Explicación de SCA y 3DS2: Autenticación de pagos PSD2
Vender en línea a clientes europeos implica, inevitablemente, lidiar con SCA y 3DS2. La Autenticación Reforzada del Cliente es un requisito legal estricto según la PSD2, y 3D Secure 2 es la forma en que la mayoría de los comercios la implementan. Esta guía abarca qué significa SCA y 3DS2 en la práctica, cuáles son los casos excepcionales y qué consecuencias tiene cometer errores.
¿Qué es SCA? Definición de autenticación reforzada del cliente
La autenticación reforzada del cliente es un requisito de verificación establecido en la PSD2, la Directiva de Servicios de Pago 2 de la UE. Se aplica cuando un cliente inicia un pago electrónico y tanto el banco emisor de su tarjeta como el banco adquirente del comercio se encuentran en el Espacio Económico Europeo.
La regla en sí se refiere a factores. La autenticación segura debe utilizar al menos dos de tres, y estos deben provenir de categorías diferentes:
- Conocimiento : algo que el titular de la tarjeta sabe: una contraseña, un PIN o una pregunta de seguridad.
- Posesión : algo que el titular de la tarjeta posee: un teléfono móvil, un token de hardware o una tarjeta inteligente.
- Inherencia : algo que el titular de la tarjeta es: huella dactilar, reconocimiento facial, identificación de voz.
Los factores deben ser independientes entre sí; comprometer uno no expone al otro. Además, deben estar vinculados dinámicamente al monto de la transacción y al beneficiario. Una contraseña estática que funcione en todas las compras no cumple con los requisitos.
Ámbito de aplicación: La SCA cubre las compras con tarjeta online iniciadas por el cliente. No se aplica a las transacciones iniciadas por el comercio (facturación recurrente tras la autorización inicial), pedidos por correo o teléfono, ni a ninguna transacción en la que el comercio o el banco del titular de la tarjeta se encuentren fuera del EEE. Esta última categoría se denomina "transacción unilateral" y es relevante para comercios con una base de clientes mixta a nivel mundial.
¿Qué es 3DS2 y qué relación tiene con SCA?
El nombre se desglosa así: 3D representa tres dominios: el banco emisor que emitió la tarjeta del titular, el banco adquirente que procesa los pagos del comercio y la red de tarjetas que los conecta. La versión 2 la distingue del protocolo original, que Visa lanzó en 1999 con el nombre de "Verified by Visa". EMVCo, propiedad conjunta de Visa, Mastercard, Amex y otras entidades, desarrolló y ahora mantiene el estándar 3D Secure 2.
¿Qué relación tiene con la SCA? La PSD2 exige que los pagos con tarjeta se autentiquen mediante dos factores. 3D Secure 2 es el mecanismo que utilizan los comercios para realizar dicha autenticación en transacciones sin presencia física de la tarjeta. Técnicamente, los flujos de banca abierta y las redirecciones de aplicaciones bancarias también pueden cumplir con la SCA, pero en la práctica, 3D Secure 2 gestiona la gran mayoría de los pagos con tarjeta en línea.
Visa y Mastercard dejaron de dar soporte a 3DS1 para transacciones europeas en octubre de 2022. Tras esta interrupción, el enrutamiento de pagos con tarjeta a través de 3DS1 no solo quedó obsoleto, sino que además incumplió la normativa. Lo que antes era opcional se convirtió en obligatorio, y la actualización a 3D Secure 2, que los procesadores llevaban años recomendando, se convirtió en la única solución viable.
Historia de 3D Secure: De 3DS1 a 3DS2
3DS1 se lanzó a principios de la década de 2000. El mecanismo de autenticación consistía en una ventana emergente de redirección, generalmente alojada por el banco emisor de la tarjeta. Los titulares de la tarjeta veían una nueva ventana del navegador, ingresaban una contraseña estática que a menudo habían olvidado y, o bien lograban completar el proceso, o bien abandonaban la transacción. El abandono en ese paso representaba un problema considerable para los comercios de todos los sectores.
| Característica | 3DS1 | 3DS2 |
|---|---|---|
| Interfaz de usuario de autenticación | Ventana emergente de redireccionamiento / nueva ventana | iframe integrado o SDK nativo |
| Datos enviados al emisor | ~15 puntos de datos | Más de 100 puntos de datos (dispositivo, comportamiento, historial) |
| Soporte móvil | Deficiente: no hay SDK nativo | SDK nativo completo para iOS y Android |
| flujo sin fricción | No disponible | Sí, la mayoría de las transacciones |
| Método de desafío | Contraseña estática | OTP, notificación push, biométrico |
| Cambio de responsabilidad | Sí | Sí (cobertura ampliada) |
| estatus de la UE | Obsoleto (octubre de 2022) | Obligatorio |
3DS2 se diseñó para corregir los problemas de conversión que causaba 3DS1. Al enviar más de 100 señales de riesgo al emisor al inicio del proceso, el protocolo proporciona a los bancos datos suficientes para aprobar la mayoría de las transacciones sin que el cliente tenga que hacer nada. Cuando se activa un desafío, se trata de un código SMS o datos biométricos, no de una contraseña que el titular de la tarjeta configuró hace tres años.
Cómo funciona la autenticación de 3DS2: Paso a paso
Cada transacción 3DS2 se enruta a través de una de dos rutas. El banco emisor elige una de ellas en función de los datos de riesgo que recibe. En la mayoría de los casos, los clientes ni siquiera se dan cuenta de que se ha producido la autenticación.
Flujo sin fricciones (70-90% de las transacciones):
- El cliente introduce los datos de su tarjeta al finalizar la compra.
- La pasarela de pago del comerciante o el servidor 3DS recopila más de 100 puntos de datos: huella digital del dispositivo, geolocalización IP, características del navegador, historial de transacciones, señales de comportamiento.
- Estas se envían en una Solicitud de Autenticación (AReq) al servidor de directorio de la red de tarjetas, y luego se reenvían al Servidor de Control de Acceso (ACS) del banco emisor.
- El ACS realiza una evaluación de riesgos automatizada, normalmente en menos de un segundo.
- Si la transacción se clasifica como de bajo riesgo, el ACS emite una aprobación sin fricciones y sin que el cliente tenga que hacer nada.
- La transacción se completa con la transferencia de la responsabilidad al banco emisor.
Flujo de desafíos (10–30% de las transacciones):
- Los pasos 1 a 3 son los mismos: recopilación de datos y envío de AReq.
- El ACS marca la transacción como de mayor riesgo: dispositivo nuevo, importe inusual, nueva dirección de entrega o tasa de fraude elevada para esa categoría de comercio.
- Se le solicita al cliente que ingrese un segundo factor: un código de acceso de un solo uso por SMS, una notificación push de su aplicación bancaria o datos biométricos.
- El cliente completa el desafío
- La transacción se aprueba con transferencia de responsabilidad al emisor.
La facilidad de uso es lo que distingue a 3DS2 de su predecesor. La mayoría de los clientes completan una transacción autenticada sin necesidad de realizar ninguna acción adicional. Cuando se solicita una verificación, se utiliza un método familiar: la misma notificación push que usan para aprobar una transferencia bancaria.
Exenciones de la SCA y cuándo se aplican
No todas las transacciones requieren SCA. La PSD2 define exenciones que permiten que los pagos se procesen sin autenticación de dos factores. Solicitar una exención no es lo mismo que obtenerla. El banco emisor decide si la acepta. El rechazo implica una denegación temporal, y el comercio debe volver a enviar la solicitud con la SCA activada.
| Tipo de exención | Condición | Límite |
|---|---|---|
| Transacción de bajo valor | Transacción inferior a 30 € | Máximo 5 transacciones consecutivas o 100 € acumulados desde la última verificación de antecedentes. |
| Análisis de Riesgo de Transacciones (TRA) | Tasa de fraude del adquirente o emisor por debajo del umbral | 100 € con una tasa de fraude ≤0,13 % / 250 € con una tasa ≤0,06 % / 500 € con una tasa ≤0,01 % |
| Transacciones recurrentes (importe fijo) | Mismo importe, mismo beneficiario tras la SCA inicial | Sin límite |
| Transacción iniciada por el comerciante | Facturación por suscripción, pagos a plazos | La autenticación reforzada de clientes (SCA) solo es necesaria en la primera transacción. |
| Beneficiario de confianza | El titular de la tarjeta ha añadido al comercio a la lista blanca de su banco. | Controlado por el titular de la tarjeta y específico del comercio. |
| Pagos corporativos seguros | Sistemas de pago B2B dedicados | Solo sistemas aprobados por el organismo regulador. |
La responsabilidad recae sobre quien solicitó la exención. Si el adquirente solicita una exención TRA y el emisor la acepta, el adquirente (y, por extensión, el comerciante) es responsable del fraude si algo sale mal. Si el emisor aplicó la exención de forma independiente, la responsabilidad recae sobre él. Los comerciantes que manejan un volumen considerable de transacciones con exenciones TRA deben registrar qué vía se utilizó para cada transacción.
Cómo afectan SCA y 3DS2 a los comerciantes
La justificación empresarial para implementar correctamente SCA 3DS2 va mucho más allá del cumplimiento normativo:
- Transferencia de responsabilidad : la autenticación 3DS2 completada traslada la responsabilidad por contracargos por fraude del comercio al banco emisor. Sin autenticación, el comercio asume directamente el fraude con tarjeta. El fraude con tarjeta en la UE es 17 veces mayor en las regiones donde no se requiere la Autenticación Reforzada del Cliente (SCA).
- Tasas de autorización : 3DS2 suele mejorar las tasas de autorización en comparación con los pagos no autenticados. Los emisores aprueban con mayor confianza cuando disponen de 100 puntos de datos en lugar de un número de tarjeta y un código CVV.
- Conversión en el proceso de pago : el flujo de desafío añade un paso, pero 3DS2, sin fricción, prácticamente no añade ninguna. Una implementación correcta de 3DS2 suele generar un impacto de conversión neutro o positivo en comparación con 3DS1.
- Calidad de los datos : la calidad de la carga útil AReq determina qué porcentaje de transacciones se realizan sin problemas. Los comercios que envían solo campos obligatorios obtienen tasas de verificación más altas que aquellos que completan campos opcionales, como la huella digital del dispositivo, el historial de transacciones y la antigüedad de la dirección de envío.
- Geografía : Las normas de SCA difieren entre los estados miembros del EEE, el Reino Unido (con su propio calendario de SCA posterior al Brexit) y otros mercados. Un proceso de pago global debe segmentar correctamente estas diferencias a nivel de solicitud.
Lista de verificación de cumplimiento de SCA para comerciantes en línea
Para configurar correctamente SCA 3DS2 se necesita algo más que habilitar 3DS2 en la puerta de enlace. El trabajo continuo también es importante:
- Verifica que tu PSP o pasarela de pago sea compatible con 3DS2. La mayoría de los procesadores principales (Stripe, Adyen, Worldpay, Braintree) lo gestionan automáticamente. Los procesadores regionales o más antiguos pueden seguir funcionando con 3DS1 o tener implementaciones parciales.
- Revisa la carga útil de datos de tu solicitud AReq. Colabora con tu proveedor de pagos para confirmar que estás enviando los más de 100 campos de datos opcionales, no solo los mínimos obligatorios. Cada campo adicional aumenta la confianza del emisor en el proceso de aprobación sin fricciones.
- Mapea tus tipos de transacciones. Identifica qué pagos son iniciados por el comerciante (suscripciones después de la configuración), pedidos por correo/teléfono o pagos con una sola salida. Márcalos correctamente: no pasan por 3DS2 y no deben ser enrutados allí.
- Prueba la experiencia de usuario del flujo de desafíos. Cuando se activa un desafío de nivel superior, la experiencia debe ser clara y compatible con dispositivos móviles. Una pantalla de OTP confusa reduce las conversiones. Realiza pruebas en diferentes dispositivos y navegadores antes del lanzamiento.
- Supervise las tasas de transacciones sin fricción frente a las tasas de verificación. Una disminución en la tasa de transacciones sin fricción indica un problema: datos de baja calidad, un emisor que modifica su modelo de riesgo o una tasa de fraude en una categoría de comercio que supera el umbral de la TRA.
- Controla los resultados de las exenciones. Averigua qué exenciones solicitas, cuáles se aprueban y cuáles se rechazan. Los rechazos de exenciones de bajo valor suelen significar que se alcanzó el límite acumulado de 100 € sin que se reiniciara.
- Sigue de cerca el cronograma de la PSD3. La propuesta de la Comisión Europea sobre la PSD3 se encuentra en trámite legislativo; se prevé que la implementación en los Estados miembros se produzca entre 2026 y 2027. Esta propuesta amplía la SCA en lugar de sustituirla: los requisitos de autenticación se vuelven más específicos, no menos estrictos.
Un aspecto que muchos comerciantes desconocen sobre SCA 3DS2 es que todo el marco normativo se limita a las transacciones de pago electrónico reguladas por la PSD2, lo que significa que la moneda fiduciaria circula a través de bancos y redes de tarjetas. Los pagos con criptomonedas quedan completamente fuera de este ámbito.
Cuando un cliente paga con Bitcoin, Ethereum o una stablecoin, la transacción no pasa por una red de tarjetas ni por un banco. Ningún emisor gestiona un sistema de autenticación de clientes (ACS). No hay solicitudes de acceso (AReq), ni servidores de directorio, ni flujos de verificación que administrar. Las reglas de autenticación reforzada de clientes (SCA) no se aplican porque el tipo de pago queda fuera del ámbito regulatorio.
Para los comerciantes, esto se traduce en algo concreto. Un pago con criptomonedas no requiere autenticación 3DS2, ni solicitud de OTP, ni verificación de identidad. El cliente paga desde su billetera y recibe los fondos. Tampoco existen contracargos: las transacciones con criptomonedas son irreversibles, lo que elimina por completo la responsabilidad por fraude.
Para los comerciantes que buscan agregar una opción de pago completamente al margen del marco de autenticación de tarjetas, Plisio admite más de 20 criptomonedas sin la sobrecarga de la SCA, sin exposición a contracargos y sin dependencia del modelo de riesgo de un banco emisor.
Qué significan SCA y 3DS2 para su pila de pagos
La autenticación reforzada de clientes (SCA) no se está simplificando. La PSD3 ampliará aún más los requisitos de autenticación, y el Reino Unido gestiona su propio proceso de aplicación de la SCA tras el Brexit. La cuestión práctica para los comerciantes es cuán bien funciona realmente la implementación de la SCA 3ds2, no si deben implementarla.
Bien implementado, el marco funciona para todos los involucrados. Los comerciantes obtienen protección contra responsabilidad por contracargos fraudulentos. Los emisores reciben información más completa gracias a la mayor cantidad de datos de 3D Secure 2 y aprueban más transacciones con confianza. Los clientes obtienen una autenticación segura que, por lo general, no interrumpe su proceso de pago. Los comerciantes que se quedan estancados son aquellos que habilitaron 3DS2 con la configuración mínima de la pasarela de pago y nunca volvieron a revisar sus tasas de transacciones sin fricciones, la calidad de la carga útil de AReq ni las tasas de aciertos de exención.
