My Account


Preguntes Freqüents. Autenticació Reforçada de Clients (SCA) dirigides a comerços electrònics.

L'Autenticació Reforçada de Clients, també coneguda com “Strong Customer Authentication” o “SCA” per les seues sigles en anglés, suposa l'aplicació de noves mesures de seguretat que faran que els pagaments amb targeta siguen encara més segurs, ja que serà la forma en la qual els bancs emissors identificaran als titulars de les targetes quan ordenen pagaments en comerços presencials o per internet.

Aquestes noves mesures de seguretat van començar a aplicar-se en les compres presencials a partir del 14 de setembre de 2019. Per a les compres online començarà a aplicar-se en els pròxims mesos, fins a la seua plena implementació al gener de 2021, i els factors d'autenticació que demanarem als teus clients no seran els mateixos que per a les compres presencials.

Actualment l'autenticació dels clients en els comerços segurs es feia demanant-li al client la introducció del número de la targeta, la data de caducitat, la seua CVV, i la clau OTP de 4 dígits que li manem al seu mòbil per SMS.

A partir del moment en què se sol·licite SCA, quan un client compre en el teu comerç virtual, li demanaràs que introduïsca el número de la targeta i la data de caducitat, però a més, el banc emissor de la targeta que use per a comprar li demanarà 2 dels següents 3 tipus de factors d'autenticació:

  • Coneixement: alguna cosa que sap, per exemple, la seua contrasenya d'accés a la banca electrònica, o determinades posicions del Pin de la teua targeta.

  • Possessió: alguna cosa que posseeix, per exemple, l'App del banc vinculada al seu Telèfon intel·ligent, o el mòbil en el qual rep les contrasenyes d'un sol ús que li enviem per SMS.

  • Inherència: alguna cosa que "és", per exemple, elements biomètrics com el reconeixement facial o l'empremta dactilar.

Com a banc emissor, als clients titulars de les nostres targetes els demanarem els factors d'autenticació que els resulten més còmodes i fàcils d'usar ajustant-nos a les seues preferències quant a l'ús de la tecnologia i a la forma en la qual es relacionen amb nosaltres.

No obstant això, no sempre demanarem els mateixos factors d'autenticació, dependrà del dispositiu que use el client per a fer la compra online.

A més, cal tindre en compte que tots els bancs de l'Espai Econòmic Europeu estem subjectes a la PSD2 i per tant tots hem d'implementar aquestes mesures de seguretat, però cada banc ha decidit els factors d'autenticació que demanarà als seus clients, per tant, és possible que l'experiència de compra d'un mateix client en el teu comerç siga diferent depenent del banc que haja emés la targeta que use per a pagar.

No, tots els bancs estem treballant perquè el procés siga el més amigable possible i a més estem fent campanyes informatives als titulars de targetes perquè coneguen els factors d'autenticació que els demanarem abans que es comence a sol·licitar SCA. Si vols donar suport a la nostra campanya incloent informació en el teu web sobre aquesta nova manera de comprar online, telefona'ns al 962919100 i et facilitarem documentació que podràs adaptar als teus clients.

A més estem promovent entre els clients que facen determinades accions, com per exemple descarregar-se la nostra App o donar-se d'alta en la nostra banca electrònica, que faran la seua experiència de compra més còmoda i àgil.

D'altra banda, cal tindre en compte que existeixen una sèrie d'exempcions i excepcions legals que permeten no haver de demanar els dos factors d'autenticació sempre, la qual cosa beneficia l'experiència de l'usuari sense reduir la seguretat del pagament.

Així, hi ha diversos tipus de pagaments que, per la seua pròpia naturalesa, la PSD2 els exceptua del requisit de sol·licitar autenticació reforçada:

  • Pagaments amb targetes prepagament anònimes ja que en ser anònimes no és possible verificar la identitat del titular.

  • Les anomenades transacciones MIT (Merchant Initiated Transactions): La normativa exigeix aplicació de SCA als pagaments electrònics iniciats per l'ordenant. Les operacions MIT són pagaments de productes o serveis sobre els quals existeix un acord previ entre el comerç i el titular de la targeta que permet al comerç realitzar els càrrecs sense que el titular haja de realitzar una acció anterior que els desencadene, i requereixen SCA en la primera compra però no en les següents (per exemple, pagament de subscripcions, de subministraments, o càrrecs extres en el lloguer d'un cotxe o d'una reserva hotelera). Són com a operacions de deute contra targetes.

  • Operacions MO/TO (Mail Order/Telephone Order), és a dir, ordenades per telèfon o per correu.

  • Pagaments realitzats en xarxes limitades.

  • Operaciones en les que el banc emissor o l'adquirent està fora de l'Espai Econòmic Europeu.

A més, legalment es preveuen una sèrie d'exempcions en les quals es permet que els bancs emissors de targetes no apliquen sSCA per considerar-se operacions de menor risc. Aquestes exempcions són:

  • Pagaments per un import inferior a 30€, fins un màxim de 5 operacions o un import acumulat de 100€.

  • Pagaments recurrents, per la mateixa quantia i al mateix comerç, es requereix autenticació en la primera transacció. Les subscripcions iniciades amb anterioritat al 14 de setembre de 2019 no tindran que ser autenticades llevat que existisca una modificació d'aquesta.

  • Pagaments als comerços de confiança del titular indicats com a tal al banc emissor, també coneguda com “llista blanca”.

  • Alguns pagaments corporatius.

  • Pagaments amb baix risc de frau. 

Amb caràcter general, abans de sol·licitar SCA al client, els bancs emissors intentarem aplicar una exempció o una excepció de les descrites anteriorment, per la qual cosa l'experiència de compra en molts casos serà idèntica a l'actual.

Si vols saber més sobre les exempcions i les excepcions, punxa ací .

La informació s'intercanvia entre els comerços i els emissors gràcies al protocol 3D Secure.

Des de 2001 la versió d'aquest protocol que es ve utilitzant tant per a informar com per a autenticar les operacions és la 1.0, però actualment existeix una nova versió d'aqueix protocol que millora la informació, amb un major nombre de dades, que permet tant la sol·licitud dels dos factors de SCA com l'aplicació d'excepcions de SCA en el procés de compra.

Com ja t'hem informat en comunicacions anteriors, has d'assegurar-te de que el TPV virtual que utilitza el teu comerç és segur, és a dir, és 3D Secure, si no ho és o no ho saps has de posar-te en contacte amb nosaltres sense demora escrivint a oficina.digital@caixaontinyent.es o telefonant al 962919100, on t'oferirem solucions que et permiten continuar operant amb la millor experiència de pagament dels teus clients.

Si el teu comerç té un o diversos dels TPV Virtuals que ofereix el nostre banc i tens delegada la gestió de les dades, no has de preocupar-te per la migració al nou protocol, ja que nosaltres ens estem encarregant d'actualitzar la versió del mateix i de fer aqueixa migració. Per contra, si el teu comerç té un o diversos dels TPV Virtuals que ofereix el nostre banc però no tens delegada la gestió de les dades, has de començar a familiaritzar-te amb els nous paràmetres del protocol, ja que inclou nous camps de dades que el comerç ha d'informar obligatòriament com, per exemple, els referits a uns certs paràmetres del navegador del comprador. També hi ha dades que s'hauran d'enviar si vols que es puga aplicar alguna de les exempcions o excepcions.

En qualsevol cas, quans més dades tingam més probabilitats haurà de que puguem aplicar una excepció per baix risc, per la qual cosa si vols beneficiar-te d'una major taxa d'aquesta excepció, has de fer canvis en la teua pàgina web perquè ens emvie un major nombre de dades. Escriu-nos a oficina.digital@caixaontinyent.es o telefona al 962919100 i et facilitarem tot el que necessites per a poder fer-ho.

A més, et recomanem que comences a realitzar proves en el nostre entorn de proves, perquè encara que el SCA no començarà a sol·licitar-se fins d'ací a uns mesos, l'últim trimestre de l'any és molt intens en compres i segur que preferiràs centrar-te en altres temes. Escriu-nos  oficina.digital@caixaontinyent.es o telefona al 962919100 i et facilitarem tot el que necessites per a poder fer-ho.

Si el teu comerç no es troba entre els casos anteriors, segur que ja hem contactat amb tu i estem ajudant-te a fer les implementacions tècniques que són necessàries, però per si de cas tens dubtes pots  escriure'ns a oficina.digital@caixaontinyent.es o telefonar al 962919100, on t'informarem amb major detall.

No, el Banc d'Espanya ha confirmat que caldrà aplicar SCA sempre, llevat que l'operació estiga exempta (per exemple en cas d'operacions transfrontereres de fora de la UE) o es puga aplicar alguna de les exempcions previstes legalment.

No, ja que es consideren operacions de pagament.

Sí, ja que són operacions iniciades a través d'internet o d'un dispositiu que pot utilitzar-se per a la comunicació a distància. Això inclouria les operacions realitzades per Internet i les operacions realitzades a través de mòbil (en compra per internet, no compra “contactless”).

Les ordres enviades per correu electrònic o aplicacions de missatgeria poden considerar-se operacions MO/TO, però les ordres introduïdes en una web a la que s'accedeix a través d'un enllaç rebut en un missatge es consideren de comerç electrònic i requereixen SCA.

No, eixes operacions en les que qui inicia el pagament és la solució automatitzada amb la que s'ha interactuat es consideren de comerç electrònic i requereixen SCA. No obstant això, les transaccions de pagament iniciades pel comprador a través d'una ordre telefònica amb l'ús d'una solució automatitzada per part del comerç, com per exemple una resposta de veu interactiva, es considera una comanda telefònica regular.

No, les COF es consideren operacions de comerç electrònic i requeririen SCA excepte en els casos en els que se'ls puga aplicar una exempció.

No, en les operacions COF el titular de la targeta realitza una acció que desencadena l'ordre de compra, per exemple, fent clic a pagar, o comprar. No obstant això, perquè una operació es considere MIT és necessari que no hi haja una acció del client que desencadene el pagament, el client ha d'estar absent en el moment en què s'ordena el pagament. Les MIT són similars als deutes però contra targetes.

L'Autoritat Bancària Europea ha aclarit que tant en els casos en els quals l'ordenant ha pre autoritzat el bloqueig d'una quantitat màxima com en aquells en què aquesta pre autorització no s'ha donat, si la quantitat final és igual o inferior a la quantitat acordada, es pot executar l'operació sense necessitat de tornar a sol·licitar SCA, però si la quantitat és major, l'emissor haurà d'o bé requerir SCA o bé rebutjar l'operació.

La llista blanca es manté per banc emissor però la crea el client i només ell pot modificar-la. És per aquest motiu que el que l'Autoritat Bancària Europea ha establit que els bancs emissors no podem fer suggeriments de noves entrades o modificacions de comerços als clients. Res impedeix, no obstant això, que el comerç informe d'aquesta possibilitat al seu client i fins i tot que li la suggerisca. No obstant això, la inclusió en llista blanca s'ha de fer en l'entorn emissor i requereix SCA.

Els bancs emissors no estan obligats legalment a informar el banc adquirent ni al comerç de si un comerç està inclòs en llista blanca. Compartir aqueixa informació sense el consentiment exprés del titular de la targeta podria vulnerar el dret de protecció de dades. No obstant això, res impedeix que el comerç aconseguisca aqueixa informació del seu propi client.

D'altra banda, la decisió última de sol·licitar SCA a una operació és del banc emissor, per la qual cosa, seguint criteris de risc, podria decidir aplicar SCA a una transacció encara que el comerç estiguera inclòs en la seua llista blanca.