A partir del próximo 14 de septiembre regirá en España la norma que, en noviembre de 2018, traspuso la directiva de la Unión Europea contra el fraude y el uso de información sensible en los pagos digitales. A dos meses de su entrada en vigor, la ley aún es poco conocida entre uno de sus actores principales: el comercio.
Básicamente, el texto obliga a las entidades bancarias a realizar el llamado open banking, es decir, a ofrecer medios técnicos (software) a terceros para que puedan acceder a los datos de pago de sus clientes. Para ello, establece un sistema de seguridad con el fin de controlar quién y cuándo accede a dicha información llamado Autentificación Reforzada de Cliente (ARC) o SCA, por sus siglas en inglés.
De cara a los comercios, la realidad de este sistema de autentificación es la siguiente: a la hora de abonar una compra superior a un importe de 30 euros habrá que pedir al cliente dos elementos que lo identifiquen de entre tres posibles: algo que posee físicamente, como el documento nacional de identidad (DNI), pasaporte o la tarjeta bancaria; algo que solo sabe el comprador, como el pin o una contraseña; o algo que existe para identificarle, como la huella digital o un rasgo biométrico, por ejemplo, los rasgos faciales.
Los bancos deben disponer de las llamadas API (protocolo informático o especificación formal sobre cómo el módulo de un software se comunica con otro) que servirán de enlace entre el cliente y el comercio sin necesidad de utilizar objetos físicos, como las tarjetas.
En realidad, esta doble autentificación ya se utiliza en las compras sin efectivo en los comercios físicos. Pedro Campo, presidente de la Confederación Española de Comercio (CEC) y vicepresidente de Cepyme, lo explica así: “En el terreno físico, la entrada en vigor de la ARC apenas va a tener incidencia, pues habitualmente ya se piden dos medidas de identificación al consumidor (la tarjeta de crédito y el pin); en el caso de las tarjetas contactless, para ganar agilidad en los pagos, se pedirá esta doble autentificación tan solo cada cinco pagos y, por tanto, creemos que la ralentización de las operaciones y la incidencia en el comercio físico va a ser mínima”.
Las tiendas físicas ya piden al cliente la tarjeta de débito o crédito y un pin para los pagos sin efectivo, por lo que no se verá tan afectado
Y más vale que así sea, porque a dos meses escasos de la entrada en vigor de la norma de doble autentificación, varios propietarios de comercios a pie de calle consultados se han encogido de hombros ante la pregunta de si conocen la nueva normativa que llegará en septiembre.
El presidente de la CEC lo corrobora con datos y afirma que no es un problema que afecte solo a nuestro país: “Según un reciente estudio de Mastercard, solo el 14% de las compañías de comercio minorista en Europa ha implantado ya la autentificación de cliente reforzada y este porcentaje creemos que podría trasladarse también a España”.
A quien afectará realmente la legislación será a “las pymes de comercio que cuenten también con tiendas de venta online. Estas sí tendrán que adaptarse, ya que deberán recoger de los consumidores más datos de calidad para compartir con los bancos emisores y con el reto de no dañar por el camino la experiencia de compra de sus clientes”, señala Pedro Campo. “En este sentido, el principal consejo es que no dejen para última hora la adaptación de sus métodos de pago y que se asesoren en la medida de lo posible a través de un partner tecnológico”, añade.
El impacto en los negocios online puede ser enorme. La primera consecuencia será que, desde el mismo 15 de septiembre, podrán empezar a darse transacciones comerciales fallidas. Hay que recordar que los clientes del comercio electrónico no dudan en cambiar de página y pueden abandonar la que están viendo, abortando posibles adquisiciones si se presentan dificultades a la hora de pagar, e irse a otra de la competencia.
El consejo del presidente de la CEC de contar con la ayuda de un experto es la clave, puesto que el negocio que vaya por su cuenta tendrá que conseguir una licencia de proveedor de pagos, lo que tiene un coste elevado y, con seguridad, ocasionará problemas de adaptación.
Las cifras
14% es el porcentaje de comercios minoristas en Europa que ha implantado ya la autentificación reforzada del cliente.
57.000 millones de euros es lo que puede perder la economía europea el primer año de vigencia de la norma, prevé Stripe.
20,3 millones de españoles compran online, según el Estudio anual de ecommerce 2019 de IAB Spain.
Proveedor de pagos
La compañía de infraestructuras de pagos Stripe ha hecho público un estudio elaborado por 451 Research según el cual la ARC “tendrá un impacto desproporcionado en las pequeñas empresas”, que no están concienciadas de cómo este sistema “transformará la forma en que los consumidores europeos comprarán online”.
El director general de la plataforma de pagos, Borja Santos, declara que la norma “es una buena noticia a largo plazo porque se van a constituir negocios más sostenibles”, pero a corto supone más obligaciones a las empresas que venden bienes y servicios por internet “porque implicará más pasos adicionales a la hora de enfrentarse a los pagos”.
Borja Santos destaca el hecho de que será la entidad bancaria emisora “la que decida si el cargo tiene que pasar o no por la doble autentificación”. A partir de ahora, “será como un juicio rápido”. Al igual que Pedro Campo, recomienda a los comercios con página de venta online, los más afectados por la normativa que habrá que cumplir desde mediados de septiembre, no hacer los cambios solos.
Cita, para ilustrar las dificultades, el caso de las exenciones para la ARC establecidas en la ley, como la aplicada a las compras inferiores a 30 euros o si se realizan menos de cinco pagos en 24 horas, y asegura que puede ocurrir que un negocio “pase todos los pagos por la ARC, lo cual es un grave error porque la tasa de conversión va a disminuir mucho”.
También considera un error que sea el propio comerciante quien decida la exención que aplica hacia el banco emisor y que gestione de forma interna este asunto para ahorrarse complicaciones. “Eso solo es factible que lo hagan los grandes como Amazon, no es bueno que una pequeña empresa haga híbridos, o sea, decidir qué pagos están exentos de la ARC y cuáles no”. El director general de Stripe señala que al menos el 50% de los comerciantes encuestados por 451 Research declararon que tenían pensado llevar a cabo ellos mismos las exenciones.
“Aconsejo trabajar con una empresa tecnológica y que los comercios se beneficien del machine learning (análisis de datos automatizado)”, agrega. Como mensaje a las pequeñas y medianas empresas, avisa que Stripe trabaja con todo tipo de compañías, sin importar el tamaño. “Es habitual que al pensar en una empresa como la que dirijo se asocie solo con grandes compañías y no es así. Trabajamos con grandes, medianas y pequeñas”, concluye Borja Santos.
Derechos de los consumidores
Los comercios han de tener en cuenta que la nueva normativa de servicios de pago también contempla derechos a los consumidores. A partir de su entrada en vigor, estará prohibido realizar cargos adicionales en los pagos con tarjetas de débito o de crédito.
A los compradores les beneficiará también ante las entidades bancarias, dado que rebaja su responsabilidad económica por el uso fraudulento o no autorizado de su tarjeta, de los 150 euros actuales a los 50. Asimismo, se fija que las reclamaciones a la entidad bancaria por pagos se resuelvan en el plazo de 15 días.
Otra recomendación a los comercios pequeños que venden por internet es que no esperen a mediados de septiembre para implementar el nuevo método con la excusa de que está el verano de por medio. Aunque los datos son un tanto preocupantes. En junio pasado, tres de cada cinco comercios de menos de 100 empleados no conocían la regulación que se avecina y el 44% de los encuestados contestó que esperará a que la norma entre en vigor para tomar medidas y adaptarse al sistema de doble autentificación, según el estudio publicado por Stripe.
Disrupción en las ventas por internet
Acontecimiento disruptivo. En palabras de Jordan McKee, analista de 451 Research, “el SCA o ARC es el acontecimiento más disruptivo que afectará al comercio electrónico”.
Preocupados por vender. El presidente de la Confederación Española de Comercio (CEC), Pedro Campo, argumenta “que el comerciante se preocupa principalmente de vender y por ofrecer una buena experiencia de compra y estos cambios tecnológicos cuestan más a las pymes”.
Enorme bolsa de fraude. Se estima que el fraude por transacciones comerciales digitales provoca unas pérdidas de 17.000 millones de euros.
Compradores por internet. En España, siete de cada diez internautas compran por internet, con una frecuencia de tres veces al mes y un gasto medio de 64 euros, según el Estudio anual de ecommerce 2019 de IAB Spain.
Servicios al cliente. De acuerdo con el estudio de IAB Spain, el 46% de los compradores valora del comercio electrónico los servicios que ofrecen al cliente.
Proveedor de servicios de Bankia. Una de las entidades bancarias que ha dado a conocer ya un PSP o proveedor de servicios de pago es Bankia, que ha desarrollado Waiap, en colaboración con Sipay. Es una plataforma de pagos “dirigida a comercios digitales de cualquier tamaño, que les va a permitir ofrecer a sus clientes todos los medios de pago disponibles”, comentan desde el banco.
