Cómo adaptar mi comercio online a la directiva europea de servicios de pago (o PSD2)

Te explicamos todo lo que necesitas saber para adaptar tu comercio a la nueva normativa de seguridad.

Los comercios online también se han visto afectados con la llegada, en 2015, de la nueva normativa PSD2, segunda Directiva Europea de Servicios de Pagos digitales (Payment Service Directive 2, por sus siglas en inglés). 

Desde el 14 de Septiembre de 2019, se han implementado nuevas medidas de identificación (doble autenticación) que han hecho más seguros los pagos electrónicos y, además, han conseguido promover la innovación y la competencia entre países y proveedores. Todo con un objetivo único: la creación de un mercado de pagos único en la Unión Europea.

¿Cómo afecta PSD2 a los comercios online?

Aunque los emisores de las tarjetas son quienes deberán realizar este proceso de doble autenticación, los comercios electrónicos igualmente deberán asegurar que su plataforma de pagos online (TPV Virtual) tiene la capacidad de procesar transacciones en modo seguro, ya que podría ocurrir que al procesar pagos dentro de un entorno de compra NO SEGURA, estos pagos pudiesen ser denegados por los bancos emisores de las tarjetas.

Es importante mencionar que los procesos de autenticación reforzada serán muy beneficiosos para los comercios online porque además de ofrecer mayor seguridad y confianza a sus compradores, reduce el riesgo que el cliente reclame la operación por posible fraude.

¿Debe mi comercio hacer algo para adaptarse a PSD2?

Cada comercio deberá o no introducir modificaciones en su TPV Virtual en función de la conexión que utilice actualmente para procesar operaciones online. Te recomendamos que en caso de tener que hacer adecuaciones, lo hagas lo antes posible..

  • Si tu comercio se conecta a la pasarela de pagos por redirección, no debes hacer nada ya que BBVA procederá a modificar la configuración de tu TPV Virtual para adaptarlo a las normas técnicas cuando éstas entren en vigor.
  • Si tu comercio se conecta a la pasarela de pagos mediante conexiones Host-to-Host (como webservice, Price, Rest), deberás realizar una serie de cambios en la configuración de tu TPV Virtual para adaptarlo a la nueva regulación. Existen dos opciones para esta adaptación: 
    • Opción simple: Envía las operaciones a la entrada Realizar Pagos (redirigiendo al usuario al TPV), para que la propia pasarela sea quien gestione el flujo de autenticación y posterior autorización. Consulta el manual del desarrollador que ponemos a tu disposición: 
    • Adaptar tu conexión host-to-host: En este caso, al ser tú quien gestiona todo el flujo de la operación debes redirigir la transacción al servicio que corresponde en cada paso, de acuerdo a las especificaciones técnicas que puedes encontrar en nuestras guías.

Una de  las novedades  para adaptarse a este nuevo escenario  es la creación de una nueva versión del protocolo de compra segura: EMV 3DS (también llamado 3DS 2.x), el cual progresivamente sustituirá a la versión actual (3DS 1.0), y que entre sus ventajas ofrece la posibilidad de incorporar más campos de información y favorece una mejor experiencia de autenticación de los consumidores.

  • Si utilizas los servicios de un Proveedor de servicios Pagos (Payment Service Provider) que no es BBVA, deberás ponerte en contacto con tu proveedor para que éste sea quien te informe de las adaptaciones necesarias.

¿Existen exenciones o exclusiones a la ley?

Adicionalmente, la nueva ley establece algunas exenciones a SCA o exclusiones que serán de mucha utilidad a la hora de flexibilizar los procesos de autenticación de clientes. Algunos de estos casos son:

Exenciones a SCA:

Aunque se pueden proponer las siguientes exenciones, es la entidad que emite la tarjeta quien tiene la última decisión y puede requerir la doble autenticación  de la transacción.

  • Operaciones online de importe inferior a 30 €.
  • Operaciones Contactless inferiores a 50 €.
  • Transacciones realizadas en terminales no atendidos de parkings o transporte.
  • Cuando el beneficiario del pago esté incluido por el ordenante en una lista de beneficiarios de confianza.
  • Operaciones identificadas por la plataforma de pago como bajo riesgo. Son operaciones consideradas como de perfil no fraudulento, al coincidir con la operativa habitual de los clientes (pautas de gasto, realizadas con su mismo dispositivo, etc).
  • Operaciones frecuentes o periódicas en las que coincida el importe y beneficiario. En este caso será necesario aplicar la doble autenticación la primera vez.   

Exclusiones:

Quedan fuera de esta regulación y por tanto del requerimiento de SCA:

  • Operaciones con tarjetas en comercios situados fuera del Espacio Económico Europeo (EEE), si bien el emisor de la tarjeta requerirá del doble factor de autenticación si así lo considera.
  • Operaciones iniciadas por teléfono, correo, o email.
  • Pago con tarjetas anónimas (por ejemplo, tarjetas regalo).
  • Transacciones iniciadas de manera automática por el comercio, como suscripciones o pagos realizados sin que el cliente esté presente (es necesario que previamente el cliente haya dado su consentimiento para llevar a cabo estos pagos).

Si tienes alguna duda sobre PSD2, o si te interesa utilizar alguna de las exenciones a SCA o exclusiones que contempla la ley, ponte en contacto con:

Línea Comercios: soportevirtual@bbva.com  

Teléfono: 912 983 609