Opinión    regulación

SCA: ¿habrá algún error el 31 de diciembre de 2020?

14 NOV. 2019
10 minutos
La SCA es una nueva forma de autenticación en los pagos. / Christiann Koepke / Unsplash

Dado que entró en vigor con menos ruido del esperado, es posible que se te haya pasado de largo la llegada de la Autenticación Reforzada de Cliente (o SCA como se le conoce por sus siglas en inglés), un nuevo requisito introducido el pasado 14 de septiembre por la legislación de la UE.

Para aquellos que no han oído hablar de ella, la SCA es una nueva forma de autenticación en los pagos diseñada para añadir un nivel extra de seguridad cuando los clientes realizan un pago online. Cuando finalmente entre en vigor, requerirá que la mayoría de las transacciones online superiores a 30 euros se verifiquen mediante, al menos, dos de estos tres factores de autenticación: utilizando algo que el cliente sepa (un PIN o contraseña), algo que tenga (como un teléfono inteligente) y algo que sea (rasgos faciales biométricos o una huella dactilar).

Sin embargo, un mes después de la fecha inicial de aplicación, los consumidores de toda Europa siguen comprando online con total normalidad. La razón es que en junio, la Autoridad Bancaria Europea (EBA) pidió un retraso general en la puesta en marcha de la normativa, y acaba de anunciar una fecha límite paneuropea para que la nueva normativa se despliegue completamente antes del 31 de diciembre de 2020

Entonces, ¿qué pasa ahora?

Un periodo de 14 meses en el que los reguladores estarán centrados en la migración en lugar de la aplicación de la normativa es una buena noticia para la industria. Pero no es mucho tiempo dado lo que está en juego para la economía europea. Si la SCA se aplicara hoy, en los próximos 12 meses se perderían unos 57.000 millones de euros en la economía europea. Y, las pymes serían las más afectadas. Tres de cada cinco empresas con menos de 100 empleados todavía no están familiarizadas con la SCA y, muchas de ellas, no tienen aún planes de cumplirla en un futuro próximo. 

Aunque la Autoridad Bancaria Europea (EBA) ha frenado el riesgo inmediato de una crisis del comercio electrónico en Europa, ahora debemos asegurarnos de que todas las empresas estén adecuadamente preparadas para lo que será el cambio más radical en cuanto a pagos online en las últimas décadas. 

Para que quede claro lo que está en juego. Los bancos rechazarán todas las transacciones que no estén debidamente autenticadas una vez que se aplique la SCA. Los comerciantes que no estén preparados perderán los ingresos por no haber realizado los cambios necesarios para estar preparados para la SCA.

¿Cómo pueden prepararse las empresas?

Las empresas online han trabajado duro en el pasado para hacer que los pagos sean invisibles (cuando reservas un taxi, una habitación de hotel o un vuelo y puedas hacerlo con solo un clic). Ahora con la SCA, las reglas del juego están cambiando y las empresas tendrán que utilizar soluciones de pago más sofisticadas ya que se aplicará a la mayoría de las transacciones. 

Las empresas se pueden preparar de varias maneras para la SCA. La primera de ellas es integrar y aplicar 3D Secure 2, la solución desarrollada por el sector de pagos para maximizar la seguridad de las transacciones y, al mismo tiempo, garantizar la fluidez de los pagos especialmente en los teléfonos móviles. 3D Secure 2 es un método de autenticación fácil de usar que es compatible con la SCA y que funciona como filtro para aprobar las transacciones. 

Sin embargo, la gran mayoría de los bancos emisores europeos todavía no lo han implementado en sus sistemas y lo más habitual es que utilicen el antiguo estándar 3DS1, que no está optimizado para el comercio móvil y que según las estimaciones de la industria traerá consigo una caída del 11% de la conversión para las empresas. Confiar solo en 3DS2 no debería ser la única medida que adopten las empresas para la SCA, y les pone en serio riesgo.

Otra opción que los comerciantes pueden contemplar es la de la adopción de métodos de pago preparados para SCA, como Apple Pay, Google Pay o cualquier otro método de pago similar. Son una forma muy buena de mantener altas tasas de conversión, a la vez que cumplen con los requisitos de la SCA a través de la verificación biométrica. Pero de nuevo, no todos los clientes en Europa tienen un smartphone, y no todos los bancos emisores en Europa ofrecen Apple Pay o Google Pay.

Esto deja a los comerciantes una tercera opción. La SCA contempla una serie de exenciones para las transacciones de bajo riesgo (por ejemplo, importes menores a 30 euros o cargos recurrentes de una misma cantidad.) por lo que es importante aprovechar la opción de activar SCA sólo cuando sea necesario. Sin embargo, la mayoría de los comerciantes no podrán activarlas solos y, no todos los bancos emisores tendrán la misma interpretación de las exenciones de SCA. De ahí la necesidad de utilizar la tecnología adecuada que ayude a gestionar la complejidad que implica la SCA y que también ayude a los comerciantes a entender por qué sus transacciones fallan.

¿Dónde deja esto a los comerciantes?

Sin duda, está siendo un gran reto para la industria prepararse para la SCA. Los organismos reguladores, los emisores, los comerciantes…, todos se verán afectados por la nueva normativa. Pero al final, los comerciantes son los que más tienen que perder. Si el pago se vuelve demasiado complejo, o peor todavía -si los pagos fallan- los clientes realizarán sus compras en otro lugar y posiblemente ya no volverán.

La SCA es una gran oportunidad tecnológica, pero de forma alarmante, y a pesar de todas las conversaciones en torno a ello de los últimos meses, son demasiadas las empresas que todavía no han oído hablar de la nueva normativa. No son conscientes aún de la amenaza que supone para sus ingresos online y el funcionamiento correcto de sus flujos de pago. Este es el asunto más importante que la industria debería estar centrada en resolver en los próximos 14 meses. De lo contrario, la prórroga habrá sido en balde.

Borja Santos, director general de Stripe España y Portugal