AD+
E-COMMERCE Y LA OBLIGACIÓN DEL “SCA” EN SERVICIOS DE PAGOS DIGITALES – PSD2
El constante avance de los procesos de digitalización y la aparición de nuevos players en la economía europea, han dejado obsoletas ciertas normativas que han tenido que ser revisadas y adaptadas a los nuevos modelos de negocio.
Es así como en el año 2015, se aprueba la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, (en adelante, “PSD2”) siendo transpuesta al ordenamiento jurídico español, por medio del Real Decreto – Ley 19/2018 publicado el 24 de noviembre de 2018 (en adelante, “RD 19/2018”), con el objetivo de reforzar las seguridad en los servicios de pago digitales, prevención del fraude, aumento de la protección de los consumidores, fomento de la innovación y la competencia (Open Banking). Dicha normativa sería de obligado cumplimiento el 14 de septiembre de 2019.
Tras una moratoria concedida hasta el 31 de diciembre de 2020, desde el 1 de enero de 2021 es de obligado cumplimiento la autenticación reforzada del cliente en los pagos online, el llamado “Strong Customer Authentication” (en adelante, “SCA”)
Por tanto, ¿cómo afecta la PSD2 a las empresas?
La PSD2 afecta a toda empresa que realice operaciones remotas de pago electrónico (online – dispositivos sin contacto). El Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017 por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (en adelante, “RD 2018/389”), estable en su primer considerando que:
“Los servicios de pago ofrecidos electrónicamente deben prestarse con la adecuada protección, gracias a la adopción de tecnología que permitan garantizar una autenticación segura del usuario y minimizar el riesgo del fraude” …
Esto supone, un aumento en la seguridad de los pagos digitales mediante la adopción de SCA ya que las operaciones remotas llevan consigo mayor riesgo en cuanto a seguridad y fraude que se pueda cometer. Es así como el tercer considerando recoge:
“Las operaciones remotas de pago electrónico están sujetas a un mayor riesgo de fraude, lo que hace necesario introducir requisitos adicionales para la autenticación reforzada de clientes en tales operaciones, que garanticen que los elementos vinculen dinámicamente la operación a un importe y un beneficiario especificados por el ordenante al iniciar la operación.”
¿En qué consiste el SCA?
El Art. 3.4 del RD 19/2018 lo define como:
“Procedimiento que permita al proveedor de servicios de pago comprobar la identidad de usuario de un servicio de pago o la validez de la utilización de determinado instrumento de pago, incluida la utilización de credenciales de seguridad personalizadas del usuario”.
El SCA consiste en utilizar dos de los tres factores de seguridad señalados por la PSD2:
- Posesión: solo el comprador posee (móvil, tarjeta de crédito)
- Conocimiento: solo el comprador conoce (pin, password)
- Inherencia: algo que el cliente es (reconocimiento de voz, huella dactilar)
Asimismo, hay que garantizar que estos elementos sean independientes y que la vulneración de uno de ellos no comprometa la seguridad de los demás.
Las transacciones afectadas son aquellas que cumplen la condición de que el emisor de la tarjeta sea europeo y el adquiriente, o la institución financiera que procesa la transacción en nombre del E-COMMERCE, sea también europeo.
El séptimo considerando del RD 2018/389 añade, en cuanto a los requisitos de autenticación lo siguiente:
“Los requisitos de autenticación reforzada de clientes se aplican a los pagos iniciados por el ordenante de si es una persona física o jurídica”.
No obstante, en la normativa de aplicación se han contemplado exenciones al requerimiento del SCA basadas en el nivel de riesgo, importe de la operación, frecuencia y canal de pago utilizado para la operación, por ejemplo:
- Pagos sin contacto en los puntos de venta que no exceda de 50 € o que el importe acumulado de las operaciones desde la fecha de la última autenticación reforzada no exceda de 150 €.
- En terminales no atendidos de transporte y aparcamientos.
- Beneficiario en lista de confianza.
- Operaciones frecuentes siempre y cuando se cumplan con los requisitos de autenticación general para la iniciación de todas las operaciones.
- Pagos electrónicos de escasa cuantía, hasta 5 operaciones consecutivas que sumen menos de 100 € e individualmente 30 €.
- En función del análisis de riesgo de la operación.
Un nuevo marco normativo que deberán de adaptarse las plataformas de venta online para cumplir con los requerimientos del SCA, así como también, en cuanto a la seguridad en el almacenamiento de tarjetas deberán de cumplir con los estándares de seguridad estipulados (PCI-DSS o Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago). Una pasarela de pago segura adaptada a la PSD2 mediante tokenización de tarjetas podría ser la opción.
Las empresas con tienda online deberán de verificar y asesorase acerca del cumplimiento de los nuevos requerimientos y la problemática que pueda suscitar su falta de aplicación ya que los pagos sin autenticación pueden ser rechazados por el emisor lo que significa pérdidas para la empresa.
Toda empresa propietaria de una tienda online, además de la PSD2, debe tener en cuenta el resto de las normativas de obligado cumplimiento que regulan el comercio electrónico, la seguridad en las transacciones online, la protección de los datos personales, alojamiento “hosting”, propiedad intelectual, condiciones generales de contratación – consumidores y usuarios (entre otras, LSSICE, PI, LOPDGDD, CGC, Ley General para la Defensa de Consumidores y Usuarios).
Daiana Lamela Scafarelli
3 de febrero de 2021
Daiana Lamela Scafarelli
Abogada en Tecnologías de la Información, Protección de Datos y Privacidad
Correo electrónico: dlamela@ecija.com
