Desde el 1 de enero se ha ido implementando de manera progresiva en los diferentes países europeos la autenticación reforzada o SCA (Strong Customer Authentication) en las transacciones de tarjetas en entornos online. Desde Adigital, organizamos el pasado día 25 de enero un primer taller para arrojar luz sobre este proceso y la situación de la industria. Sin embargo, ante su evolución desigual en cada país y el impacto que esto puede estar teniendo en la conversión y ventas de los ecommerces, hoy queremos ofrecerte información actualizada, con el asesoramiento de Marc Nieto, Advisor de Payments de Adigital y miembro del European Retail Payments Board del Banco Central Europeo.
Recordemos…
La Directiva de Medios de Pago (PSD2), que entró en vigor en septiembre de 2019, tiene por objetivo incrementar la protección del consumidor y la seguridad de los pagos. Para ello, introduce, entre otras medidas, la autenticación reforzada o SCA en los pagos electrónicos. La implantación de la SCA en las transacciones online exigirá, salvo en algunas excepciones, la autenticación del usuario del medio de pago con dos de los siguientes tres factores: algo que se es, algo que se tiene o algo que se sabe.
Debemos recordar también que el banco que emite la tarjeta con la que se realiza el pago online (ASCP o banco emisor) es el último responsable de autenticar al titular del medio de pago. No obstante, si una de las dos partes (comercio o banco emisor) no está en la zona económica europea, la SCA puede no aplicarse.
¿Qué ha ocurrido desde enero hasta marzo?
El 1 de enero finalizó el periodo de Flexibilidad Supervisora otorgado por la Autoridad Bancaria Europea (EBA), durante el cual se permitía no aplicar la autenticación reforzada en transacciones con tarjetas en el entorno online.
Una vez llegado el 1 de enero, y dado que los diferentes actores de la cadena necesitaban de más tiempo para finalizar la implementación, los diferentes entes supervisores aportaron periodos adicionales para que la industria pudiera escalar de forma progresiva la aplicación del SCA.
En España, desde mediados de febrero, los bancos están forzando la autenticación de las transacciones online, rechazando progresivamente todas aquellas transacciones de los comercios que no resultan autenticadas.
Según datos de MPServices de entre el 1 y el 8 de marzo en España:
- En las transacciones con tarjetas en el entorno online superiores a 200€, se está forzando la aplicación del SCA en prácticamente todos los casos.
- Para compras de un importe inferior a 100€, lo más frecuente es que los bancos no fuercen SCA (no hay soft declines).
- En las transacciones que oscilan entre los 100 y 200€, el resultado es más variable: dependiendo de los bancos y de la casuística de la transacción se están rechazando o no las transacciones que no son SCA.
Si miramos al resto de Europa, podemos observar que la aplicación de la SCA difiere según el país. Algunos Estados han otorgado formalmente mayor flexibilidad (en Reino Unido no será totalmente aplicable hasta octubre de 2021 y en Irlanda hasta julio) y otros han aplicado la normativa desde el inicio de año (Portugal, Holanda, Noruega y Grecia). En un punto intermedio, se encuentran, además de España, países como Alemania o Austria.
Entonces, ¿estamos ahora más preparados?
Parece que no del todo:
- Aunque cada vez menor, continúa habiendo en España un parquet de tarjetas que no soportan SCA (la gran mayoría de tarjetas fueron adaptadas a finales de 2020).
- Muchas transacciones se están procesando aún en 3ds v1 dado que los resultados del performance continúan siendo mejores.
- Los usuarios desconocen en muchos casos el proceso de doble autenticación, lo cual genera confusión en sus compras online.
- En ocasiones se produce un exceso de challenge por parte del banco emisor. La norma recoge la posibilidad de omitir la doble autenticación en algunas excepciones, donde se considera que la transacción no está sujeta a riesgo de fraude. El banco emisor es quien decide si se aplican estas excepciones, pero no siempre está haciendo uso de ellas.
Todo ello repercute en un aumento de la tasa de abandono (transacciones en las que el usuario no logra autenticarse) y, por tanto, impacta en la tasa de conversión de las empresas.
Impacto en la tasa de conversión
Como resultado, podemos observar que en un entorno en el que se aplica SCA, la tasa de autorización cae del 91,8% al 71,3%.
También es especialmente importante la tasa de transacciones abandonadas o no finalizadas (drop off), ya que refleja hasta qué punto está habiendo problemas en la implementación. Este drop off puede producirse bien porque el usuario no continúe el proceso (por desconocimiento etc.) o bien porque la transacción se rechace.
La buena noticia es que el porcentaje de drop off es cada vez menor. Mientras que a comienzos del año se registraba una tasa superior al 20% en un entorno en el que se aplicaba SCA, actualmente este porcentaje está en torno al 7%. Si bien a principios de año, España, junto con Italia, era percibido como uno de los países con mayor riesgo del impacto en las ventas y la tasa de conversión según los estudios de comercios y asociaciones, en nuestro país se está observando una mejora muy sustanciosa.
Recomendaciones para el comercio
- Definir una estrategia propia que se adecue a las necesidades del comercio y hacer uso si se puede de las exenciones previstas.
- Trabajar con el banco adquirente, para tratar de aumentar la tasa de conversión.
- Tener integrado ya 3DS 2.X (a ser posible en la v. 2.2) y con llamada a la v. 1 para una mejor respuesta ante el parqué de tarjetas obsoleto y los problemas técnicos.
- Aprovechar los periodos de flexibilidad adicional para gestionar de forma más eficiente las tasas de abandono.
- Formar al equipo de atención al cliente para atender las dudas de los clientes. Se están observando muchas llamadas de usuarios que no pueden finalizar el proceso porque la doble autenticación, por lo que el SAC debe estar informado para atender estas peticiones.
- Incluir en el check out de pago información para los clientes sobre los nuevos requisitos de pago introducidos por la SCA.
Los primeros resultados de la SCA
Terminamos con otra buena noticia. Cabe recordar que el objetivo último de la SCA era reducir el fraude en el comercio electrónico europeo y ya se pueden apreciar los primeros resultados. Por ejemplo, se ven fraudes con importes pequeños, lo cual era muy poco habitual antes del SCA. Con el tiempo, esperamos que esta reducción del fraude pueda ser todavía más significativa, en línea con los objetivos de la Directiva de Medios de Pago (PSD2), incrementando la protección del consumidor y la seguridad de los pagos.