La nueva normativa de seguridad de pagos, en moratoria de facto para evitar una catástrofe del comercio

¿Sabía usted que desde el sábado 14 de septiembre está en vigor una nueva normativa europea de seguridad para los movimientos de dinero y relación digital con la banca…? Pues la mayoría del resto de los europeos, tampoco.

A diferencia de la normativa GDPR para la protección de datos personales, de la que tanto se habló desde muchos meses antes de su entrada en vigor efectiva (aun así, hubo meses de moratoria desde su promulgación), la PSD2 (Payment Service Directive) ha llegado con notable sigilo para los usuarios. Hasta que los bancos han empezado a imponernos cambios en la manera de entrar a sus páginas y aplicaciones, que a algunos les pueden parecer caprichosos.

Aunque la normativa entró en vigor hace nueve días, una parte esencial de PSD2 también está en situación de 'moratoria de facto'. "No es una moratoria, sino una situación de flexibilidad supervisora", corrige Pilar Clavería, asesora de pagos, operaciones y procedimientos de la Asociación Española de la Banca.

De momento, y sin plazo definido, la normativa de doble autenticación SCA (Strong Customer Authentication) no se está aplicando en el comercio online, "porque el día 15 de septiembre iban a caer una barbaridad las ventas", asevera José Luis Zimmerman, director de la Asociación Española de la Economía Digital (Adigital).

Zimmerman no concreta el porcentaje de desastre que podía temerse, como consecuencia de las nuevas medidas de seguridad, aunque sí ofrece la referencia de que entre un 20% a 25% de operaciones de venta online no se completan (tasa de "conversión"), por los pasos que hay que dar al llegar al proceso de pago. Con la nueva normativa ese proceso requerirá todavía algo más.

El director de Adigital observa que, para asumir el cambio de reglas "falta preparación en el comercio y en toda la cadena". Especialmente, ve mayores dificultades para "las pymes, que tienen menos recursos que los grandes comercios". Su queja es que llevan "10 años empujando para construir el comercio online europeo y las normativas están perjudicándolo. Hay diferentes umbrales de IVA, que perjudican al comercio pequeño que quiere vender fuera de sus fronteras y tiene que adaptarse a los otros sistemas. La PSD2 es loable, pero hay otros entornos que no tienen nada de eso…". Clavería reconoce que con algunas estructuras actuales habría casos en que habría casos de operaciones que se frustrarían porque "no se podría ni llegar al paso de solicitar la autenticación". 

La regulación SCA de autentificación reforzada intenta prevenir el fraude en el uso de tarjetas de crédito, "que en el global de operaciones [de VISA] está apenas en torno al 0,1%, y en España y Europa por debajo", advierte Andrea Fiorentino, jefe de productos y soluciones de VISA para el Sur de Europa.

La operativa se plantea en dos pasos: análisis de riesgo de la transacción y solicitud al consumidor de pruebas de que es el titular de la tarjeta mediante datos biométricos, verificación con mensajes al móvil o email y otras eventuales opciones que se puedan implementar. En cuanto al análisis de riesgos, Fiorentino ofrece un ejemplo ilustrativo de lo que sería una alerta: "Si de repente una tarjeta empieza a operar desde Nigeria, de madrugada… Analizamos patrones de comportamiento, si una tarjeta se usa habitualmente desde un ordenador concreto o con un determinado móvil. Si hay cambios llamativos, si el móvil ha sido formateado, requerimos la verificación".

Siguiendo con lo que propone (y exigirá) SCA, al consumidor se le pide cumplir con dos métodos de seguridad de entre tres opciones, que detalla Clavería: "Algo que sabes", como el PIN de la tarjeta; "algo que tienes", la propia tarjeta, físicamente; o "algo que eres", una identificación biométrica, como la huella digital, reconocimiento facial u otros recursos similares.

En lo que coinciden Zimmerman, Clavería y Fiorentino es en la necesidad de que "se alargue la tubería", por la que circulan los datos de hasta 120 campos entre los agentes implicados en una operación de pago. Y que la implantación se haga de manera armonizada en toda Europa. Reconocen que el proceso de compra queda marcado por "la experiencia de usuario" y este no será igual para cada persona. "En algunos casos que antes no se pedía el pin ahora se pedirá", señala Clavería. "Y por el número de transacciones, por un gasto acumulativo, de vez en cuando se puede pedir el pin en una operación pequeña. Nadie debe sentirse avergonzado si le pasa".      

Aparte de la 'moratoria' no declarada, que quizás se concrete entre 12 y 18 meses con un comunicado de la autoridad europea la semana próxima, hay algunas excepciones en las que no se pedirá la prueba de autentificación extra.

Son casos como las transacciones ya iniciadas, pagos acordados y suscripciones, pagos a plazos o cargos por cancelaciones o retrasos, pedidos por correo y pagos telefónicos. También hay pagos a los que se aplicará SCA sin exigir la autentificación extra, como en los pequeños importes (salvo en las circunstancias particulares antes señaladas), comercios de confianza (listas blancas) y pagos corporativos.

Las tarjetas de crédito, en el caso de VISA, seguirán manteniendo sus características y elementos de identificación, incluida la problemática y casi obsoleta banda magnética, para mantener la compatibilidad con todos los puntos en los que es posible pagar con su tarjeta. No obstante, la organización promueve su nuevo protocolo de seguridad 3D 2.2, actualizado para abarcar operaciones con el móvil, que incluye la ventaja de que todos los pasos requeridos (como envíos de códigos de seguridad) se desarrollen en la misma pantalla de la app, sin tener que cambiar entre aplicaciones como ocurre ahora cuando se recibe un pin a través de sms o email para autentificar la operación.