Nueva ley europea para transacciones online: SCA o Autenticación Reforzada de Clientes

Si vendes online, ya sea una tienda, una membresía, infoproductos… en septiembre llega la SCA y es importante que tengas esto en mente.

Ayer se cumplía un año de la famosa RGPD, que al final no rompió internet, pero ríete tú de lo que pensábamos entonces, porque esto sí que puede afectar directamente a tus ventas en tu negocio. Como no poder procesar ni un pago, por ejemplo.

Como decía, se cumplió un año de la RGPD y en Facebook compartí un recuerdo sobre el tema, una publicación poniendo que no fue nada comparado con este septiembre y la SCA (¿¿todo tiene que ser con siglas??), y me sorprendió algún comentario y algún privado diciéndome que de qué diablos hablaba y que qué pasa en septiembre.

¿Cómo podemos vivir en la era de la información y a la vez estar más desinformados que nunca?

Qué es la SCA o la Autenticación Forzada de Clientes

La SCA es una de las regulaciones para transacciones online que se forma parte de la directiva europea en vigor el 14 de septiembre, la «PSD2» (Segunda Directiva de Servicios de Pago).

Es decir, que no es que el 14 de septiembre tengamos que ponernos alerta, sino que para esa fecha todo debería ya cumplir la ley.

Lo voy a resumir en este post explicado para personas normales (porque el 80% de los posts me ha costado lo suyo entenderlos con tanto tecnicismo legal) pero os animo a hacer vuestra propia investigación sobre el temita, es importante.

La SCA son las siglas de Strong Customer Authentication, que en español se está denominando Autenticación Forzada de Clientes (o algo así, cada página lo llama como quiere).

Entender a lo que se refiere es más fácil de lo que parece:

¿Alguna vez has comprado online y has tenido que meter un código que te llega a tu móvil, desde tu banco?

Pues esto es la SCA. Hacer que el comprador tenga que confirmar que es él y no es un desconocido que te ha robado o hackeado la tarjeta. Para entendernos.

Esta autenticación puede hacerse, según esta normativa, de tres formas:

  • Con algo que solo el comprador sepa. Como una contraseña, un pin…
  • Con algo que solo el comprador tenga. Como su móvil (enviandole un código, por ejemplo)
  • Con algo que solo el comprador «sea«. Algo único, como huella dactilar, reconocimiento facial…

Y aquí llega el problema:

Todas las pasarelas de pago van a tener que adaptarse a esto. Y tú también. Tendrás que actualizar, que comprobar que cumples la ley, etc, etc.

No pasa nada si no lo hago a tiempo, nadie me va a denunciar y ya lo haré tranquilamente

Bueno, pues como dirían mis primas, tú mismo con tu mecanismo, pero ten en cuenta una cosa: los bancos no se van a arriesgar a incumplir la ley y poder tener casos de fraude. Es decir, si la pasarela de pago no cumple la ley, puede que el banco rechace el pago de la tarjeta.

Y tú, con tu pequeño negocio online, pequeño emprendedor, te quedes sin la venta.

También es posible que la pasarela actualice para cumplir la ley, porque tampoco una gran compañía que vive de esto va a hacer peligrar su empresa, y si tú no lo haces deje de funcionar.

¿Otras cosas que pueden pasar?

Puede pasar que uses una pasarela de pago americana. ¿Thrivecart? ¿Hotmart? ¿Plug and pay? ¿Paypal? Claro que tendrán que tener esto en cuenta y tendrán que actualizarse también y si tienen clientes europeos, y los tienen.

Pero no es su responsabilidad hacer que tú cumplas la ley, es tuya, así que ponte manos a la obra para comprobar qué está haciendo tu plataforma de pago al respecto, y qué acciones tendrás que hacer tú para actualizarte, cumplir la ley, y salvarte no solo de una gran y enorme multa, sino de perder todas las ventas a partir del 14 de septiembre.

Y no solo perderlas, sino hacer que el proceso sea suficientemente sencillo como para que los usuarios no se pierdan en el proceso de pago y dimitan de comprarte.

Parece ser que hay también algunas excepciones a la norma, que tienen bastante sentido:

  • Los TPV sin contacto hasta 5 operaciones seguidas, siempre que no superes los 150€ en conjunto o los 50€ individualmente. (Es decir, que sin superar estos límites, seguirás pudiendo pasar tu tarjeta sin contacto por el super sin que te pidan el pin).
  • En Terminales Automáticos de Parkings (para pagar el aparcamiento).
  • Si el beneficiario (vendedor) está incluido en una lista de confianza y cumpla los requisitos generales (listas blancas del banco).
  • Cuando el mismo usuario haga la misma compra frecuentemente, mismo importe, mismo beneficiario (ventas recurrentes, membresías). En este caso la autenticación será necesaria en el alta o primer pago.
  • Transferencias entre dos cuentas con el mismo titular (faltaría más).

Dicho esto, te dejo con algunos documentos para que te diviertas un rato. Según lo poco que yo he podido leer e investigar, la plataforma Stripe es la que más confianza e información aporta, así que esa será mi apuesta. Centralizarlo todo con esta plataforma.

Recibe gratis los 10 mandamientos
de la nube y la  automatización que te harán ganar tiempo inmediatamente.

Un email semanal con herramientas gratuitas y consejos que podrás aplicar ya mismo.

  • 10 claves para tener un negocio en la nube y automatizado.
  • Más de 20 herramientas gratuitas que a mí me ahorran 1700 euros cada año.
  • Cómo tener tu negocio atendido las 24 horas sin que tengas que aumentar tu jornada.

Protección de datos: La responsable de estos datos es Esther Morote. Finalidad: gestionar y enviar información de boletines y promociones a través de correo electrónico. Legitimación: consentimiento del nteresado. Destinatarios: No se cederán a terceros salvo obligación legal. Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: contacto@esthermorote.com. Info adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí

Descarga gratis los 10 mandamientos de la automatización que te harán ganar tiempo inmediatamente

Protección de datos: La responsable de estos datos es Esther Morote. Finalidad: gestionar y enviar información de boletines y promociones a través de correo electrónico. Legitimación: consentimiento del nteresado. Destinatarios: No se cederán a terceros salvo obligación legal. Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: esther@esthermorote.com.

Info adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.