La Segunda Directiva de Servicios de Pago de la Unión Europea (PSD2) se implementó para reforzar la seguridad del mercado de pagos de la UE y, en última instancia, proporcionar un entorno de pagos fluido tanto para los comerciantes como para los clientes.
Podría decirse que la seguridad reforzada que exige esta directiva ha llevado a algunas empresas de la UE y del Reino Unido a sufrir caídas masivas y potencialmente desestabilizadoras en las tasas de aceptación de pagos. Esto se debe a que la Autenticación Fuerte del Cliente (SCA) que se ha incorporado dentro la PSD2 incluye una pasarela 3-D Secure, un momento de gran fricción para el cliente.
En una revisión interna de datos propios, Barclay’s Bank informa que sus comerciantes en el Reino Unido estaban perdiendo más de 2,3 millones de dólares al día por pagos que eran potencialmente válidos pero enrutados a través de canales no seguros y, por tanto, rechazados, mientras que algunas industrias informan de caídas globales de pagos de hasta el 40% después de implementar la SCA.
En lugar de reestructurarse en torno a un nuevo modelo de beneficios, trabajar cuidadosamente en torno a las exenciones de las SCA es el camino más claro para recuperar el retorno de la inversión. La más popular y fácil de gestionar es la denominada exención TRA.
¿Qué es una exención de análisis de riesgos de transacciones (TRA)?
Una exención de análisis de riesgos de transacciones (TRA) es una directriz creada para evitar el enrutamiento de tráfico que plantea un riesgo bajo a través de una pasarela de seguridad de alta fricción como 3DS. Es una forma de implementar una estrategia de fricción dinámica, para garantizar que la experiencia de los clientes legítimos no se vea perjudicada por fricciones innecesarias. En cambio, esto sólo ocurrirá con aquellos clientes de los que no estemos seguros.
Para que una transacción pueda calificarse como exenta de TRA y, por tanto, pueda enrutarse con seguridad evitando los inconvenientes del 3DS, existen ciertos umbrales relacionados con el nivel de riesgo de la transacción y el entorno de pago que deben respetarse.
A grandes rasgos, las dos mitades de la posible exención de análisis de riesgos de transacciones recaen en la jurisdicción del adquirente y del emisor del pago.
Mejora tu gestión del riesgo con las herramientas de enriquecimiento de datos en tiempo real, las evaluaciones del comportamiento y el análisis de huella digital de SEON.
Prueba una Demo
¿Qué se necesita para que un adquirente obtenga una exención de análisis de riesgos de transacciones?
Para gozar de una exención TRA, el banco adquirente debe mantener una tasa de fraude global aceptablemente baja y demostrar que realiza comprobaciones en tiempo real de las transacciones y los usuarios en busca de indicios de fraude. La cantidad máxima de dinero en un pago que puede estar exenta de TRA también depende de la tasa de fraude global del comerciante, mientras que cualquier transacción superior a 500 euros siempre requerirá una comprobación de la SCA.
La puntuación global del fraude se comunica trimestralmente, mientras que la Autoridad Bancaria Europea describe la tecnología necesaria para la prevención del fraude como capaz de detectar las características que indican un alto riesgo de fraude. Para ello, el software implementará enfoques como:
- Análisis del comportamiento que responde a preguntas como: ¿Es normal este comportamiento? ¿Ha cambiado repentinamente la actividad de este usuario? Las soluciones contra el fraude como SEON disponen de comprobaciones de velocidad y conjuntos de reglas personalizables que pueden ajustarse para buscar transacciones por encima de los umbrales medios y otros indicadores.
- Huella digital de dispositivos y navegadores para comprobar si los dispositivos que acceden al sitio web ya son conocidos por el sistema, así como si la persona está utilizando configuraciones sospechosas.
- Si la transacción coincide con algún patrón conocido de fraude. Por ejemplo, si hay demasiadas transacciones con direcciones de correo electrónico y contraseñas similares.
- Comprobación de los datos de localización en busca de indicios de países de alto riesgo o sancionados implicados en la cadena de pago. ¿Está la dirección de entrega, el país adquirente o la ubicación del registro digital en una lista negra? ¿Es inusual por algún otro motivo? ¿Qué revela el enriquecimiento de datos de la dirección IP? ¿Coinciden los datos de registro de la tarjeta, la IP y la dirección de envío, o podría ser esta última una dirección de entrega utilizada por un criminal?
Si tu software de análisis de riesgos detecta alguna señal de advertencia particular entre estas señales, no debe solicitarse ni concederse una exención de TRA. Permitir que un cliente de este tipo pague sin SCA dejaría a la empresa expuesta a multas, al tiempo que se arriesgaría a un aumento de los casos de fraude y de la tasa global de fraude.
Los índices de fraude se consideran y se equilibran con el tamaño de una transacción individual para determinar si cumplen los requisitos o no. Si la tasa de fraude del proveedor de servicios de pago aumenta, un mayor número de sus transacciones tendrán que pasar por puntos de control de seguridad de alta fricción, lo que podría repercutir en los niveles de rotación de clientes de los comerciantes y adquirentes individuales.
Por supuesto, el comerciante y el PSP también querrán comprobar si los usuarios individuales presentan signos de comportamiento fraudulento. Si no lo hacen, es muy probable que se permita a los estafadores pasar por la pasarela de exención TRA, lo que afectará a sus resultados. Esto puede lograrse con una solución de prevención del fraude. Es aconsejable utilizar un software de este tipo para realizar búsquedas en tiempo real.
Tasa de fraude respecto a los umbrales de importe de la transacción
Tasa de fraude del emisor/comerciante | Monto de la transacción |
Si tu tasa de fraude es menor a 0.13%… | las transacciones entre 0-100 euros pueden estar exentas del SCA |
Si tu tasa de fraude es menor al 0.06% | las transacciones entre 0-250 euros pueden estar exentas del SCA |
Si tu tasa de fraude es menor al 0.01% | las transacciones entre 0-500 euros pueden estar exentas del SCA |
Esta tabla explica los umbrales del monto de transacción permitidos con base en la tasa de fraude actual del comerciante. Como queda demostrado, los comerciantes y adquirentes que mantienen un entorno de fraude bajo pueden invitar a más clientes a una experiencia de compra sin fricción, y así aprovechar los beneficios.
Cabe destacar que las transacciones mayores a 500 euros requieren del SCA y 3DS sin importar el análisis del riesgo.
También es importante tener en cuenta que la tasa de fraude del proveedor de servicios de pago necesita actualizarse cada 90 días. Cuando el adquirente solicita una exención TRA para una transacción en particular, la responsabilidad de cualquier crimen o fraude que resulte de la misma es del PSP.
¿Qué se requiere para que un emisor obtenga una exención de análisis de riesgo de transacciones?
En la otra cara de la moneda, las exenciones de análisis de riesgos de transacciones también pueden ser solicitadas por el banco emisor sin ningún requisito particular. Aunque el comerciante o el proveedor de servicios de pago del lado adquirente no haya solicitado una exención TRA, el emisor puede solicitarla.
Esto sólo es aconsejable para el emisor si considera que puede confiar en el PSP, porque el banco emisor -que emite las tarjetas y transfiere los fondos- asume toda la responsabilidad de esa transacción. Si el emisor permite que se produzca el fraude, seguirá siendo responsable de cualquier multa o amonestación.
En estos casos, las exenciones de TRA del lado del emisor desencadenarán inmediatamente una experiencia de compra sin fricciones para el cliente, sin que se requiera ni se aplique ninguna SCA.
¿Por qué son importantes las exenciones en el PSD2?
Las exenciones TRA permiten a los bancos y neobancos tanto cumplir la SCA de la PSD2 como minimizar las fricciones al menor grado de seguridad posible para ofrecer una mejor experiencia al cliente y minimizar las pérdidas por rotación de clientes.
La PSD2 se diseñó nominalmente para fomentar la innovación económica y controlar la seguridad de los datos personales y contra la delincuencia y el fraude. Esto puede suponer una lucha para las empresas que intentan encontrar el equilibrio entre mantenerse a flote y cumplir la normativa. De hecho, las multas por incumplimiento de la PSD2 llegan hasta los 20 millones de euros.
Mientras se redactaba la PSD2, se midieron los efectos de la SCA tanto en la aprobación de transacciones como en la fricción de los clientes, y los legisladores no ignoraron las estadísticas. Por eso se crearon las exenciones de análisis de riesgos de transacciones, entre otras: para proporcionar una vía de baja fricción para que los PSP sigan formando parte de una economía digital sana y segura.
No te equivoques: aunque la SCA y la 3DS puedan dar lugar a menores beneficios, los redactores de los mandatos definen sin duda una economía sana como una economía bulliciosa, que esperamos conduzca a una mejor calidad de vida para todas las partes implicadas. Por eso existen las exenciones TRA, así como otras exenciones que permiten a los comerciantes mantener baja la fricción.
Todavía no se sabe qué cambios traerá consigo la PSD3.
¿Qué otras exenciones existen en el PSD2?
Aunque las exenciones de análisis de riesgos de transacciones son sin duda el túnel más amplio por el que conducir tu autobús de ROI, SCA define una serie de exenciones adicionales que pueden ayudar a mantener la fricción baja y los rendimientos altos, incluidas las exenciones de bajo valor, las listas blancas y los pagos de importe fijo.
En concreto, otras formas de eximir a los clientes del SCA durante las transacciones incluyen:
- Exenciones de bajo valor: Tienen lugar cuando el valor de una venta individual es inferior a 30 euros. Sin embargo, si hay transacciones consecutivas que finalmente suman más de 100 euros, debe activarse la SCA.
- Listas blancas: Algunos emisores de tarjetas permiten a sus titulares incluir en listas blancas a los comercios en los que confían, si así lo desean. Al comprar en ellos, no se pedirá al titular de la tarjeta que vuelva a completar la SCA.
- Suscripciones y pagos de importe fijo: Del mismo modo, los pagos de suscripciones y los pagos periódicos de importe fijo pueden añadirse a una lista de exención de SCA con el emisor de la tarjeta, aunque sólo después de completar el pago inicial y la comprobación de SCA.
- Pagos corporativos seguros: Los pagos corporativos verificablemente seguros pueden quedar exentos de la SCA, lo que incluye sectores como las agencias de viajes de empresa y los emisores de tarjetas virtuales.
- Autenticación delegada: En este caso, una empresa delega su responsabilidad de SCA en un tercero responsable, a menudo una consultoría de prevención del fraude u otro servicio de autenticación.
Medir exactamente qué transacciones caen dentro de estas reglas puede resultar complicado, así que aprovechar una solución de software en los datos es parte crucial de un flujo de trabajo eficiente.
Muchas soluciones de fraude ofrecen ese servicio, así como los motores de exención.
¿Qué es un motor de exención?
En última instancia, para minimizar la fricción de la UX, las empresas de comercio electrónico pueden emplear un software llamado motores de exención para ayudar a automatizar qué transacciones cumplen los requisitos para el análisis de riesgo de transacciones u otras exenciones, y cuáles necesitan pasar por la SCA.
Al igual que muchas soluciones contra el fraude basadas en el riesgo, los motores de exención analizarán los perfiles de los usuarios y sus transacciones en busca de indicios de intenciones maliciosas.
Si la transacción entra dentro del umbral aceptable para la exención, el software debe realizar comprobaciones en tiempo real sobre el comportamiento del usuario y las posibles señales de riesgo.
A partir de ahí:
- Si la puntuación global de riesgo del usuario es lo suficientemente baja, se le ofrecerá un recorrido del cliente sin fricciones.
- Si la puntuación del usuario es más alta, se le dirigirá al paso 3DS/SCA.
El software de exención tratará categóricamente de maximizar el número de viajes sin fricción, porque el resultado previsto es reducir la rotación, minimizar el abandono del carrito y ahorrar en los costos asociados al 3DS.
Algunos programas también gestionan qué tipo de 3DS se aplicará a determinadas transacciones, proporcionando la opción de menor fricción posible que también cumpla la normativa.
¿Cómo puede ayudar SEON con las exenciones de análisis de riesgos de transacciones (TRA)?
El análisis de fraude basado en el riesgo de SEON puede utilizarse para optimizar las exenciones TRA. La plataforma de SEON puede utilizarse eficazmente como un motor de exenciones que no sólo te mantiene seguro, sino que minimiza eficazmente las fricciones en la medida de lo posible, sin poner en riesgo tus ingresos y tu crecimiento.
En primer lugar, te permitirá mantener baja tu tasa global de fraude, con lo que podrás optar a más exenciones potenciales en primer lugar.
Todas las métricas detalladas anteriormente pueden añadirse a los conjuntos de reglas personalizadas de SEON, de modo que las transacciones que entren dentro de los límites de la exención de TRA puedan gestionarse de manera conforme.
Además de esto, la manta de SEON está tejida con las búsquedas de datos en tiempo real que exige la ley y, por supuesto, puede utilizarse para cubrir las señales de riesgo exigidas por la PSD2.
Automatizar este proceso ayuda a las empresas a asegurar sus devoluciones reduciendo los costes de las comprobaciones 3DS reales, disminuyendo el abandono del carrito y, naturalmente, reduciendo las pérdidas por fraude y los contracargos fraudulentos.
Fuentes:
- Barclaycard: Strong Customer Authentication leads to drop in online card fraud, but non-compliant businesses miss out on £2.07 million in sales every day
- Nethone: The Countdown: PSD2 SCA is coming your way