Directiva de Servicios de Pago (PSD2)
y Autenticación Reforzada del Cliente (SCA)

La directiva de servicios de pago II (PSD2) hace referencia a las nuevas regulaciones para adaptar los estándares de pago del EEE con el fin de mejorar la seguridad de los pagos tanto para comerciantes como para consumidores. La normativa está enfocada a controlar el aumento del fraude, especialmente cuando el titular de la tarjeta no se encuentra presente durante la transacción en presencia del comerciante (p. ej. un cliente que pague en línea).

La autenticación reforzada del cliente (SCA) es una parte fundamental de la segunda directiva sobre servicios de pago (PSD2) y entrará en vigor el 14 de septiembre de 2019.

La autenticación reforzada de clientes exige que se confirme que el cliente que inicia un pago en línea está legítimamente autorizado a proceder con la transacción. P. ej. un comerciante por Internet, como tú mismo, debe autentificar que un cliente que quiere hacer una reserva es el titular de la tarjeta de crédito. Esta autentificación suele estar integrada en un proceso de pago en línea y exige dos o más de los siguientes elementos:

• Algo que solo la persona conoce (por ejemplo, un código de acceso)
• Algo que solo la persona posee (por ejemplo, un teléfono)
• Una característica que solo pueda ser de la persona (por ejemplo, una huella dactilar/escaneo de iris)

La SCA se aplica mediante un proceso llamado 3D Secure (3DS). 3DS se aplica para que el banco del titular de la tarjeta confirme que la persona puede poner en marcha una transacción (normalmente mediante el envío de un código al móvil del titular de la tarjeta). Este proceso ha sido perfeccionado con la introducción de 3DS2 que minimiza su efecto sobre la experiencia del huésped en línea.

Es importante entender cada uno de los pasos afectados en el proceso de pago para poder cumplir con la normativa. Los siguientes puntos te orientarán sobre las etapas que deben cumplir con la PSD2:

• Pagos durante la reserva: ya sean totales o parciales, podrán necesitar la SCA en presencia del usuario conectado.
• Pagos por adelantado: ya sean antes de la fecha de llegada, cargos por cancelación o por no presentarse.
• Liquidaciones de pago a la salida del huésped: gastos no abonados, consumiciones del minibar del servicio de habitaciones o cualquier tipo de incidente.
• Pagos tras la salida del huésped: por abandonar el establecimiento sin pagar, gastos del minibar no abonados o cualquier daño que la propiedad pueda sufrir.

Un desafío al que se enfrentan los hoteles es que cuando los huéspedes introduzcan los datos de su tarjeta por Internet al realizar una reserva, los datos se almacenen como tarjeta registrada para permitir al hotelero procesar el pago más adelante, p. ej. cuando el huésped no esté conectado. Esto provocará que el pago real de la fianza, los gastos no abonados, los extras, los cargos por cancelación o por no presentarse no puedan procesarse por no encontrarse presente el huésped para completar la SCA (las tarjetas registradas puedan ser rechazadas por el banco emisor por no haber completado la autenticación reforzada). Para evitar incidencias con estos pagos, asegúrate de almacenar los datos de la tarjeta de crédito del huésped por medio de un método que cumpla con la normativa y guarda una autorización previa del huésped declarando que se le pueda cobrar a posteriori.

• Los productos tecnológicos como un motor de reservas o un PMS que cuentan con una pasarela de pago por Internet.
• Transacciones a través de un terminal punto de venta (POS por sus siglas en inglés) con un código PIN que el usuario debe introducir junto con la tarjeta.
• Pagos con Apple Pay, ya que exigen el teléfono móvil del usuario y su huella dactilar o reconocimiento facial.

Para reducir el fraude bancario se ha incrementado la presión para que los hoteles cambien la forma en la que reciben los pagos. Con la implementación de la autenticación reforzada del cliente, el mayor riesgo para tu negocio es que las transacciones que no cumplan con las exigencias sean rechazadas y te arriesgues a sufrir pérdidas en las conversiones de reservas, en la ocupación y en los ingresos. También existen posibles complicaciones a la hora de gestionar las cancelaciones o los que no se presentan, puesto que normalmente estas transacciones se cobraban con la tarjeta que estaba registrada de antemano y estos cobros ya no serán posibles.

El sector hotelero está trabajando sin descanso para cumplir con los requisitos de la SCA y SiteMinder trabaja mano a mano con socios comerciales como las agencias de viaje online (OTA), sistemas de gestión hotelera (PMS) y pasarelas de pago para que nuestros productos cumplan con todas las normativas.

La PSD2 y la SCA son beneficiosas para los consumidores, tus huéspedes y tu negocio. A pesar de que al principio puedas encontrarte con algunas repercusiones en las conversiones, las ventajas superarán con creces los inconvenientes que sufras a corto plazo.

Para superar estos obstáculos, hasta que el sector hotelero se haya puesto al día y cumpla con los requisitos, plantéate poner a disposición procesos de pago exentos de la autenticación reforzada o maneras de facilitarla y registrarla. Algunas opciones alternativas pueden ser:

• Procesar los pagos en persona, cuando se pueda utilizar la tarjeta de crédito física con el código PIN
• Cobrar los pagos por adelantado a través de tu motor de reservas, para minimizar el riesgo de que no se puedan cobrar las tarjetas registradas
• Distribuir tu inventario a través de agencias de viaje online que emitan tarjetas virtuales, ya que están exentas de la normativa

Las principales transacciones exentas de la SCA son:

• Transacciones de poco valor: cualquier transacción por debajo de 30 € puede estar exenta de la autenticación reforzada. Sin embargo hay un límite de 5 transacciones consecutivas o a un límite acumulativo de 100 €. Una vez que se hayan alcanzado estos límites, se requiere la autenticación en dos pasos.
• Listas de confianza: una vez que la autenticación reforzada confirme la primera compra, un usuario puede incluir a un comerciante en su lista de confianza para que las siguientes transacciones no requieran la SCA. Para que esta funcionalidad se habilite los comerciantes deben implementar el 3DS2 (ver glosario).
• Pagos corporativos y tarjetas de crédito virtuales: las tarjetas de crédito corporativas que no figuran a nombre del titular de la tarjeta y las tarjetas de crédito virtuales están exentas de la SCA.
• Las transacciones iniciadas por el comerciante (MIT por sus siglas en inglés): los pagos abonados con tarjetas registradas cuando el cliente no está presente en el proceso de pago (si está desconectado o «fuera de sesión») se pueden considerar como iniciados por el comerciante. Estos pagos en teoría están exentos de cumplir con la SCA, pero en la práctica, un comerciante que inicia una transacción está solicitando una exención, y como cualquier exención, la entidad bancaria decidirá si se concede.

Transacciones de solicitud por correo y solicitud telefónica (MOTO por sus siglas en inglés): este tipo de transacciones están exentas porque en la actualidad es muy difícil usar la autenticación de dos factores por teléfono, fax o correo.

Las OTA pueden realizar la SCA al registrar las tarjetas durante el proceso de reserva.

Suponemos que, de aquí al 14 de septiembre de 2019, las OTA comunicarán a sus clientes y socios cómo van a implementar la directiva PSD2. Prevemos que muchas agencias de viaje online dirigirán a sus socios del EEE a modelos de pago como «OTA collect» y proporcionarán una tarjeta de crédito virtual (VCC) en lugar de dar los datos de la tarjeta del cliente a los operadores de alojamientos. Las tarjetas de crédito virtuales están exentas de la SCA, por lo que puede ser una alternativa viable.

Te recomendamos que te pongas en contacto con tus agencias de viaje online asociadas para asegurarte de que están trabajando con los proveedores de pagos y que cumplirán con la normativa desde el 14 de septiembre.

La autoridad financiera del Reino Unido (Financial Conduct Authority en inglés) ha ratificado que habrá una fase de implementación de 18 meses de la SCA en el Reino Unido a partir del 14 de septiembre 2019. Esto significa que esta institución no tomará medidas de ejecución con los proveedores de pago en el Reino Unido si no cumplen con la autenticación reforzada a partir del 14 de septiembre de 2019. Sin embargo se supone que a partir del período de 18 meses se tendrá que cumplir con la SCA. Es más, es el banco emisor de la tarjeta el que decidirá si acepta o rechaza un cobro si el titular de la tarjeta no se encuentra en el Reino Unido, p. ej. un huésped que viaje a otro país de la UE, con lo que se corre el riesgo de que el cobro de estos huéspedes se rechace si no cumple con los requisitos de la SCA.

Solo estás sujeto a estas regulaciones si tu establecimiento se encuentra en uno de los países del Espacio Económico Europeo (EEE). La autenticación reforzada se aplicará solo cuando tanto el banco emisor como tu banco estén ubicados en el Espacio Económico Europeo.

Sin embargo se espera que se implementen otras directivas parecidas a la PSD2 en todo el mundo durante los próximos años.

Puedes encontrar más información sobre la PSD2 y la SCA en los siguientes enlaces (en inglés):

• European Banking Authority Opinion Piece on SCA & PSD2
• Stripe’s Guide to Strong Customer Authentication
• European Commission Press Release

Ponte en contacto con tus proveedores de servicios de pago y pregúntales qué están haciendo para cumplir con la normativa a partir del 14 de septiembre.