El 14 de septiembre entran en vigor las especificaciones técnicas de la normativa sobre proveedores de servicios de pago. Para entonces todos los comercios deben aplicarlos de forma efectiva, lo que supone otorgar mayor seguridad a las operaciones de pago electrónico. Evitar compartir datos de forma inadecuado, una suplantación ilegítima y que comercio y cliente puedan conectar directamente a través de una entidad bancaria sin intervención de un proveedor de medios de pago son los objetivos de la autorización reforzada del cliente o ARC, también conocida por sus siglas en inglés, SCA.
La ARC impone que, a la hora de abonar digitalmente una compra por importe superior a 30 euros, el pagador habrá de identificarse a través de dos elementos que lo identifiquen de forma independiente, lo que supone que si uno es conocido de forma ilegítima, no se tenga acceso a un segundo otro elemento, que permanezca seguro.
Los compradores podrán identificarse con dos elementos de un grupo posible de tres:
- algo que posea el usuario, como el DNI, el pasaporte, la tarjeta bancaria, el teléfono móvil o un token
- algo que solo posea el usuario, como el pin o una contraseña
- un elemento inherente al usuario como la huella digital o un rasgo biométrico
Aunque bien es cierto que las tiendas físicas vienen normalmente cumpliendo con dicha normativa (se solicita la tarjeta y el pin o el teléfono y la huella dactilar, por ejemplo), son las tiendas online las que habrán de adaptar sus procedimientos de pago realizando el máximo esfuerzo para no ralentizar o complicarlo. En ese caso, se dañaría la experiencia de compra, tan relevante para no abandonar el proceso y aumentar la fidelidad del cliente.
Exenciones
Sin embargo, existen ciertos tipos de pagos que están exentos de seguir este protocolo. Son los realizados con tarjetas corporativas, las de bajo riesgo o importe inferior a 30 euros, las realizadas en terminales de pago no atendidos en transportes y aparcamientos, las transferencias entre dos cuentas de la misma persona, las recurrentes y las realizadas en comercios previamente autorizados por el cliente, además de las que superen el TRA (Transaction Risk Analysis), que evalúa los riesgos y solicita más o menos elementos en función de la susceptibilidad de fraude.
En el caso de los pagos realizados con tarjetas contactless, la autorización reforzada se exigirá tan solo en uno de cada cinco pagos siempre que el importe total no supere los 150 euros y ninguno de ellos supere los 50.
Comercio de proximidad ¡preparado!
Métodos de pago como Google Pay, Apple Pay o Paypal, que ya incluyen una doble autentificación, son cada vez más familiares para los clientes, por lo que no resultan una mala opción para adaptar los sistemas de pago. ¿Y para los clientes que no usan smartphone? Aunque cada vez son menos, hay quien se resiste a usarlo. La solución está en solicitar una contraseña, además de un código que puedes enviar por SMS.
Los comercios también habrán de revisar y poner al día la política de privacidad y las condiciones de compra.