que el titular tenga que realizar una acción anterior que los desencadene, y requieren SCA en la primera compra pero no en las siguientes (por ejemplo, pago de suscripciones, de suministros, o cargos extras en el alquiler de un coche o de una reserva hotelera). Son como operaciones de adeudo contra tarjetas.

• Operaciones MO/TO (Mail Order/Telephone Order), es decir, ordenadas por teléfono o por correo.

• Pagos realizados en redes limitadas.

• Operaciones en las que el banco emisor o el adquirente está fuera del Espacio Económico Europeo.

Además, legalmente se prevén una serie de exenciones en las cuales se permite que los bancos emisores de tarjetas no apliquen SCA por considerarse operaciones de menor riesgo. Estas exenciones son:

• Pagos por un importe inferior a 30€, hasta un máximo de 5 operaciones o un importe acumulado de 100€.

• Pagos recurrentes, por la misma cuantía y al mismo comercio, se requiere autenticación en la primera transacción. Las suscripciones iniciadas con anterioridad al 14 de septiembre de 2019 no tendrán que ser autenticadas salvo si existe una modificación de la misma.

• Pagos a los comercios de confianza del titular indicados como tal al banco emisor, también conocida como “lista blanca”.

• Algunos pagos corporativos.

• Pagos con bajo riesgo de fraude. 
  

Con carácter general, antes de solicitar SCA al cliente, los bancos emisores intentaremos aplicar una exención o una excepción de las descritas anteriormente, por lo que la experiencia de compra en muchos casos será idéntica a la actual.

Si quieres saber más sobre las exenciones y las excepciones, pincha aquí .

La información se intercambia entre los comercios y los emisores gracias al protocolo 3D Secure.

Desde 2001 la versión de este protocolo que se viene utilizando tanto para informar como para autenticar las operaciones es la 1.0, pero actualmente existe una nueva versión de ese protocolo que mejora la información, con un mayor número de datos, que permite tanto la solicitud de los dos factores de SCA como la aplicación de excepciones de SCA en el proceso de compra.

Como ya te hemos informado en comunicaciones anteriores, debes asegurarte de que el TPV virtual que utiliza tu comercio es seguro, es decir, es 3D Secure, si no lo es o no lo sabes debes ponerte en contacto con nosotros sin demora escribiendo a oficina.digital@caixaontinyent.es o llamando al 962919100, donde te ofreceremos soluciones que te permitan continuar operando con la mejor experiencia de pago de tus clientes.

Si tu comercio tiene uno o varios de los TPV Virtuales que ofrece nuestro banco y tienes delegada la gestión de los datos, no debes preocuparte por la migración al nuevo protocolo, ya que nosotros nos estamos encargando de actualizar la versión del mismo y de hacer esa migración. Por el contrario, si tu comercio tiene uno o varios de los TPV Virtuales que ofrece nuestro banco pero no tienes delegada la gestión de los datos, debes empezar a familiarizarte con los nuevos parámetros del protocolo, ya que incluye nuevos campos de datos que el comercio tiene que informar obligatoriamente como, por ejemplo, los referidos a ciertos parámetros del navegador del comprador. También hay datos que se tendrán que enviar si quieres que se pueda aplicar alguna de las exenciones o excepciones.

En cualquier caso, cuantos más datos tengamos más probabilidades habrá de que podamos aplicar una excepción por bajo riesgo, por lo que si quieres beneficiarte de una mayor tasa de esta excepción, debes hacer cambios en tu página web para que nos mande un mayor número de datos. Escríbenos a oficina.digital@caixaontinyent.es o llama al 962919100 y te facilitaremos todo lo que necesitas para poder hacerlo.

Además, te recomendamos que empieces a realizar pruebas en nuestro entorno de pruebas, pues aunque el SCA no empezará a solicitarse hasta dentro de unos meses, el último trimestre del año es muy intenso en compras y seguro que preferirás centrarte en otros temas. Escríbenos a oficina.digital@caixaontinyent.es o llama al 962919100 y te facilitaremos todo lo que necesitas para poder hacerlo.

Si tu comercio no se encuentra entre los casos anteriores, seguro que ya hemos contactado contigo y estamos ayudándote a hacer las implementaciones técnicas que son necesarias, pero por si acaso tienes dudas puedes  escribirnos a oficina.digital@caixaontinyent.es o llamar al 962919100, donde te informaremos con mayor detalle.

No, el Banco de España ha confirmado que habrá que aplicar SCA siempre, salvo que la operación esté exenta (por ejemplo en caso de operaciones transfronterizas de fuera de la UE) o se pueda aplicar alguna de las exenciones previstas legalmente.

No, ya que se consideran operaciones de pago.

Sí, ya que son operaciones iniciadas a través de internet o de un dispositivo que puede utilizarse para la comunicación a distancia. Esto incluiría las operaciones realizadas por Internet y las operaciones realizadas a través de móvil (en compra por internet, no compra “contactless”).

Las órdenes por enviadas por correo electrónico o aplicaciones de mensajería pueden considerarse operaciones MO/TO, pero las órdenes introducidas en una web a la que se accede a través de un enlace recibido en un mensaje se consideran de comercio electrónico y requieren SCA.

No, esas operaciones en las que quien inicia el pago es la solución automatizada con la que se ha interactuado se consideran de comercio electrónico y requieren SCA. Sin embargo, las transacciones de pago iniciadas por el comprador a través de una orden telefónica con el uso de una solución automatizada por parte del comercio, como por ejemplo una respuesta de voz interactiva, se considera un pedido telefónico regular.

No, las COF se consideran operaciones de comercio electrónico y requerirían SCA salvo en los casos en los que se les pueda aplicar una excepción.

No, en las operaciones COF el titular de la tarjeta realiza una acción que desencadena la orden de compra, por ejemplo, haciendo click en pagar, o comprar. Sin embargo, para que una operación se considere MIT es necesario que no haya una acción del cliente que desencadene el pago, el cliente tiene que estar ausente en el momento en que se ordena el pago. Las MIT son similares a los adeudos pero contra tarjetas.

La Autoridad Bancaria Europea ha aclarado que tanto en los casos en los que el ordenante ha preautorizado el bloqueo de una cantidad máxima como en aquéllos en que esta preautorización no se ha dado, si la cantidad final es igual o inferior a la cantidad acordada, se puede ejecutar la operación sin necesidad de volver a solicitar SCA, pero si la cantidad es mayor, el emisor tendrá que o bien requerir SCA o bien rechazar la operación.

La lista blanca se mantiene por banco emisor pero la crea el cliente y solo él puede modificarla. Es por este motivo que el que la Autoridad Bancaria Europea ha establecido que los bancos emisores no podemos hacer sugerencias de nuevas entradas o modificaciones de comercios a los clientes. Nada impide, sin embargo, que el comercio informe de esta posibilidad a su cliente e incluso que se la sugiera. No obstante, la inclusión en lista blanca se tiene que hacer en el entorno emisor y requiere SCA.

Los bancos emisores no están obligados legalmente a informar al banco adquirente ni al comercio de si un comercio está incluido en lista blanca. Compartir esa información sin el consentimiento expreso del titular de la tarjeta podría vulnerar el derecho de protección de datos. Sin embargo, nada impide que el comercio consiga esa información de su propio cliente.

Por otro lado, la decisión última de solicitar SCA a una operación es del banco emisor, por lo que, siguiendo criterios de riesgo, podría decidir aplicar SCA a una transacción aunque el comercio estuviera incluido en su lista blanca.