Lecciones y aprendizajes de la implantación de la Autenticación Reforzada de Clientes (SCA)

Esta medida, creada por la Comisión Europea como parte de un esfuerzo regulatorio más amplio llamado PSD2, cambia la forma en que los clientes europeos autentifican los pagos online. La normativa tiene un objetivo admirable: reducir el fraude en los pagos online haciendo que el comprador autentique una transacción - demostrando que es quien dice ser-, generalmente a través de un protocolo denominado 3DSecure. Sin embargo, su puesta en práctica ha causado daños colaterales. En concreto, ha añadido complejas cargas operativas y ha provocado un aumento del índice de transacciones legítimas que acaban siendo rechazadas.

La SCA ha cambiado por completo el proceso para realizar una transacción online haciendo necesaria la aceptación y el acuerdo de todas las partes implicadas: el banco emisor, el titular de la tarjeta y la empresa. Si alguna de las partes no está preparada para aplicar el protocolo, la autenticación falla y la transacción fracasa.  Y ahora que la SCA se ha ido imponiendo poco a poco en toda Europa, ha llegado el momento de hacer balance. En el último año, el sector ha visto muchas transacciones fallidas. ¿A qué se debe?

En primer lugar, hemos aprendido que incluso cuando la mayoría de las partes han adoptado la SCA, muchas de las transacciones acaban fracasando. Este fallo refleja una característica crítica de los pagos online: son tan fuertes como su eslabón más débil, de modo que, si un solo integrante no cumple con la medida o es incapaz de aplicarla correctamente, toda la transacción fracasa.

Tomemos como ejemplo los bancos emisores que han tenido que enfrentarse a importantes retos para aplicar la nueva normativa. Especialmente en 2020, cuando la SCA comenzaba a aplicarse en el Espacio Económico Europeo, a menudo vimos cómo los bancos emisores rechazaban de forma genérica transacciones que fácilmente podrían haber tenido éxito si el banco hubierarespondido con un rechazo parcial al tiempo que solicitaba más datos. 

También hemos observado importantes variaciones en el grado de aplicación en cada país: los emisores de Dinamarca y España, por ejemplo, eran más propensos a hacer una denegación parcial de las transacciones  que los emisores de Francia. En mercados como Alemania e Italia, la configuración que requiere la SCA en las aplicaciones bancarias de los titulares de las tarjetas también supuso un reto, ya que una gran proporción de clientes no tenía configurada la autenticación de dos factores (2FA).

Del mismo modo, hemos detectado diferencias significativas en el rendimiento de los emisores al comparar el nuevo protocolo de autenticación 3DS2 con la antigua versión 3DS1. Algunos bancos autentifican más transacciones con el 3DS2, que es lo que cabría esperar tratándose de un protocolo mejorado. Sin embargo, en 2021, casi la mitad de los bancos obtuvieron mejores resultados con la versión antigua 3DS1. La variación fue tan grande que Stripe construyó una forma de cambiar de forma dinámica entre los protocolos 3DS1 y 3DS2 dependiendo del emisor en la transacción. 

Pero, los bancos emisores son sólo una de las partes de cualquier transacción, y surgen retos adicionales cuando las diferentes partes tienen que observar las nuevas reglas en su conjunto. He aquí un ejemplo significativo: en los dos últimos años hemos observado que, a la hora de autenticar transacciones, el tipo de dispositivo desde el que se realiza la transacción es importante. Las transacciones sujetas a la SCA iniciadas desde un dispositivo móvil tienen un 3% menos de probabilidades de éxito que las originadas desde un ordenador. Esta diferencia indica que el proceso de redirigir a los compradores a su aplicación bancaria para la autenticación sigue siendo defectuoso.

Aunque está claro que cada vez más emisores están adoptando correctamente el protocolo 3DS2 junto con su proceso de autenticación basado en el análisis de riesgos, todavía queda un largo camino por recorrer antes de que la 3DS2 se convierta en un protocolo exitoso por defecto para todos los emisores. 

A pesar de los retos existentes, las empresas se benefician de la SCA. La medida traslada la responsabilidad de los conflictos de las empresas a los bancos emisores. Aunque los costes de ese beneficio -medidos por el número de pagos fallidos- siguen siendo demasiado elevados. Visa calcula que las transacciones en 3DS sufren un descenso del 11% en los índices de conversión. Eso supone que más de una de cada diez ventas fracasan porque las empresas aplican la Autenticación Reforzada de Clientes.

El despliegue gradual de la aplicación de la SCA ha evitado el peor de los resultados: que los comercios se levanten un día y vean cómo sus ventas caen por un precipicio. Pero aún queda mucho trabajo por hacer. Todas las partes del universo de los pagos online deberán colaborar para garantizar que la SCA logre su objetivo de limitar el fraude en los pagos online, sin que esto suponga una pérdida de ventas para las empresas y una frustración para los clientes. 

Mattia Gamberoni,

Responsable de Stripe para España y Portugal.