Enfocados principalmente en brindar apoyo a la seguridad de los pagos de la industria del eCommerce, la autenticación reforzada de clientes (ARC o SCA por sus siglas en inglés) es un requisito regulatorio europeo que procura mejorar la seguridad de las transacciones online y disminuir el fraude. Después de un tiempo de trabajo, se espera que entre en vigencia este año en toda la UE.
Siendo la ARC cada vez más común, ahora destacamos cómo los comerciantes pueden aprovecharla para fortalecer su configuración de pagos.
ARC es otra fase de autenticación integrada en el flujo de pago del vendedor. Requiere que el comprador cumpla con dos de los tres requisitos de autenticación aquí vistos: posesión, conocimiento e identidad. Debe conocer un código pin o contraseña, tener acceso a un teléfono móvil u otro dispositivo y su huella digital o escaneo facial debe concordar. Para agilizar el ritmo de cumplimiento, las instituciones de pagos han comenzado a rechazar transacciones que no cumplen con la ARC. Por lo tanto, según el punto de vista del comerciante, es fundamental que los pagos se envíen a través de proveedores listos con ARC lo antes posible.
3DS2 es una nueva versión mejorada de 3DS1, un protocolo de seguridad para autenticación de transacciones. Para que la ARC se cumpla con suma eficiencia, ciertas sociedades emisoras están aumentando los costos asociados con el uso del protocolo 3DS1 o incluso, prohibiéndolo por completo, lo que obliga a los comerciantes a migrar hacia 3DS2.
Sin embargo, 3DS2 conlleva beneficios para los comerciantes: si está bien implementado el 3DS2 reduce las tasas de abandono en un 70% en comparación con 3DS1. A medida que fue aumentando la cantidad de soft declines (rechazos suaves) se volvió más evidente la necesidad de pasar a 3DS2.
En comparación con 3DS1, 3DS2 mejora enormemente la prevención ante el fraude por medio de un análisis de riesgo avanzado que se efectúa por sociedades emisoras o proveedores de servicios de pago. Lo hace compartiendo y ejecutando controles de riesgo en más puntos de datos, aprovechando las exenciones a la autenticación de dos factores y un sistema de autenticación en general más centrado en el cliente. La atención móvil también se fortifica en comparación con 3DS1.
A la par con el lanzamiento de PSD2/ARC vino un aumento constante en la cantidad de soft declines por parte de sociedades emisoras y compradores. Un soft decline muestra que cierto comerciante no activó la ARC para esta transacción y, por lo tanto, el banco emisor la rechazó y realizó un seguimiento con una solicitud de autenticación reforzada de clientes. Un caso así requiere un manejo inmediato de los vendedores y sus socios de pago.
Si el comerciante, el proveedor de servicios de pago y el emisor han implementado todo correctamente, en el caso de un soft decline de transacciones no recurrentes (iniciadas por el cliente), la única diferencia sería que la transacción tendrá que ejecutarse a través de 3DS, lo que no afectará la experiencia de pago de los clientes. Sin embargo, la situación es diferente para las transacciones recurrentes (iniciadas por el comerciante) ya que el cliente no está activamente presente en el momento en que se activa el pago periódico. En dicho caso, el cliente deberá volver a ingresar los datos de su tarjeta para desencadenar el 3DS y ejecutar una transacción que cumpla con la ARC.
Para garantizar un flujo de pago fluido para los clientes que no atente contra las conversiones, se han establecido ciertas exenciones a la ARC. Éstas se dividen en exenciones y transacciones fuera del límite.
Las transacciones inferiores a 30 EUR, las transacciones de bajo riesgo según la evaluación del riesgo de fraude para valores de hasta 500 EUR, las transacciones corporativas y fiables están completamente exentas de la aplicación ARC. Estas exenciones se evalúan por parte del comprador.
Las transacciones iniciadas por el comerciante (MIT), las transacciones One-leg out (una de las partes está fuera de la UE), las transacciones de pedidos de compra por correo o por teléfono y las transacciones anónimas con tarjeta prepagas, se incluyen dentro del marco que queda fuera del límite. Las transacciones que están fuera del límite se evalúan del lado de la entidad emisora. Es conveniente para los comerciantes aprovechar las excepciones mencionadas anteriormente para maximizar la aceptación.
Debido a las complicaciones ligadas a la adopción de ARC, tener un socio de pagos ya preparado para el cumplimiento regulatorio o poder dirigir, de manera flexible, tus transacciones a un proveedor de pagos con ARC, es sumamente beneficioso. Un cambio rápido a proveedores compatibles con ARC y preparados con 3DS2, aprovechando las exenciones de ARC con múltiples proveedores de detección de fraude, son buenas maneras de uso de la coordinación de pagos para garantizar que los pagos sean aceptados sin problemas. Esto permite a los vendedores invertir más recursos para el crecimiento empresarial en lugar de luchar constantemente contra fallas en las transacciones.
La Autenticación reforzada de clientes junto a 3DS2 pone la seguridad de pagos en línea en primer lugar. Las transacciones se ven reforzadas aún más por excepciones inteligentes a ARC que permiten pagos sin problemas a la vez que logran mantener el más alto estándar de seguridad. Aprovechar estas excepciones se hace mucho más simple a través de la coordinación de pagos. La rápida digitalización del eCommerce agrava, inevitablemente, el riesgo de fraude. Con una implementación de ARC en toda la UE, se puede establecer una prevención mejorada contra el fraude en el eCommerce.