¿Qué es la PSD2?
Si no has oído hablar de la PSD2, no eres el único. De hecho, hasta ahora no se sabía prácticamente nada de ella en el sector. La PSD2 sigue a la directiva europea inicial sobre servicios de pago (PSD1), que se adoptó en 2007 con el fin de hacer que los pagos transfronterizos entre estados miembros de la Unión Europea fueran más fáciles, eficientes y seguros. El objetivo de la PSD2 es ampliar el campo de aplicación de la directiva inicial. Entrará en vigor el 14 de setiembre de 2019, aunque es cada vez más probable que se retrase su aplicación, ya que muchos proveedores de servicios de pago (PSP) y comerciantes están teniendo dificultades para cumplir el plazo.
¿Por qué la UE introduce la PSD2?
La PSD2 ofrece varias ventajas importantes. Por una parte, reforzará el éxito inicial de la PSD1 en la prevención del fraude en los pagos, así como la protección de la seguridad de los datos, un aspecto de extrema importancia en el entorno de pago digital actual. Por otra parte, beneficiará a los consumidores al ofrecerles opciones de pago electrónico menos costosas y más innovadoras. En el ámbito de los pagos por Internet, han aparecido nuevos actores que permiten a los consumidores pagar instantáneamente sin necesidad de tarjeta de crédito. Apple Pay, Google Pay y Paypal son algunos ejemplos. La PSD2 regulará estas nuevas opciones de pago, hará que sean más seguras y facilitará su acceso a los consumidores. Y esta es una gran noticia para alrededor del 60 % de la población de la UE, que no tiene tarjeta de crédito (cifras extraídas de las FAQ de la directiva sobre los servicios de pago de la Comisión Europea).
Otro elemento importante de la PSD2 es la autentificación fuerte del cliente (SCA), que pretende reducir el fraude vinculado a las tarjetas de crédito y hacer que los pagos sean más seguros para los consumidores, imponiendo una autentificación del cliente de dos factores a los procesos de pago; es decir, obligando a los usuarios a proporcionar más datos de identificación antes de autorizar el pago. La introducción de la SCA es un requisito legal significativo.
¿Cómo se aplicará la autentificación de cliente fuerte (SCA)?
Para los pagos online, originados en la UE o destinados a la UE, la SCA exige que el usuario proporcione como mínimo dos de los tres elementos siguientes para validar la tarjeta y autorizar el pago online:
- Conocimiento – algo que solo sepa el usuario (contraseña, PIN o patrón de acceso memorizado)
- Posesión – algo que solo posea el usuario (teléfono móvil o dispositivo de verificación de código QR)
- Inherencia – algo que el usuario sea y que lo identifique (huella dactilar, voz, reconocimiento facial o escaneo de la retina)
A partir del 14 de septiembre, las reservas de hotel online deberán ofrecer una autentificación de dos factores en lugar de un solo factor (solo el CVV de la tarjeta), como suele ser el caso en la actualidad. Algunas personas ya están familiarizadas con la autentificación de dos factores, como el envío de un código PIN al teléfono como segundo método de autentificación, pero a partir de mediados de septiembre es probable que este sistema se utilice con más frecuencia para mejorar la seguridad.
¿Cómo afectará la SCA a las reservas online?
El principal miedo es que estas exigencias de autentificación frustren a los usuarios hasta el punto de afectar negativamente a la conversión. En particular, la amenaza inmediata de perturbación potencial para los negocios y los clientes es más bien inquietante, ya que los participantes no conformes corren el riesgo de que los pagos de sus clientes se retrasen, se impugnen o que directamente se rechacen. Por otra parte, la exposición continuada a transacciones fraudulentas seguirá minando las operaciones comerciales. En el peor de los casos, si los bancos no toman ninguna medida, los hoteles tendrán que hacer frente a tasas de abandono de las reservas más elevadas y a un aumento del rechazo de autorizaciones.
¿La SCA se aplica a todas las reservas?
Algunas transacciones no estarán sujetas a la SCA y se mantendrán fuera del ámbito de aplicación de la legislación. Obviamente, el sistema no se aplica a las transacciones en las que esté presente el titular de la tarjeta. Tampoco se aplica a las transacciones en soporte papel, las de pedidos por correo electrónico o teléfono (MOTO, Mail Order and Telephone Order) y las iniciadas por el vendedor (MIT).
Otras transacciones a las que normalmente se aplica la SCA pueden gestionarse de forma eficaz de modo que queden exentas. Estas incluyen transacciones a favor de un beneficiario de confianza, transacciones de poco valor monetario, transacciones de poco riesgo y pagos recurrentes.
No obstante, la SCA será obligatoria para la mayoría de pagos online, incluidas las reservas online que no requieran el pago anticipado sino que utilicen únicamente la tarjeta de crédito como garantía.
¿Las reservas de las OTA también deberán cumplir los requisitos de la SCA?
Las reservas de las OTAs están sujetas a las mismas normas que las reservas directas. Por tanto, también deberán aplicar una autentificación de dos factores. Aunque todavía no sabemos cómo gestionarán las OTAs este sistema. Eso sí, es muy probable que aumenten los pagos por adelantado como método de pago mayoritario. El riesgo para los hoteles es que sean cada vez más prisioneros de la red de las OTAs, que actualmente ya crea dificultades diarias para los clientes. Si los hoteles utilizan una solución de procesamiento OTA SCA, corren el riesgo de perder aún más el control de un elemento clave del proceso de reserva, y de sufrir una subida de los costes. En esta fase, Bookassist aconseja a los hoteles que esperen para ver qué proponen las OTAs y que sean prudentes y pacientes antes de dar el siguiente paso, porque entender la «letra pequeña» puede ser crucial para evitar futuras consecuencias no deseadas.
¿Cómo deben prepararse los hoteles para la PSD2?
La buena noticia para los hoteles es que la responsabilidad de la PSD2 recae principalmente en las pasarelas de pago y el sector bancario o financiero. Los hoteles deben asegurarse de que sus socios de pago hayan adaptado sus procesos a la PSD2. Asimismo, deben verificar que su propio banco y/o proveedor de la pasarela de pago hayan tomado las medidas necesarias para cumplir la PSD2 y que puedan recibir fondos sin problemas a partir del 14 de setiembre.
Además, los hoteles deben preguntar a su proveedor del sistema de gestión de reservas (PMS), proveedor del motor de reservas y socios de distribución online cuáles son sus medios de autentificación y de realización de pagos a partir de esa fecha. La aplicación de la directiva evitará el riesgo de una caída de las conversiones, con clientes que abandonan los procesos de reserva y compran habitaciones en otros lugares.
Por otra parte, los hoteles deberán revisar y actualizar sus condiciones generales para asegurarse de que tienen en cuenta la nueva legislación PSD2.
¿Cómo prepara Bookassist a los hoteles para la PSD2?
En Bookassist hemos estado trabajando durante muchos meses con nuestros socios de pagos para garantizar que tanto nosotros como nuestros clientes respetamos la directiva PSD2. Esto ha requerido la actualización de todas nuestras pasarelas de pago y software de integración. Bookassist informará a los clientes en caso de que haya actualizaciones suplementarias con respecto a la PSD2 que incluyan requisitos adicionales, en caso de que sean relevantes, o de posibles modificaciones anunciadas del calendario de aplicación de la directiva.
Claire Sawier es Directora de Marketing y Don Cronin es Director de Producto de Bookassist (bookassist.com), el proveedor de servicios de estrategia digital para hoteles de todo el mundo, y creador de una tecnología premiada con múltiples galardones.
