Todo lo que necesitas saber sobre la PSD2
Ponemos a tu disposición toda la información sobre la nueva normativa europea de pagos.
Preguntas frecuentes para particulares
¿Qué es la PSD2? ×+
La PSD2 o ‘Segunda Directiva de Servicios de Pago’ es una normativa europea que persigue mejorar la seguridad en los pagos online con el fin de beneficiar al consumidor, promoviendo la innovación y competencia entre países y proveedores, contribuyendo así al desarrollo de un mercado de pagos más integrado y eficiente en toda la Unión Europea.
¿Por qué se han introducido estas medidas? ×+
Para garantizar los siguientes objetivos fundamentales:
- Fomentar la innovación, reduciendo barreras de entrada y favoreciendo la competencia.
- Reforzar tu protección como consumidor: incrementando la transparencia con el cliente y limitando comisiones, recargos y responsabilidades.
- Mejorar la seguridad de los pagos mediante nuevos requerimientos de autenticación, condición necesaria para el avance de la economía digital.
- Fortalecer el espacio de pagos europeo, homogeneizando la regulación para conseguir una experiencia de usuario equivalente e independiente del país en el que se produzca la transacción.
¿Qué es exactamente la Autenticación Reforzada de Clientes? ×+
La Autenticación Reforzada de Clientes, también conocida como “Strong Customer Authentication” o “SCA” por sus siglas en inglés, es una parte fundamental de la nueva normativa de pagos europea y supone la aplicación de nuevas medidas de seguridad que harán que las operaciones sean aún más seguras, ya que será la forma en la que vamos a identificarte cuando ordenes pagos en comercios presenciales o por internet y realices determinadas operaciones en Banca online y móvil.
Se centra en proteger a los clientes contra el fraude al solicitar nuevos niveles de autenticación que permitan comprobar que un pago o una operación online proviene realmente de ese cliente.
Así, cuando realices determinados pagos y operaciones online, te pediremos 2 de los siguientes 3 tipos de factores de autenticación:
- Conocimiento: algo que sabes, como una contraseña.
- Posesión: algo que posees, como una contraseña de un solo uso enviada a tu Smartphone o una tarjeta de pago.
- Inherencia: algo que "eres", por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.
Estas nuevas medidas han sido diseñadas para darte aún más confianza y protección al pagar.
¿Qué supone la autenticación reforzada para mí? ×+
En el mes de septiembre de 2019 apreciarás algunos cambios en la forma de operar en:
- En tiendas: Cuando pagues con tu tarjeta en tiendas o comercios físicos y pagues a través de Contactless, lo único que vas a notar es que es posible que te pidamos que introduzcas tu PIN con más frecuencia, incluso aunque se trate de importe pequeños.
- En Internet: Cuando compres online, ya no te pediremos que introduzcas únicamente el número de la tarjeta y la fecha de caducidad, sino que te pediremos 2 de los 3 posibles tipos de factores de autenticación mencionados anteriormente.
- En la Banca Online/ Banca Móvil: La entrada en vigor de la PSD2 implica que ya no necesitarás la tarjeta de coordenadas (TPC), solo tendrás que llevar encima tu móvil para firmar operaciones. Mucho más cómodo y con la misma seguridad que siempre.
Para firmar operaciones te pediremos una clave de un solo uso que te enviaremos en ese momento mediante un SMS. Y más sencillo aún, en algunos casos bastará con que introduzcas tu clave de acceso a Banca online y móvil para confirmar la operación. Además, podrás asignar y gestionar los beneficiarios de confianza en el momento de realizar la transferencia o desde la nueva Agenda de beneficiarios.
En algunas ocasiones también te podremos solicitar la clave de un solo uso enviada por SMS para proteger tu privacidad en el acceso a Banca online/móvil o en consultas de información sensible o de tu histórico de pagos.
¿Cómo afecta la autenticación reforzada al comercio online? ×+
Las nuevas medidas de seguridad y autenticación reforzada comenzaron a aplicarse el 14 de septiembre de 2019 en los comercios físicos y en nuestra Banca online y móvil. Pero para las compras online empezarán a aplicarse en los próximos meses, de forma progresiva, hasta que se implemente definitivamente en enero de 2021. Y los factores de autenticación que te pediremos no serán los mismos que para las compras presenciales. Cuando compres online, ya no te pediremos que introduzcas únicamente el número de la tarjeta y la fecha de caducidad, sino que te pediremos 2 de los siguientes 3 tipos de factores de autenticación:
- Conocimiento: algo que sabes, como tu contraseña de acceso a la banca electrónica, o determinadas posiciones del Pin de tu tarjeta.
- Posesión: algo que posees, como nuestra app vinculada a tu smartphone, o el móvil en el que recibes las contraseñas de un solo uso que te enviamos por SMS.
- Inherencia: algo que "eres", por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.
Estos nuevos factores de autenticación han sido diseñados para darte aún más confianza y protección al pagar.
¿Y qué factores de autenticación me vais a pedir concretamente para las compras online? ×+
Queremos que todos nuestros clientes puedan beneficiarse de esta nueva forma de comprar online, por eso vamos a pediros los factores de autenticación que os resulten más cómodos y fáciles de usar ajustándonos a vuestras preferencias en cuanto al uso de la tecnología y a la forma en la que os relacionáis con nosotros.
Si tienes la app de Banca móvil y has verificado en ella tu smartphone, cuando vayas a hacer una compra online, recibirás una notificación en ese dispositivo, desde la que te podrás identificar en nuestra app, y confirmar el pago. Si tu smartphone tiene biometría, te pedirá que introduzcas tu huella u otro elemento biométrico para identificarte. Si no tiene biometría, te pedirá que introduzcas la clave con la que accedes a la Banca online.
Si tienes nuestra app pero no has verificado en ella tu smartphone, una vez introducida la biometría o la clave de acceso a la Banca online, te pedirá que introduzcas además el código de un solo uso que te mandaremos en ese momento por SMS.
Si no tienes descargada nuestra app, cuando vayas a hacer el pago en el comercio online, deberás acceder con tu usuario y clave a nuestra Banca online o móvil, y autorizar ese pago pendiente introduciendo el código de un solo uso que te mandaremos en ese momento a por SMS.
Si no tienes nuestro servicio de Banca online, cuando vayas a hacer el pago en el comercio electrónico, recibirás un SMS en el que te pediremos que multipliques dos posiciones del PIN de tu tarjeta e introduzcas el resultado en la pantalla del comercio seguido de un código de un solo uso que también incluiremos en el SMS.
¿Tener la app de banca móvil es importante? ×+
Todos los factores de autenticación que hemos mencionado antes son seguros, pero si tienes descargada la última versión de nuestra app y verificas tu smartphone en ella podrás hacer las compras online de forma más sencilla, cómoda y rápida.
Puedes descargarte nuestra app en los stores oficiales de tus dispositivos. Para verificar tu smarthone en la app, solo tienes que seguir las indicaciones que te daremos en ese momento.
¿Cómo verifico mi smartphone en la app de Cajasur? ×+
Si no tienes la app de Cajasur: Instala la app y al acceder a Banca móvil te guiaremos para que puedas verificar en ella tu dispositivo. De esta forma podrás autorizar el pago desde la app de la forma más cómoda y segura.
Si ya tienes la app instalada: Entra en Banca móvil y en apartado Mis datos encontrarás la opción de verificar tu dispositivo habitual. Sigue las indicaciones y vincula la app a tu dispositivo móvil habitual. De esta forma podrás autorizar tus compras online de la forma más cómoda y segura.
Recuerda que si cambias de dispositivo tendrás que repetir el proceso para verificar el nuevo dispositivo en la app.
¿Y tengo que hacer algo más para que las nuevas medidas de seguridad funcionen? ×+
Es importante que tengamos tu número de móvil actualizado para poder mandarte por SMS los códigos de un solo uso que puedan ser necesarios.
Puedes actualizar tu número de teléfono en cualquier cajero o en tu oficina. Si no tienes nuestro servicio de Banca online, puedes darte de alta desde nuestra web o en tu oficina.
¿Pero es que los pagos que he hecho hasta ahora no eran seguros? ×+
Sí, eran seguros, pero debido a que cada vez son más los pagos que se hacen a través de nuevos dispositivos y a que han surgido nuevos tipos de servicios de pago, la Unión Europea ha visto necesario introducir nuevas medidas de seguridad en los pagos para reforzar la confianza de los consumidores un mercado que cada vez se apoya más en las nuevas tecnologías.
Estas nuevas medidas de seguridad se han introducido a través de la nueva Directiva de Servicios de Pago, también conocida como PSD2, una norma que tenemos que cumplir todos los proveedores de servicios de pago (como los bancos) que estemos dentro del Espacio Económico Europeo.
¿Cuándo empezaréis a pedirme SCA para pagos? ×+
Es probable que lo hayas empezado a notar ya en compras presenciales en las que te pedimos con más frecuencia el PIN, y también en ciertos accesos y consultas en la Banca online y móvil en las que podemos pedirte un código de un solo uso que ten enviamos en un SMS.
Para las compras online empezaremos a hacerlo en los próximos meses, de forma progresiva, hasta que se implemente definitivamente en enero de 2021.
¿Y me pediréis SCA siempre? ×+
No, habrá muchas operaciones en los que no te pediremos SCA.
Por un lado, hay varios tipos de pagos que, por su propia naturaleza, la PSD2 las excluye del requisito de solicitar autenticación reforzada. Se trata, por ejemplo, de las ventas por correo o por teléfono, o los pagos periódicos por determinadas suscripciones a productos o servicios (por ejemplo, plataformas de contenido multimedia).
Además, dependiendo de si la operación supone poco riesgo, la PSD2 nos permite eximir del requisito de autenticación reforzada a transacciones que, normalmente, sí estarían sujetas a SCA.
¿Y cuando compre en el extranjero? ×+
Tampoco se requiere autenticación reforzada en los pagos en comercios situados fuera del Espacio Económico Europeo, por lo que, es posible que, en un mismo comercio, la forma de pago sea distinta dependiendo de si estás visitando su página web en Europa o fuera de Europa.
¿Estoy menos protegido cuando no me solicitáis que introduzca el PIN o que facilite dos factores de autenticación en una compra por internet? ×+
No, cuando realices cualquier pago con tarjeta siempre estarás protegido, ya que si no te solicitamos el PIN en compras presenciales, o los 2 factores de autenticación, es porque hemos visto por otros medios, que no hace falta hacerlo.
¿Será igual con las tarjetas de otros bancos? ×+
Todos los bancos del Espacio Económico Europeo estamos sujetos a la PSD2 y por lo tanto todos tenemos que implementar estas medidas de seguridad, pero cada banco ha decidido los factores de autenticación que va a pedir a sus clientes, por lo tanto, es posible que tu experiencia de compra sea distinta dependiendo del banco que haya emitido la tarjeta que uses para pagar.
¿Mi información personal permanecerá segura? ×+
Todas estas medidas se introducen con el fin de ofrecerte una mayor protección como cliente. Tu información se transmite utilizando un alto nivel de cifrado y se almacena en un servidor seguro. Es un nivel adicional de protección que cambia la forma en la que pagas en Internet y en las tiendas.
¿Tengo que hacer algo? ×+
Como esta nueva medida de seguridad implica el envío de un código de acceso, es importante que tengamos un canal de comunicación contigo para poder pedirte y que nos puedas mandar los factores de autenticación de forma segura, por eso, es necesario que te asegures de que tenemos tus datos actualizados, en particular, tu número de móvil. Puedes hacerlo en cualquier cajero o en tu oficina Cajasur.
Preguntas frecuentes para comercios
¿Qué es la PSD2? ×+
La PSD2 o ‘Segunda Directiva de Servicios de Pago’ es una normativa europea que persigue mejorar la seguridad en los pagos online con el fin de beneficiar al consumidor, promoviendo la innovación y competencia entre países y proveedores, contribuyendo así al desarrollo de un mercado de pagos más integrado y eficiente en toda la Unión Europea.
¿Por qué se han introducido estas medidas? ×+
Para garantizar los siguientes objetivos fundamentales:
- Fomentar la innovación, reduciendo barreras de entrada y favoreciendo la competencia.
- Reforzar tu protección como consumidor: incrementando la transparencia con el cliente y limitando comisiones, recargos y responsabilidades.
- Mejorar la seguridad de los pagos mediante nuevos requerimientos de autenticación, condición necesaria para el avance de la economía digital.
- Fortalecer el espacio de pagos europeo, homogeneizando la regulación para conseguir una experiencia de usuario equivalente e independiente del país en el que se produzca la transacción.
¿Qué es exactamente la Autenticación Reforzada de Clientes (SCA)? ×+
La Autenticación Reforzada de Clientes, también conocida como “Strong Customer Authentication” o “SCA” por sus siglas en inglés, supone la aplicación de nuevas medidas de seguridad que harán que los pagos con tarjeta sean aún más seguros, ya que será la forma en la que los bancos emisores van a identificar a los titulares de las tarjetas cuando ordenen pagos en comercios presenciales o por internet.
Estas nuevas medidas de seguridad comenzaron a aplicarse en las compras presenciales a partir del 14 de septiembre de 2019. Para las compras online comenzará a aplicarse en los próximos meses, hasta su plena implementación en enero de 2021, y los factores de autenticación que pediremos a tus clientes no serán los mismos que para las compras presenciales.
¿Cómo afecta a los pagos que se realizan en mi comercio? ×+
Actualmente la autenticación de los clientes en los comercios seguros se hacía pidiéndole al cliente la introducción del número de la tarjeta, la fecha de caducidad, su CVV, y la clave OTP de 6 dígitos que le mandamos a su móvil por sms.
A partir del momento en que se solicite SCA, cuando un cliente compre en tu comercio virtual, le pedirás que introduzca el número de la tarjeta y la fecha de caducidad, pero, además, el banco emisor de la tarjeta que use para comprar le pedirá 2 de los siguientes 3 tipos de factores de autenticación:
- Conocimiento: algo que sabe, por ejemplo, su contraseña de acceso a la banca electrónica, o determinadas posiciones del Pin de tu tarjeta.
- Posesión: algo que posee, por ejemplo, la App del banco vinculada a su Smartphone, o el móvil en el que recibe las contraseñas de un solo uso que le enviamos por SMS.
- Inherencia: algo que "es", por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.
¿Qué factores de autenticación se van a pedir exactamente? ×+
Como banco emisor, a los clientes titulares de nuestras tarjetas vamos a pedirles los factores de autenticación que les resulten más cómodos y fáciles de usar ajustándonos a sus preferencias en cuanto al uso de la tecnología y a la forma en la que se relacionan con nosotros.
No obstante, no siempre vamos a pedir los mismos factores de autenticación, dependerá del dispositivo que use el cliente para hacer la compra online.
Además, hay que tener en cuenta que todos los bancos del Espacio Económico Europeo estamos sujetos a la PSD2 y por lo tanto todos tenemos que implementar estas medidas de seguridad, pero cada banco ha decidido los factores de autenticación que va a pedir a sus clientes, por lo tanto, es posible que la experiencia de compra de un mismo cliente en tu comercio sea distinta dependiendo del banco que haya emitido la tarjeta que use para pagar.
¿Y eso no hará que aumente el abandono de las compras? ×+
No, todos los bancos estamos trabajando para que el proceso sea lo más amigable posible y además estamos haciendo campañas informativas a los titulares de tarjetas para que conozcan los factores de autenticación que les vamos a pedir antes de que se empiece a solicitar SCA. Además estamos promoviendo entre los clientes que hagan determinadas acciones, como por ejemplo descargarse nuestra App o darse de alta en nuestra banca electrónica, que harán su experiencia de compra más cómoda y ágil.
Por otro lado, hay que tener en cuenta que existen una serie de exenciones y excepciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.
Así, hay varios tipos de pagos que, por su propia naturaleza, la PSD2 los exceptúa del requisito de solicitar autenticación reforzada:
- Pagos con tarjetas prepago anónimas, ya que al ser anónimas no es posible verificar la identidad del titular.
- Las llamadas transacciones MIT (Merchant Initiated Transactions): La normativa exige aplicación de SCA a los pagos electrónicos iniciados por el ordenante. Las operaciones MIT son pagos de productos o servicios sobre los que existe un acuerdo previo entre el comercio y el titular de la tarjeta que permite al comercio realizar los cargos sin que el titular tenga que realizar una acción anterior que los desencadene, y requieren SCA en la primera compra pero no en las siguientes (por ejemplo, pago de suscripciones, de suministros, o cargos extras en el alquiler de un coche o de una reserva hotelera). Son como operaciones de adeudo contra tarjetas.
- Operaciones MO/TO (Mail Order/Telephone Order), es decir, ordenadas por teléfono o por correo.
- Pagos realizados en redes limitadas.
- Operaciones en las que el banco emisor o el adquirente está fuera del Espacio Económico Europeo.
Además, legalmente se prevén una serie de exenciones en las cuales se permite que los bancos emisores de tarjetas no apliquen SCA por considerarse operaciones de menor riesgo. Estas exenciones son:
- Pagos por un importe inferior a 30€, hasta un máximo de 5 operaciones o un importe acumulado de 100€.
- Pagos recurrentes, por la misma cuantía y al mismo comercio, se requiere autenticación en la primera transacción. Las suscripciones iniciadas con anterioridad al 14 de septiembre de 2019 no tendrán que ser autenticadas salvo si existe una modificación de la misma.
- Pagos a los comercios de confianza del titular indicados como tal al banco emisor, también conocida como “listas blancas”.
- Algunos pagos corporativos.
- Pagos con bajo riesgo de fraude.
Con carácter general, antes de solicitar SCA al cliente, los bancos emisores intentaremos aplicar una exención o una excepción de las descritas anteriormente, por lo que la experiencia de compra en muchos casos será idéntica a la actual.
¿Y cómo van a saber los bancos en qué casos hay que solicitar SCA, o bien aplicar una exención o una excepción? Como comercio, ¿tengo que hacer algo? ×+
La información se intercambia entre los comercios y los emisores gracias al protocolo 3D Secure.
Desde 2001 la versión de este protocolo que se viene utilizando tanto para informar como para autenticar las operaciones es la 1.0, pero actualmente existe una nueva versión de ese protocolo que mejora la información, con un mayor número de datos, que permite tanto la solicitud de los dos factores de SCA como la aplicación de excepciones de SCA en el proceso de compra.
El TPV virtual Cajasur que utiliza tu comercio es seguro, es decir, es 3D Secure.
Si tu comercio tiene uno o varios TPV Virtuales con Cajasur y tienes delegada la gestión de los datos, no debes preocuparte por la migración al nuevo protocolo, ya que nosotros nos estamos encargando de actualizar la versión del mismo y de hacer esa migración.
Si tu comercio no responde a la tipología arriba mencionada, seguro que ya hemos contactado contigo y estamos ayudándote a hacer las implementaciones técnicas necesarias, pero por si acaso tienes dudas puedes escribirnos a soportevirtual@redsys.es o llamar al 902 106 223, donde te informaremos con mayor detalle.
¿Se podría no aplicar SCA bien por decidir asumir el riesgo o bien por convenirlo así con el cliente? ×+
No, el Banco de España ha confirmado que habrá que aplicar SCA siempre, salvo que la operación esté exenta (por ejemplo en caso de operaciones transfronterizas de fuera de la UE) o se pueda aplicar alguna de las exenciones previstas legalmente.
¿Hay que aplicar SCA en devoluciones o reembolsos? ×+
No, ya que no se consideran operaciones de pago.
Las operaciones a través de Apps de pago de los comercios que se categorizan como operaciones de comercio electrónico ¿lo son realmente si el comprador está presente? ×+
Sí, ya que son operaciones iniciadas a través de internet o de un dispositivo que puede utilizarse para la comunicación a distancia. Esto incluiría las operaciones realizadas por Internet y las operaciones realizadas a través de móvil (en compra por internet, no compra “contactless”).
Las operaciones que se ordenan por correo electrónico o por aplicaciones de mensajería tipo WhatsApp ¿se consideran operación MO/TO? ×+
Las órdenes por enviadas por correo electrónico o aplicaciones de mensajería pueden considerarse operaciones MO/TO, pero las órdenes introducidas en una web a la que se accede a través de un enlace recibido en un mensaje se consideran de comercio electrónico y requieren SCA.
Las operaciones que se ordenan por una solución automatizada con la que previamente ha interactuado el comprador, tipo Alexa, Siri, o Google Assistant ¿se consideran operación MO/TO? ×+
No, esas operaciones en las que quien inicia el pago es la solución automatizada con la que se ha interactuado se consideran de comercio electrónico y requieren SCA. Sin embargo, las transacciones de pago iniciadas por el comprador a través de una orden telefónica con el uso de una solución automatizada por parte del comercio, como por ejemplo una respuesta de voz interactiva, se considera un pedido telefónico regular.
¿Las operaciones Card-On-File (COF) con tarjeta tokenizada están exentas de SCA una vez que se registran en el comercio? ×+
No, las COF se consideran operaciones de comercio electrónico y requerirían SCA salvo en los casos en los que se les pueda aplicar una excepción.
Entonces, ¿las operaciones COF no son operaciones MIT? ×+
No, en las operaciones COF el titular de la tarjeta realiza una acción que desencadena la orden de compra, por ejemplo, haciendo click en pagar, o comprar. Sin embargo, para que una operación se considere MIT es necesario que no haya una acción del cliente que desencadene el pago, el cliente tiene que estar ausente en el momento en que se ordena el pago. Las MIT son similares a los adeudos pero contra tarjetas.
En compras en comercio electrónico, cuando en el momento de la compra no se conoce el importe exacto, ¿es válido el SCA realizado en el momento de la compra respecto del importe final? ×+
La Autoridad Bancaria Europea ha aclarado que tanto en los casos en los que el ordenante ha preautorizado el bloqueo de una cantidad máxima como en aquéllos en que esta preautorización no se ha dado, si la cantidad final es igual o inferior a la cantidad acordada, se puede ejecutar la operación sin necesidad de volver a solicitar SCA, pero si la cantidad es mayor, el emisor tendrá que o bien requerir SCA o bien rechazar la operación.
¿Cómo puede mi comercio estar en una lista blanca? ×+
La lista blanca se mantiene por banco emisor pero la crea el cliente y solo él puede modificarla. Es por este motivo que el que la Autoridad Bancaria Europea ha establecido que los bancos emisores no podemos hacer sugerencias de nuevas entradas o modificaciones de comercios a los clientes. Nada impide, sin embargo, que el comercio informe de esta posibilidad a su cliente e incluso que se la sugiera. No obstante, la inclusión en lista blanca se tiene que hacer en el entorno emisor y requiere SCA.
¿Cómo puedo saber si mi comercio está incluido en una lista blanca? ×+
Los bancos emisores no están obligados legalmente a informar al banco adquirente ni al comercio de si un comercio está incluido en lista blanca. Compartir esa información sin el consentimiento expreso del titular de la tarjeta podría vulnerar el derecho de protección de datos. Sin embargo, nada impide que el comercio consiga esa información de su propio cliente.
Por otro lado, la decisión última de solicitar SCA a una operación es del banco emisor, por lo que, siguiendo criterios de riesgo, podría decidir aplicar SCA a una transacción aunque el comercio estuviera incluido en su lista blanca.
