PSD2 y autenticación reforzada (SCA)
Entiende los requisitos regulatorios, las exenciones aplicables y cómo minimizar el impacto en la conversión
La Directiva Europea de Servicios de Pago 2 (PSD2) transformó el panorama de los pagos digitales en Europa al introducir la obligación de autenticación reforzada de clientes (SCA, Strong Customer Authentication). Su objetivo es reducir el fraude en pagos electrónicos exigiendo verificación adicional en las transacciones.
Para los comercios online, PSD2/SCA supone un equilibrio delicado entre seguridad y conversión. Aplicar autenticación en cada transacción reduce el fraude, pero también incrementa la fricción y puede aumentar el abandono. Esta guía explica cómo navegar esa tensión.
¿Qué es PSD2 y qué exige?
PSD2 es la directiva europea que regula los servicios de pago electrónicos en el Espacio Económico Europeo (EEE). Entró en vigor en 2018 y su requisito más impactante, SCA, se aplicó de forma gradual hasta septiembre de 2021 en la mayoría de países.
La directiva busca tres objetivos: aumentar la seguridad de los pagos electrónicos, fomentar la innovación abriendo el acceso a cuentas bancarias (Open Banking) y proteger los derechos de los consumidores. Para los ecommerce, el impacto práctico se concentra en SCA.
- Aplica a transacciones iniciadas por el comprador dentro del EEE
- Afecta a pagos con tarjeta, transferencias bancarias y pagos de cuenta a cuenta
- Requiere autenticación con al menos dos de tres factores: conocimiento, posesión e inherencia
- Las pasarelas de pago gestionan la mayor parte del cumplimiento técnico
Los tres factores de autenticación
SCA exige que el pagador se autentique con al menos dos factores independientes de tres categorías diferentes. Esto garantiza que aunque un factor se comprometa, la transacción sigue protegida.
- Conocimiento (algo que sabes): PIN, contraseña, respuesta a pregunta de seguridad
- Posesión (algo que tienes): teléfono móvil, tarjeta física, token hardware, app bancaria
- Inherencia (algo que eres): huella dactilar, reconocimiento facial, reconocimiento de voz
Exenciones de SCA
No todas las transacciones requieren SCA. La directiva define exenciones que, bien aplicadas, permiten reducir la fricción sin comprometer la seguridad. Las exenciones son solicitadas por el comercio o la pasarela, pero el emisor de la tarjeta tiene la última palabra sobre si las acepta.
- Transacciones de bajo valor: pagos inferiores a 30 € (con límite acumulado de 100 € o 5 transacciones consecutivas)
- Transacciones de bajo riesgo (TRA): basadas en el análisis de riesgo del adquirente. Disponible si la tasa de fraude del PSP está por debajo de umbrales definidos
- Pagos recurrentes de importe fijo: la primera transacción requiere SCA, las siguientes quedan exentas si el importe no cambia
- Beneficiarios de confianza: el titular puede marcar un comercio como de confianza en su banco, eximiendo futuras transacciones
- Transacciones MOTO: pagos por teléfono o correo están fuera del alcance de SCA
- Transacciones corporativas: pagos B2B con tarjetas corporativas bajo ciertas condiciones
Implementación técnica con 3DS2
3D Secure 2 es el protocolo que implementa SCA en la práctica para pagos con tarjeta. A diferencia de su predecesor, 3DS2 envía datos contextuales del dispositivo y la transacción al emisor, permitiendo una evaluación de riesgo más sofisticada que habilita el flujo frictionless.
Las pasarelas como Stripe, Adyen y Checkout.com gestionan 3DS2 de forma transparente. El comercio envía la transacción, la pasarela solicita la exención apropiada y, si el emisor la acepta, el pago se completa sin intervención del usuario. Si el emisor rechaza la exención, se activa el challenge flow.
- Envía la mayor cantidad de datos posible en cada transacción para maximizar las aprobaciones frictionless
- Configura las exenciones correctas según tu perfil de riesgo y volumen
- Implementa flujos de fallback para cuando el emisor rechace la exención
- Monitoriza la tasa de aprobación por emisor para identificar patrones
Impacto en la conversión y cómo mitigarlo
La implementación de SCA ha tenido un impacto medible en la conversión. Según datos del sector, las transacciones que pasan por 3DS challenge tienen una tasa de abandono entre un 10% y un 25% superior a las que no requieren autenticación adicional.
La clave para minimizar este impacto es maximizar las exenciones y el flujo frictionless. Los comercios con tasas de fraude bajas y buena calidad de datos transaccionales consiguen que hasta el 85-90% de sus transacciones se procesen sin challenge. Esto requiere enviar datos completos del dispositivo, el historial del cliente y la información de la transacción en cada solicitud.
Mejores prácticas para comercios
La gestión óptima de SCA combina estrategia de exenciones, calidad de datos y monitorización continua. No se trata solo de cumplir la normativa, sino de hacerlo de forma que la conversión sufra lo menos posible.
- Usa una pasarela que optimice automáticamente las solicitudes de exención (Stripe, Adyen)
- Envía datos del dispositivo (browser fingerprint, IP, user agent) en cada transacción
- Implementa el beneficiario de confianza para clientes recurrentes
- Monitoriza la tasa de challenge vs frictionless por emisor y mercado
- Ofrece métodos de pago alternativos que no requieran SCA (wallets, transferencia)
- Comunica al usuario por qué puede necesitar verificación adicional para reducir la ansiedad
Puntos clave
- PSD2/SCA exige autenticación con dos factores para pagos electrónicos en el EEE
- Las exenciones (bajo valor, bajo riesgo, recurrentes) permiten reducir la fricción sin comprometer la seguridad
- 3DS2 es el protocolo que implementa SCA con flujos frictionless y challenge
- Maximizar los datos transaccionales enviados al emisor es clave para obtener más aprobaciones frictionless
- Una gestión óptima de SCA puede mantener la conversión sin sacrificar seguridad
¿Necesitas optimizar tu implementación de SCA?
Te ayudamos a configurar las exenciones correctas, maximizar el flujo frictionless y minimizar el impacto en la conversión de tus pagos.