Normativa PSD2 i Pagaments amb Targeta en Comerç Electrònic
I.- Introducció
"PSD2" és l'acrònim utilitzat per a denominar a la segona Directiva (UE) 2015/2366, de 25 de novembre, de serveis de pagament. Aquesta directiva és la regulació europea que recull el marc normatiu que aplica als pagaments electrònics a Europa i està transposada completament a Espanya.
La PSD2 ha fet de la seguretat en els pagaments electrònics un dels seus eixos vertebradors. La norma prescriu l'aplicació obligatòria de mesures i procediments de seguretat específics en les operacions de pagament electròniques, i especialment en les quals tenen lloc a distància. Aquestes mesures i procediments s'articulen entorn del concepte de “autenticació reforçada del client” ("SCA", per les seues sigles en anglés).
Quant a la seguretat en les operacions de pagament, la PSD2 se centra especialment en les transaccions de caràcter remot realitzades a través d'Internet. Aquest èmfasi és una conseqüència directa del notable increment que aquestes transaccions, especialment les realitzades per dispositius mòbils, han experimentat en els últims anys, impulsades per l'auge del comerç electrònic.
El requisit de realitzar autenticació reforçada del client quan s'inicia una transacció de pagament electrònic, consisteix en l'obligació dels proveïdors de serveis de pagament (PSPs) que emeten instruments de pagament d'autenticar la identitat de l'ordenant basant-se en l'ús de dos elements de seguretat independents (factors d'autenticació) cada vegada que aquest realitze un pagament en un comerç físic o electrònic.
L'obligació de realitzar SCA quan s'inicia una transacció de pagament electrònic va començar a aplicar-se en compres presencials des del passat 14 de setembre de 2019. Per a les compres online començarà a aplicar-se en els pròxims mesos, i els factors d'autenticació que es demanaran no seran els mateixos que per a les compres presencials.
II.- Aspectes clau en els pagaments amb targeta en comerç electrònic
L'aplicació de SCA en els pagaments amb targeta per Internet suposarà un canvi en la forma en què els usuaris de serveis de pagament van a realitzen les seues compres, perquè els ordenants ja no podran realitzar pagaments online utilitzant únicament la informació impresa de les seues targetes (número de targeta, data de caducitat i codi de seguretat). En el seu lloc, hauran de, per exemple, verificar la seua identitat introduint durant el procés de pagament un codi addicional que rebran en el seu mòbil o mitjançant l'aplicació bancària que estiga connectada al seu telèfon i que requerisca una contrasenya o empremta dactilar per a aprovar una transacció.
L'autenticació reforçada del client en els pagaments per Internet es basa en l'ús combinat de dos dels següents tipus de factors d'autenticació:
Alguna cosa que solament l'ordenant coneix (CONEIXEMENT); per exemple, la seua contrasenya d'accés a la banca electrònica, o determinades posicions del Pin de la seua targeta.
Alguna cosa que solament l'ordenant posseeix (POSSESSIÓ); per exemple, l'App del banc vinculada al seu Telèfon intel·ligent, o el mòbil en el qual rep les contrasenyes d'un sol ús que li enviem per SMS.
Alguna cosa que l'ordenant és (INHERENCIA); per exemple, elements biomètrics com el reconeixement facial o l'empremta dactilar.
D'aquesta manera, el PSP emissor de l'instrument de pagament pot estar segur que l'ordenant és qui diu ser.
Cada banc emissor ha decidit quins factors d'autenticació li demanarà als seus clients, per la qual cosa l'experiència de compra pot variar depenent de la targeta que s'utilitze.
A Caixa Ontinyent volem que tots els nostres clients puguen beneficiar-se d'aquesta nova manera de comprar online, per això demanarem els factors d'autenticació que resulten més còmodes i fàcils d'usar ajustant-nos a les seues preferències quant a l'ús de la tecnologia i a la forma en la qual es relacionen amb nosaltres.
No obstant l'anterior, existeixen una sèrie d'exempcions i excepcions legals que permeten no haver de demanar els dos factors d'autenticació sempre, la qual cosa beneficia l'experiència de l'usuari sense reduir la seguretat del pagament.
Els nous requisits de SCA, lligats als supòsits d'exempcions i excepcions a la seua aplicació, suposen un canvi en la forma en què la que es faran les compres online, però això no significa que el procés de compra vaja a ser més complicat o enutjós, simplement els clients hauran d'acostumar-se a fer-ho d'una altra manera, i depenent de la digitalització del propi comprador, aquest procés pot ser fins i tot més senzill i àgil que l'actual.
III.- Excepcions a l'aplicació de SCA
Es tracta de supòsits legalment previstos en els quals la PSD2 no és aplicable i per tant estan exceptuats del requisit de sol·licitar SCA.
Instruments de pagament anònims: per la seua naturalesa, no estan subjectes a l'obligació d'autenticació reforçada de clients ja que no es pot identificar a l'ordenant. Exemples d'aquesta mena de pagaments són aquells que es realitzen amb targetes prepagament anònimes o targetes regal.
Operacions no EEE (Espai Econòmic Europe): l'aplicabilitat de SCA se circumscriu a l'àmbit geogràfic de l'Espai Econòmic Europeu (EEE); emissor i adquirent han d'estar situats en el EEE. Les transaccions inter-regionals en les quals bé el banc emissor, bé el banc adquirent està situats fora del EEE estan exceptuades de l'aplicació de SCA. La localització en el moment del pagament del comerç o de l'ordenant és irrellevant.
En el cas d'operacions ordenades por targetes emeses al Reine Unit, o adquirides en aquest país, també se sol·licitará SCA.
Operacions MO/TO (Mail Order/Telephone Order): les operacions MO/TO són aquelles on es desencadena l'ordre de pagament mitjançant correu i/o telèfon.
Es consideren operacions MO/TO:
-
Les transaccions de “comerç conversacional”, mitjançant la interacció de l'usuari amb la tecnologia de reconeixement de veu. Quedaria fora d'aquesta consideració, els assistents de veu que actuen via comercie electrònic (per exemple, Alexa, Siri, i Google Assistant).
-
Les operacions en les quals el titular realitza la seua demanat via telèfon, correu electrònic o correu postal i durant aquest procés, es faciliten les dades de targeta de pagament. Les ordres per enviades per aplicacions de missatgeria (per exemple, WhatsApp) poden considerar-se operacions MO/TO, però les ordres introduïdes en una web a la qual s'accedeix a través d'un enllaç rebut en un missatge es consideren de comerç electrònic i requereixen SCA.
Pagaments realitzats en xarxes limitades: són pagaments realitzats per instruments de pagament específics d'ús limitat en instal·lacions de l'emissor, en una xarxa de comerços per a adquirir una gamma molt limitada de béns o serveis, o que s'emeten amb finalitats socials o fiscals per a adquirir béns o serveis concrets baix acord amb l'emissor. Es tracta per exemple, d'operacions realitzades amb targetes gasoil o targetes restaurant. Les targetes privades amb les quals es pot comprar en qualsevol lloc o qualsevol producte i donen punts o similar per comprar en els seus comerços o els seus productes no són una xarxa limitada.
Transaccions MIT (Merchant Initiated Transactions): són transaccions iniciades pel comerç en les que es donen tots els següents requisits:
-
existeix un acord entre el titular de la targeta i el comerç, per a la prestació de determinats bens o serveis,
-
existeix un mandat del titular de la targeta al comerç per a iniciar un pagament o sèrie de pagaments a través d'una targeta de pagament, i
-
els pagaments no es desencadenen per una acció específica del titular de la targeta sinó que els ordena el comerç.
Per a establir una transacció MIT, sempre es requereix almenys una transacció inicial on haja existit presència del titular i SCA. Aquesta transacció inicial amb SCA s'identificarà unívocament perquè en les successives transaccions existents, MIT, es puga localitzar la transacció original.
Són exemples de transaccions MIT el pagament de subscripcions, de subministraments, o càrrecs extres en el lloguer d'un cotxe o d'una reserva hotelera.
Cal tindre en compte que les subscripcions iniciades amb anterioritat al 14 de setembre de 2019 no hauran de ser autenticades llevat que es modifiquen.
D'altra banda, no s'ha de confondre una transacció MIT amb una operació Card-On-File (COF) amb targeta tokenizada, en les quals el titular ha registrat en el comerç les dades de la targeta vinculats a la seua identitat, ja que el registre del titular en el comerç no substitueix les mesures de seguretat de la PSD2 que permeten verificar la identitat del titular i, d'altra banda, en una operació COF el titular de la targeta realitza una acció que desencadena l'ordre de compra, per exemple, fent clic a pagar, o comprar i es considera una operació de comerç electrònic que requereix SCA.
IV.- Exempcions a l'aplicació de SCA
L'aplicació de SCA als titulars de targetes, si bé es pot delegar en tercers seguint uns estrictes requisits, recau en el banc emissor i si bé la PSD2 preveu una sèrie de situacions en les quals es permet que els bancs emissors no apliquen SCA per considerar-se de menor risc, la decisió última de si aplica SCA la té el banc emissor. Aquestes situacions són:
Operacions de baix import: es consideren pagaments de baix import aquells pagaments remots de comerç electrònic, l'import del qual de la transacció és menor o igual a 30€ o el seu equivalent en altres monedes. A més, es fixa un màxim a partir del qual es requereix SCA, en concret, un màxim de 5 transaccions consecutives sense SCA o un import màxim acumulat sense SCA de 100€.
Operacions freqüents: se les coneix com a operacions recurrents, amb el mateix import i beneficiari. Es requereix autenticació en la primera transacció i si es produeix alguna modificació. Són un tipus de transaccions MIT.
Processos i protocols de pagament corporatiu segur: els bancs emissors tenen la possibilitat de no aplicar SCA a persones jurídiques que inicien operacions de pagament electrònic mitjançant l'ús de processos o protocols de pagament que només estiguen disponibles per als ordenants que no siguen consumidors, quan les autoritats competents estiguen convençudes que aquests processos o protocols garanteixen uns nivells de seguretat almenys equivalents als previstos per la PSD2.
Operacions de pagament a favor de beneficiaris inclosos en una llista confiança: llista de confiança o llista blanca és un mecanisme que permet a un client determinar quins comerços considera de la seua confiança, permetent la PSD2 en aqueixos casos que el banc emissor no realitze SCA en les compres realitzades per aqueix client en aqueix comerç.
La llista de confiança es gestiona pel banc emissor i ha de ser creada expressament pel client en l'entorn del seu banc, requerint SCA cada vegada que s'afegiex un comerç a la llista o aquesta es modifica.
No està permés al banc emissor fer suggeriments de noves entrades o modificacions de comerços al cliente, però es poden disenyar entorns bancaris que facen fàcil al client afegir nous comerços.
El banc emissor no està obligat a informar a l'adquirent de si el comerç està inclòs en la seua llista blanca ni a compartir la llista dels comerços de confiança amb l'adquirent ni amb els comerços.
Aquesta exempció comporta una gran dificultat a l'hora de la seua implementació, especialment quan l'instrument de pagament és una targeta, per la qual cosa amb caràcter general no serà incorporada pels bancs emissors al mateix temps que la resta d'exempcions. No obstant això, es tracta d'una exempció molt potent i que clarament amb la seua aplicació generarà menys fricció en el pagament, per la qual cosa a futur s'acabarà implementant.
Operacions amb baix risc de frau: se la coneix com l'exempció per TRA, anàlisi de risc transaccional per les seues sigles en anglés. Permet que unes certes transaccions de comerç electrònic estiguen exemptes de SCA sempre que es realitze una anàlisi de risc sòlid i que els bancs emissors i adquirents complisquen amb uns llindars de frau específics.
Aquesta exempció és clau per a brindar experiències de pagament sense fricció per a transaccions remotes de baix risc i perquè hi haja més probabilitats que s'aplique, és convenient que el comerç facilite a través del protocol EMV 3DS2 quants més dades millor.
Finalment,
cal recordar que aquesta nova manera de comprar online començarà a
aplicar-se en els pròxims mesos de manera progressiva, fins que
s'implemente definitivament al gener de 2021, per la qual cosa convé
estar preparats perquè el canvi no agafe desprevingut a ningú.
Per a això, et recomanem que comences a realitzar proves en el nostre entorn de proves com més prompte millor. Escriu-nos oficina.digital@caixaontinyent.es o telefona al 96 291 91 91 i et facilitarems tot el que necessites per a poder fer-ho.