Si vendes online, ya sea una tienda, una membresía, infoproductos… en septiembre llega la SCA y es importante que tengas esto en mente.
Ayer se cumplía un año de la famosa RGPD, que al final no rompió internet, pero ríete tú de lo que pensábamos entonces, porque esto sí que puede afectar directamente a tus ventas en tu negocio. Como no poder procesar ni un pago, por ejemplo.
Como decía, se cumplió un año de la RGPD y en Facebook compartí un recuerdo sobre el tema, una publicación poniendo que no fue nada comparado con este septiembre y la SCA (¿¿todo tiene que ser con siglas??), y me sorprendió algún comentario y algún privado diciéndome que de qué diablos hablaba y que qué pasa en septiembre.
¿Cómo podemos vivir en la era de la información y a la vez estar más desinformados que nunca?
Qué es la SCA o la Autenticación Forzada de Clientes
La SCA es una de las regulaciones para transacciones online que se forma parte de la directiva europea en vigor el 14 de septiembre, la “PSD2” (Segunda Directiva de Servicios de Pago).
Es decir, que no es que el 14 de septiembre tengamos que ponernos alerta, sino que para esa fecha todo debería ya cumplir la ley.
Lo voy a resumir en este post explicado para personas normales (porque el 80% de los posts me ha costado lo suyo entenderlos con tanto tecnicismo legal) pero os animo a hacer vuestra propia investigación sobre el temita, es importante.
La SCA son las siglas de Strong Customer Authentication, que en español se está denominando Autenticación Forzada de Clientes (o algo así, cada página lo llama como quiere).
Entender a lo que se refiere es más fácil de lo que parece:
¿Alguna vez has comprado online y has tenido que meter un código que te llega a tu móvil, desde tu banco?
Pues esto es la SCA. Hacer que el comprador tenga que confirmar que es él y no es un desconocido que te ha robado o hackeado la tarjeta. Para entendernos.
Esta autenticación puede hacerse, según esta normativa, de tres formas:
- Con algo que solo el comprador sepa. Como una contraseña, un pin…
- Con algo que solo el comprador tenga. Como su móvil (enviandole un código, por ejemplo)
- Con algo que solo el comprador “sea“. Algo único, como huella dactilar, reconocimiento facial…
Y aquí llega el problema:
Todas las pasarelas de pago van a tener que adaptarse a esto. Y tú también. Tendrás que actualizar, que comprobar que cumples la ley, etc, etc.
No pasa nada si no lo hago a tiempo, nadie me va a denunciar y ya lo haré tranquilamente
Bueno, pues como dirían mis primas, tú mismo con tu mecanismo, pero ten en cuenta una cosa: los bancos no se van a arriesgar a incumplir la ley y poder tener casos de fraude. Es decir, si la pasarela de pago no cumple la ley, puede que el banco rechace el pago de la tarjeta.
Y tú, con tu pequeño negocio online, pequeño emprendedor, te quedes sin la venta.
También es posible que la pasarela actualice para cumplir la ley, porque tampoco una gran compañía que vive de esto va a hacer peligrar su empresa, y si tú no lo haces deje de funcionar.
¿Otras cosas que pueden pasar?
Puede pasar que uses una pasarela de pago americana. ¿Thrivecart? ¿Hotmart? ¿Plug and pay? ¿Paypal? Claro que tendrán que tener esto en cuenta y tendrán que actualizarse también y si tienen clientes europeos, y los tienen.
Pero no es su responsabilidad hacer que tú cumplas la ley, es tuya, así que ponte manos a la obra para comprobar qué está haciendo tu plataforma de pago al respecto, y qué acciones tendrás que hacer tú para actualizarte, cumplir la ley, y salvarte no solo de una gran y enorme multa, sino de perder todas las ventas a partir del 14 de septiembre.
Y no solo perderlas, sino hacer que el proceso sea suficientemente sencillo como para que los usuarios no se pierdan en el proceso de pago y dimitan de comprarte.
Parece ser que hay también algunas excepciones a la norma, que tienen bastante sentido:
- Los TPV sin contacto hasta 5 operaciones seguidas, siempre que no superes los 150€ en conjunto o los 50€ individualmente. (Es decir, que sin superar estos límites, seguirás pudiendo pasar tu tarjeta sin contacto por el super sin que te pidan el pin).
- En Terminales Automáticos de Parkings (para pagar el aparcamiento).
- Si el beneficiario (vendedor) está incluido en una lista de confianza y cumpla los requisitos generales (listas blancas del banco).
- Cuando el mismo usuario haga la misma compra frecuentemente, mismo importe, mismo beneficiario (ventas recurrentes, membresías). En este caso la autenticación será necesaria en el alta o primer pago.
- Transferencias entre dos cuentas con el mismo titular (faltaría más).
Dicho esto, te dejo con algunos documentos para que te diviertas un rato. Según lo poco que yo he podido leer e investigar, la plataforma Stripe es la que más confianza e información aporta, así que esa será mi apuesta. Centralizarlo todo con esta plataforma.
