Al igual que GDPR tuvo un gran impacto en la forma en que las organizaciones manejan los datos personales, el mayor revulsivo del comercio electrónico europeo en la última década está a la vuelta de la esquina. En septiembre de este año, entra en vigor en Europa la Autenticación Reforzada de Clientes (SCA, Strong Customer Authentication), que supondrá una capa adicional de autenticación en el proceso de pago que afectará directamente a las tasas de conversión de las tiendas online. Sin embargo las estimaciones más recientes sugieren que sólo una cuarta parte de los negocios online europeos son conscientes de los cambios que se avecinan.

La Autenticación Reforzada de Clientes exige que la mayoría las transacciones europeas online por encima de 30 euros se verifiquen doblemente utilizando algo que el cliente sepa (un PIN o contraseña), algo que tenga (como un teléfono inteligente) y algo que sea (rasgos faciales biométricos o una huella dactilar). En otras palabras, un número de tarjeta y una fecha de caducidad ya no será suficiente para realizar ni siquiera el más simple de los pagos.

La lucha contra el fraude en los pagos online

El fraude en el comercio electrónico crece más rápido que el propio comercio electrónico. De hecho, el Banco Central Europeo estima que cada año se registran unos 1.300 millones de euros en transacciones online fraudulentas a través de tarjetas europea. Esta normativa ha sido diseñada con el objetivo de minimizar el fraude online y proteger a los millones de consumidores europeos que compran en Internet todos los días. Acogemos con satisfacción cualquier intento de minimizar el fraude en Internet; de hecho, Stripe evita más de 3.500 millones de euros en intentos de fraude en todo el mundo cada año.

Cientos de miles de millones de euros están en juego

La Autenticación Reforzada de Clientes podría tener consecuencias imprevistas importantes que afectan seriamente a las empresas en Internet y a sus ventas online. Una planificación cuidadosa es esencial para cumplir con los requisitos (las transacciones que no cumplan con los requisitos serán automáticamente rechazadas por el banco del titular de la tarjeta) y minimizar el impacto en la conversión. Cuando se introdujo una regulación similar en la India en 2014, algunas empresas informaron de una caída de la conversión de un día para otro de más del 20%. Si ocurriera lo mismo en la economía online europea de 600.000 millones de euros, el continente se enfrentaría a una pérdida económica potencial de 100.000 millones de euros.

Sin embargo, hay un rayo de esperanza entre las nubes de incertidumbre de la Autenticación Reforzada de Clientes. Las reglas más estrictas significarán que las experiencias de pago simplificadas y la gestión cuidadosa de las exenciones de Autenticación Reforzada de Clientes se convertirán en una ventaja competitiva importante para las empresas de Internet que ejecuten bien el cambio. Autenticación Reforzada de Clientes también puede contribuir a una mayor adopción de tecnología (Apple Pay y Google Pay) y fomentar innovación tecnológica de pago móvil en Europa.

Una carrera contra el reloj para cumplir con las normas

Al igual que la GDPR, los reguladores nacionales, las redes de tarjetas y los bancos emisores interpretan de forma diferente la normativa general de la UE. También hay algunas exenciones clave para los casos en los que no se requiere Autenticación Reforzada de Clientes. A pesar de la complejidad, hay que tener en cuenta algunos principios generales.

En primer lugar, es importante saber que las empresas deben aplicar flujos de pago compatibles con Autenticación Reforzada de Clientes sólo cuando sea necesario, ya que las nuevas normas no se aplicarán a todas las transacciones online. Por ejemplo, existen exenciones para los pagos recurrentes, las compras inferiores a 30 € o las transacciones de bajo riesgo determinadas a partir de Machine Learning. Asimismo, los clientes también pueden hacer una lista blanca de las empresas en las que confía con su banco emisor. La gestión de estas exenciones es muy compleja ya que cada regulador nacional, las red de tarjetas y bancos emisor interpreta de forma diferente la normativa general de la UE. Dicho esto, la concesión de exenciones depende en última instancia del banco emisor del cliente. Esto significa que para las empresas que operan en múltiples mercados europeos, la gestión de las exenciones por sí mismas significa trabajar directamente con los bancos locales (hay 6.000 de ellos en Europa) para entender exactamente cómo ponerlas en marcha.

En segundo lugar, la experiencia de pago debe estar alineada con el método de pago más apropiado. Desde los métodos de pago regionales sin tarjeta, hasta 3D Secure 2, pasando por los monederos móviles biométricos, hay varias formas en las que las empresas pueden permitir que sus clientes se autentiquen a sí mismos. Diferentes métodos de pago serán más adecuados para ciertos modelos de negocio, y las preferencias de los clientes variarán dependiendo de la geografía y su relación con el negocio.

En última instancia, las empresas deben decidir si desean convertirse en expertos de Autenticación Reforzada de Clientes o externalizar todo este proceso a una plataforma tecnológica que les ayude a superar los complejos desafíos que se derivan de la regulación.

Europa es pionera en la creación de nuevos estándares de pago, ¿le seguirá el resto del mundo?

Si bien existe preocupación por el impacto a corto plazo, hay razones para ser optimistas sobre las perspectivas a largo plazo del comercio electrónico en Europa.

Europa ha sido desde hace mucho tiempo pionera en la innovación del comercio electrónico (consideremos la implantación de las normas EMV hace más de una década, mientras que en EE.UU. siguen jugando a ponerse al día incluso hoy) y Autenticación Reforzada de Clientes puede ser otro ejemplo de que el mundo sigue los pasos de Europa. En términos más generales, hacer que la economía de Internet sea más segura es esencial para su crecimiento a largo plazo. A medida que aumenta la confianza del consumidor, también aumenta el gasto online. Si bien la Autenticación Reforzada de Clientes plantea un reto importante para el comercio electrónico europeo a corto plazo, podría convertirse en un hito significativo en el camino hacia el aumento del comercio online en Europa y el aumento del PIB de Internet.