WordPress, PSD2 y SCA ¿qué tengo que hacer para cumplir en mi tienda online?

Por si no lo sabías, desde el 1 de enero de 2021 es obligatorio que todas los sistemas de pago online cumplan con la normativa europea PSD2, para garantizar la seguridad de los pagos online.

¿Qué es la normativa PSD2?

PSD2 es como se le está denominando a la Directiva 2015/2366 del Parlamento Europeo y del Consejo sobre servicios de pago en el mercado interior.

Es una regulación que busca principalmente la transparencia, la seguridad y la estandarización de los servicios digitales, así como la protección de los derechos de los usuarios de compra online en Europa.

Su aplicación se ha ido aplazando los últimos años pero es efectiva desde el 1 de enero de 2021 y de obligado cumplimiento.

¿Qué es SCA?

SCA es la parte de la normativa que obliga a la doble identificación de los compradores en las tiendas online.

Esta identificación reforzada del cliente (del inglés Strong Customer Authentication) consiste en solicitar información adicional al comprador, para asegurar que es quien dice ser, cuando los sistemas de análisis de riesgo o de la entidad bancaria del comprador, identifiquen una operación con alto riesgo de fraude.

Ejemplos de esta información adicional pueden ser:

  • Código de un sólo uso enviado por SMS al móvil del comprador
  • PIN de la tarjeta para compras en internet
  • Identificación biométrica en la app de tu banco

La mayoría de las transacciones de venta online tendrán que estar identificadas como mínimo por dos de estos tres factores de seguridad a partir de su entrada en vigor. Tendrán que procesarse por un protocolo de «Compra segura» (3D Secure).

¿Dónde es obligatorio aplicar PSD2 y SCA?

La identificación reforzada de clientes se aplica a los pagos online «iniciados por el cliente» en Europa.

La mayoría de los pagos con tarjeta y todas las transferencias bancarias requieren la SCA.

En el caso de los pagos con tarjeta por Internet, estos requisitos se aplican a las transacciones en las que tanto la empresa como el banco del titular de la tarjeta se encuentran en el Espacio Económico Europeo (EEE).

Resumiendo, si tu tienda online está ubicada en la Unión Europea o si vendes a clientes de la Unión Europea, es obligatorio ofrecer la identificación reforzada de clientes (SCA).

¿Cómo cambia PSD2 y SCA el proceso de pago de las compras online?

A partir de la implantación del pago seguro el proceso de pago de una compra pasa a tener al menos 3 pasos:

  1. Iniciar el pago
    Tu cliente completa los datos de su tarjeta y el formulario de compra para iniciar el pago.
  2. Activar doble identificación
    La pasarela de pagos detecta si se requiere doble identificación. En caso afirmativo, usa 3D Secure para identificar al cliente utilizando un código de acceso único o una ID biométrica, según lo que acepte o determine el banco.
  3. Completar el pago
    Una vez que se ha confirmado la identidad del cliente mediante 3D Secure, se puede efectuar el cargo en la tarjeta o cuenta bancaria.

Sería algo así como en el siguiente vídeo…

¿Quién tiene que garantizar el pago seguro?

Aunque las tiendas online que hasta ahora han estado procesando sus pagos sin identificación (compra no segura), deben ofrecer ya la compra segura con doble identificación, la realidad es que la mayor parte del proceso de adaptación hacia PSD2 y SCA la deben hacer los emisores y procesadores de pagos, estos son, los bancos, las marcas de tarjetas y las plataformas o pasarelas de pago.

Tú, como responsable de una tienda online, debes asegurarte de procesar como «compra segura» (3D Secure) todas las operaciones en las que sea obligatoria, pues hay excepciones.

Pagos exentos/excluidos de SCA

No obstante todo lo anterior, hay algunos tipos de pago que están exentos de la identificación reforzada de clientes o SCA, que son los siguientes:

  • Los pagos periódicos se consideran «iniciados por el comerciante» no requieren la identificación reforzada. Se requiere SCA solo en el pago inicial. Muy importante: las suscripciones iniciadas con anterioridad a la fecha de entrada en vigor no tendrán que ser identificadas mediante SCA.
  • Los pagos con tarjeta contactless
  • Los pagos con tarjeta realizados en persona.
  • Los pagos se han iniciado por teléfono o correo postal.
  • Los pagos con tarjetas prepago anónimas.
  • Los pagos ≤ 30€.
  • Los pagos considerados como de bajo nivel de riesgo de fraude por parte de la entidad.

¿Qué tengo que hacer para comprobar si mi tienda online está preparada para PSD2 y SCA?

Visto y comprendido lo anterior (sí ¿no?), y como el proceso de adaptación recae principalmente en las pasarelas de pago y los bancos, tu parte más importante es comprobar si tu banco y las pasarelas de pago que ofreces en tu tienda online cumplen con PSD2 y SCA mediante 3D Secure.

WooCommerce

El primer paso es usar WooCommerce para tu tienda online, pues ofrece multitud de pasarelas de pago adaptadas a SCA:

  • Stripe
  • PayPal
  • RedSys
  • Sofort
  • Sage Pay
  • Klarna

Pasarelas de pago compatibles con SCA y PSD2

Como te decía, si usas WooCommerce puedes prácticamente asegurar que la mayoría de las pasarelas de pago preparadas para el plugin cumplen con SCA, así, las principales ya tienen páginas específicas donde se indica su compatibilidad:

Usando cualquiera de estas pasarelas se activará 3D Secure para las transacciones de las tarjetas que se emitan en el Espacio Económico Europeo y en el Reino Unido (post Brexit, al menos de momento), tal y como exige esta directiva. No hace falta que cambies nada.

Bancos preparados para SCA y PSD2

Por supuesto, nada de lo anterior tendrá efecto si el banco del método de pago del cliente no se ha adaptado a la normativa PSD2 y no requiere SCA.

Así que sí, es posible que al cliente no se le requiera un SCA mediante 3D Secure aunque la pasarela de pagos esté preparada para ello, simplemente porque su banco no lo requiera.

Ahora bien, esto sería totalmente irregular en cualquier banco europeo, pues todos están obligados a ello. Pero, si el cliente opera desde un banco de otro país que no sea de la UE podría no requerir la doble identificación del SCA. Cada vez es más raro, pero pasa.

Comprobar si está funcionando

Hasta donde yo sé el único método infalible de comprobar si está funcionando la identificación reforzada de cliente en tu tienda online es probarla tú mismo haciendo una compra con todas las pasarelas de pago activas.

El proceso sería el que hemos visto:

  1. Eliges el método de pago y aceptas las condiciones de la tienda, privacidad, etc.
  2. Introduces los datos de tu método de pago o se te redirige a la plataforma elegida.
  3. Se te requiere la doble identificación (SMS, pin, biometría en la app del banco, etc.)
  4. Finaliza el pago.

No obstante lo anterior, en Stripe sí puedes ver si se están realizando pagos mediante SCA.

Puedes ir a la sección de Desarrolladores -> Registros, y comprobar si hay transacciones con el identificador payment_intents, lo que indica que el pago se ha procesado mediante la API de Stripe para SCA.

Verás que hay otros identificadores (charges, sources, etc.) que no son de pagos mediante SCA, normalmente asociados a pagos recurrentes y otros tipos de exenciones/exclusiones, como vimos antes.

¿Tengo que hacer algo más para adaptar mi tienda online a  PSD2?

Si has comprobado todo lo anterior y…

  • Utilizas WooCommerce
  • Ofreces pasarelas de pago compatibles con SCA

Solo te queda un paso que a muchos se les olvida…

Adapta los términos y condiciones de venta en tu tienda online para indicar el nuevo procedimiento de pagos, informando a tus clientes de los pasos que se encontrará a partir de ahora al hacer pagos.

Con esto evitarás disgustos, carritos abandonados y problemas en general. Una buena práctica que han realizado ya algunas tiendas online es enviar un aviso informativo por email a sus clientes registrados, indicándoles el nuevo procedimiento y una explicación de los motivos (PSD2, más seguridad, etc.)

¿Afectará a mis ventas la implantación del SCA de la normativa PSD2?

Pues sí, en las tiendas online en las que se están haciendo tests de carritos abandonados se ha comprobado que se están incrementando los procesos de pago sin finalizar en un 20%.

Para evitarlo o reducir el impacto informa a tus clientes lo mejor y más detalladamente posible.

(2 votos, promedio: 5) Valora este artículo para ayudar a mejorar la calidad del blog

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

Sobre el autor

2 comentarios en “WordPress, PSD2 y SCA ¿qué tengo que hacer para cumplir en mi tienda online?”

  1. Buenos días Fernando, quería felicitarte y darte las gracias. Tus artículos siempre son de gran ayuda, leo todos los que puedo, pero nunca me ‘manifiesto’ ;-} y creo que para los que crean contenidos debe ser una alegría que alguien se ‘manifieste’ y valore su trabajo. Muchas gracias a ti y a todos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información base sobre privacidad:
  • Responsable: Fernando Tellado ([email protected])
  • Fin del tratamiento: Moderación de comentarios para evitar spam
  • Legitimación: Tu consentimiento
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: Acceso, rectificación, portabilidad, olvido

 

Ir arriba Ir al contenido