La introducción de más seguridad para el usuario en la normativa PSD2, a través del protocolo 3DS2 de la autentificación SCA, requiere una implantación eficaz para evitar que, por desconfianza en un sistema por otro lado fiable, se abandone la compra digital. En España, las pérdidas económicas se estiman en decenas de miles de millones de euros, más de un tercio de las compras.
APIs como Payments PSD2, de BBVA API_Market, ayudan a diseñar un entorno fiable, rápido y sin ‘costuras’ entre sistemas que aporta confianza y elimina fricciones, haciendo que el usuario no abandone la compra. Estas pasarelas de pago permiten, además, verificar el estado del mismo de forma inmediata.
¿Qué es la SCA y cómo beneficia el Ecommerce?
La SCA es una medida incluida en la Segunda Directiva de Servicios de Pago (PSD2) que tiene por objetivo reducir el fraude y potenciar la seguridad de los pagos online. Del inglés Strong Client Authentication, puede traducirse como ‘Autenticación Reforzada de Clientes’ (ARC).
Esta medida exige que los pagos electrónicos sean realizados con una autenticación multifactor. Este tipo de autentificación será obligatoria al acceder a pagos en línea, hacer transacciones de pagos electrónicos o llevar a cabo acciones a través de canales que pueda implicar fraude u otros abusos.
El motivo es obvio: una parte importante de la PSD2 tiene por objetivo mejorar la seguridad del usuario, especialmente aquel que no cuenta con conocimientos suficientes como para evaluar la fiabilidad de un sistema. En otras palabras, hacer un sistema de pago fiable por defecto en el que la inseguridad desaparezca de la ecuación.
¿En qué consisten las medidas SCA?
Según la PSD2, las medidas SCA exigen la autenticación basada en el uso de dos o más elementos catalogados como:
- conocimiento, algo que solo el usuario conoce, como una contraseña o la respuesta a una pregunta de seguridad más la pregunta de seguridad;
- posesión, algo que se tiene o posee, como una tarjeta de coordenadas, un móvil o el acceso a otro sistema de confirmación;
- inherencia, algo que el usuario es, como pueda ser una huella biométrica dactilar o por reconocimiento facial.
El sistema está pensado de forma que la vulneración de uno, por ejemplo el robo del teléfono móvil o el hackeo de la contraseña, no compromete la fiabilidad de los demás, ni del acceso al sistema. Alguien tendría que hacerse con el control de varias de estas claves a la vez para poder operar en nuestro nombre, lo que con la SCA se convierte en improbable.
España, con retraso en la aplicación SCA
Según el informe ‘SCA Economic Impact Assessment’ (enero de 2021), de la consultora independiente Cmspi, que trabajan principalmente sobre el mercado de pagos y la implementación de mejoras de seguridad, España se encuentra a la cola de los mercados europeos analizados en materia de implantar SCA con éxito. ¿Qué es lo que está fallando?
Un número importante de servicios bancarizados no han implementado SCA y, cuando lo han hecho, suele ocurrir que la experiencia del cliente es mala. Uno de los mayores problemas técnicos parece ser el responsable: el protocolo 3DS2 y los problemas para implantarlo.
Tras una moratoria, desde el 1 de enero de 2021 los bancos emisores de tarjetas de pago en España estaban obligados a implementar sistemas de autentificación reforzada SCA bajo el protocolo de autenticación 3D-Secure 2 (3DS2). El protocolo supone una mejora de seguridad respecto al 3DS1, y además elimina fricción en el momento del pago. Por desgracia, su despliegue está siendo complicado.
Varios estudios relacionados, uno de Amazon, otro de Microsoft, y un tercero de Unnax, destacan que a pesar de la moratoria para la implantación de SCA que se dio al sector de pagos, hasta un 59% de las transacciones podrían fracasar por diferentes motivos. Es decir, no llegarían a completarse, lo que supone un volumen de 20.200 millones de euros de pérdidas en ventas de cara a 2021.
CMSPI cifra esta cantidad en 12.330 millones en 2020, debido tanto a problemas técnicos de los emisores como de educación de los usuarios. Que estos comprendan el porqué de los protocolos —sin necesidad de conocer el protocolo en sí— resulta indispensable. Además de implantarlos, los protocolos han de inspirar confianza, y de momento parece que no suelen hacerlo.
Lentitud y desconfianza, dos grandes barreras de la SCA
España parece tener el segundo mayor índice de fallos de todos los mercados europeos analizados por CMSPI, solo superados por Italia en porcentaje de transacciones con tarjeta que se encuentran en riesgo de no llevarse a cabo.
El ratio de fallo ronda el 36% (el TOP 3 lo completan Italia, 38%; y Alemania, 33%), y se señala la falta de preparación del emisor de la tarjeta y los problemas de las pasarelas a la hora de integrarse en las tiendas. Desde el punto del usuario, las tasas de abandono se deben principalmente a dos factores:
- Lentitud del sistema de pago seguro. Cuando un usuario usa un servicio bancarizado para realizar un pago, espera que este tarde poco tiempo en cargar o en cumplimentarse. Sin embargo, algunas pasarelas de pago hacen uso de tecnología demasiado lenta o de formularios que ralentizan el proceso. En un mundo en que se quiere todo ya, esto presenta importantes pérdidas económicas por impaciencia.
- Desconfianza en el sistema. Al tiempo, es frecuente que los canales de pago soliciten al usuario la apertura de ventanas emergentes, o que carguen entornos visualmente disonantes con estéticas distintas entre la web/app de compra y el mecanismo de securización SCA. Esto ocasiona dudas en los usuarios, que se cuestionan si sus datos estarán seguros.
Estas dudas son legítimas, y además bien recibidas, en un entorno digital en el que conviene ser cauteloso y en el que todavía abundan las estafas. La educación digital del cliente para detectar estafas es tan necesaria como la educación digital para detectar pasarelas seguras.
El resultado en ambos casos suele ser el abandono de la compra en un 25% de las ocasiones como media europea. Decenas de miles de millones al año en compras no realizadas.
APIs como Payments PSD2, que integran el proceso de pago dentro del proceso de compra, son soluciones inteligentes a la hora de ganarse la confianza del usuario. Tanto esta como el resto de APIs están expuestas en BBVA API_Market, un entorno de innovación que persigue que las empresas puedan aprovechar la tecnología de los entornos bancarizados.