¿Creíste que la GDPR era complicada? Prepárate para la SCA
La entrada en vigor de la 'autenticación reforzada de cliente' tendrá un impacto profundo en la forma en que las empresas manejan las transacciones online y en cómo pagamos.
Europa se prepara para un gran cambio en la forma en que pagamos cuando compramos online, un cambio que tendrá consecuencias significativas para todas las empresas en Europa. Al igual que el año pasado el Reglamento General de Protección de Datos (GDPR) afectó enormemente la forma en que millones de organizaciones manejan los datos personales, la entrada en vigor de la autenticación reforzada de cliente (strong customer authentication o SCA en sus siglas en inglés) tendrá un impacto profundo en la forma en que las empresas manejan las transacciones online y en cómo pagamos.
A partir del 14 de septiembre, la SCA requerirá un nivel adicional de autenticación para realizar pagos online. Si antes bastaba con un número de tarjeta y una dirección para hacer algo tan sencillo como pedir un taxi o pagar por un servicio de streaming de música, ahora se tendrá que incluir al menos dos de los tres factores siguientes: algo que saben (como una contraseña o PIN), algo que poseen (como un token o un smartphone), y algo que son (como una huella digital o rasgos faciales biométricos).
- ¿Por qué ocurre esto?
Las normativas se diseñan para proteger a los consumidores europeos de los intentos de fraude online que llegan a alcanzar miles de millones de euros. Se espera que el comercio por Internet en Europa crezca hasta alcanzar el trillón de dólares en 2022, y el fraude online crece también con él. el Banco Central Europeo estima que el fraude online alcanza un valor de 1.300 millones en tarjetas europeas.
Sin embargo la SCA podría tener un coste muy alto para las empresas europeas que operan online. Si no se preparan, la puesta en marcha de la nueva directiva generará transacciones fallidas y esa fricción adicional tendrá un impacto muy negativo en la conversión y en su negocio. Nos enfrentamos a una pérdida económica que puede alcanzar los 150.000 millones.
- ¿Qué deben hacer las empresas de Internet para prepararse?
Lo mejor es prepararse con tiempo: sólo el 25% de los merchants europeos están al tanto de los cambios que se avecinan, y puede que a muchos les entre la prisa a última hora como pasó con el período previo a la GDPR.
Pero no nos engañemos, SCA no es menos complejo que la GDPR. Los reguladores nacionales, las redes de tarjetas y los bancos emisores interpretan de forma diferente la normativa general de la UE y disponen de su propio conjunto de normas y políticas. Asimismo, existen exenciones de pago que no requieren una doble autenticación. Para la mayoría de las empresas, esto es desconcertante, pero hay algunos principios generales que deben aplicarse cuando se preparan para la SCA.
En primer lugar, las empresas tienen que evaluar su experiencia de pago para minimizar la fricción con el método de pago más apropiado. Desde seguridad biométrica en monederos móviles hasta los métodos de pago regionales sin tarjeta y 3D Secure 2, las empresas pueden seguir varias formas para que sus clientes autentiquen la transacción siguiendo las normas de SCA.
Diferentes métodos de pago son más adecuados para ciertos modelos de negocio, y las preferencias de los clientes variarán dependiendo de la geografía y su relación con el negocio. Por eso, los negocios digitales deben incorporar la mayor cantidad de opciones en su experiencia de pago.
En segundo lugar, las empresas deben optimizar su negocio para cuando necesiten la SCA y para cuando no, ya que SCA no se aplicará a todas las transacciones online (existen exenciones para los pagos recurrentes y las compras inferiores a 30 euros). Además, los clientes pueden crear listas pre- aprobadas con su banco emisor de aquellas empresas donde hacen pagos recurrentes y prescindir así de autenticarse para sus futuras compras, aunque hay que tener en cuenta que la concesión de exenciones recae en última instancia del banco.
Para una empresa que opera en múltiples mercados europeos, la gestión de las exenciones en sí misma significaría trabajar directamente con los bancos locales para entender exactamente cómo ponerlas en marcha, y hay más de 6.000 bancos en Europa. Las empresas tendrán que decidir si quieren convertirse en expertos de SCA o encontrar un socio estratégico que les ayude a abstraer la complejidad de los retos que conlleva la nueva normativa.
- ¿Cómo podría esto moldear al ecommerce en Europa?
Pero donde hay riesgo, siempre hay oportunidad. En el contexto de normativas más estrictas, las experiencias de pago sin fisuras y la gestión inteligente de las exenciones de SCA se convertirán en una profunda ventaja competitiva para las empresas de Internet capaces de ejecutarlas correctamente. En cierto modo, esto puede incluso beneficiar a las empresas de tecnología avanzada que viven y mueren optimizando la experiencia del usuario (en comparación con las empresas heredadas que todavía están haciendo la transición del mundo offline). Esto se aplica especialmente al comercio móvil, donde SCA puede contribuir a una mayor adopción de la seguridad biométrica en pagos con Apple Pay y Google Pay. Además, SCA puede estimular una ola de innovación en las herramientas de seguridad biométricas y la tecnología de pago móvil aquí en Europa, ya que los empresarios detectan lagunas en el mercado para obtener experiencias de autenticación más seguras y fáciles de usar.
En última instancia, hacer que la economía de Internet sea más segura es importante para sus perspectivas de crecimiento a largo plazo. A medida que aumenta la confianza del consumidor, también aumenta la cantidad de gastos que se están realizando online. En este contexto, si bien el SCA plantea un reto importante para el comercio electrónico europeo a corto plazo, podría convertirse en un hito importante en el camino hacia el aumento del comercio en línea en Europa, la realización del mercado único digital y el aumento del PIB de Internet.
Borja Santos es director de Stripe Iberia
