Exenciones de la SCA
Última ediciónene 20206 min de lectura
Descubre qué pagos están fuera del ámbito de aplicación de la SCA y en cuáles se aplicarán las exenciones.
Exenciones claves de la SCA y transacciones fuera del ámbito de aplicación
Las transacciones fuera del ámbito de aplicación son aquellas que nunca fueron parte del mandato de la SCA en primer lugar y, por lo tanto, no requieren exención. Simplemente no necesitarán una Autenticación Reforzada de Cliente..
Un tipo de transacción clave que está fuera del ámbito de aplicación, especialmente para las empresas de suscripción y aquellas con ingresos recurrentes, son las transacciones iniciadas por la empresa:
Una transacción iniciada por una empresa es un pago que se realiza en una fecha acordada con el consentimiento del pagador y, como su nombre indica, es iniciado por la empresa que cobra el pago.
Si la transacción es iniciada por una empresa, los pagos fijos y variables estarán exentos de la SCA.
A diferencia de la mayoría de las transacciones iniciadas por los clientes finales, los flujos de pago de las transacciones iniciadas por la empresa a menudo no son instantáneos. Los datos del cliente final se recopilan en un momento determinado y se envían al banco del cliente final en otro momento. La comunicación entre el cliente final, el banco y el proveedor de pagos no se produce en tiempo real. En el lenguaje de la SCA, esto se conoce como una transacción asíncrona. Sería poco práctico, y en algunos casos, imposible que la SCA se aplique a estas transacciones.
Sin embargo, ten en cuenta que algunas transacciones iniciadas por la empresa, como las transacciones recurrentes con tarjeta, la SCA aún tendrá que aplicarse al primer pago si se hace con la participación del PSP del pagador (por ejemplo, el emisor de la tarjeta).
Mandatos electrónicos de domiciliación bancaria "de forma digitalizada"
Un tipo de transacciones iniciadas por la empresa son las domiciliaciones bancarias electrónicas "de forma digitalizada " que no requerirán la SCA, incluso para el primer pago (siempre que cumpla con los criterios que se comentan a continuación). Esto es lo que GoCardless utiliza para configurar y cobrar los pagos.
Para cobrar los pagos recibidos mediante domiciliación bancaria, el cliente final del que se cobrarán los pagos debe facilitar un "mandato" de la empresa / PSP que recolecta dichos pagos.
Ha habido mucha confusión acerca de si el pagador requiere la SCA en el momento de la configuración del mandato, concretamente si la acción de establecer el mandato es una “acción a través de un canal remoto que puede implicar un riesgo de fraude de pago u otros abusos".
El 7 de junio de 2019, la EBA confirmó a través de su herramienta de Preguntas y Respuestas que no se requiere una Autenticación Reforzada de Cliente (SCA) para el establecimiento de mandatos electrónicos de Domiciliación Bancaria "de forma digitalizada" provistos a favor de las empresas beneficiarias, siempre que el PSP del cliente final (por ejemplo, un emisor de la tarjeta) no esté directamente involucrado en esa configuración.
En concreto, la EBA confirmó :
Los mandatos otorgados por el pagador al beneficiario establecido sin la participación directa del PSP del pagador no están sujetos a la SCA.
Exenciones
Las exenciones de la SCA solo se aplican a los proveedores de servicios de pago. Ellos se relacionan con la cantidad de la transacción de pago, el riesgo del pago, la recurrencia de la transacción de pago y el canal de pago utilizado para la ejecución del pago. Incluyen:
Transacciones y suscripciones periódicas fijas
Cuando se utiliza un método de pago iniciado por el pagador, como las órdenes permanentes, solo el primer pago de una suscripción fija requerirá la SCA. Mientras la cantidad pagada permanezca igual, las transacciones adicionales no requerirán la SCA.
Sin embargo, si la cantidad cambia, como lo hacen muchas suscripciones basadas en el uso, se requerirá la SCA nuevamente para cada cambio.
Pagos Contactless
Los pagos contactless que cumplan con cualquiera de las siguientes condiciones estarán exentos de la aplicación de la SCA:
Pagos individuales sin contacto por debajo de 50 €
Cinco o más pagos por debajo de 50 €
Cuando se hayan realizado pagos acumulados por un total de 150€ desde la última aplicación de la SCA, se requerirá de nuevo.
La exención es específica para cada tarjeta utilizada, por lo que, para las cuentas conjuntas, la exención se aplica para cada tarjeta asociada a la cuenta.
Transacciones online por debajo de 30 €
Al igual que los pagos contactless (pero con un valor inferior), los pagos inferiores a 30 € también estarán exentos de la Autenticación Reforzada de Cliente.
Sin embargo, se requerirá la SCA si un cliente final hace:
Cinco o más pagos por debajo de 30 €
Si una combinación de pagos múltiples de bajo valor totaliza más de 100€.
Estos umbrales no son específicos de la empresa, es decir, esas cinco transacciones que suman hasta 100 € o más podrían ser pagos a diferentes compañías.
Beneficiarios de confianza (lista blanca)
Los clientes tendrán la opción de asignar empresas conocidas a una lista de ‘Beneficiarios de confianza '.
Esta lista será actualizada y mantenida por el ASPSP (Proveedor de servicios de pago de servicio de cuentas), que también tiene autoridad para eliminar beneficiarios del fideicomiso. El PSP de una empresa puede crear mecanismos para "sugerir" beneficiarios de confianza al ASPSP en nombre del cliente final.
Por ejemplo, Mastercard sugiere que como cliente, pasa por un flujo de pago online, en la configuración del punto de pago, en el que puede haber una casilla de verificación que solicite que el cliente final agregue a la empresa a la lista de beneficiarios confiables de su ASPSP. Esta solicitud se pasará al ASPSP, que posteriormente requerirá que el cliente final pase por la SCA para aprobar la lista de beneficiarios de confianza. El cliente final también podrá administrar su lista de beneficiarios de confianza directamente con su ASPSP.
Es importante tener en cuenta que los ASPSP no necesariamente tienen que proporcionar la lista de beneficiarios de confianza, ya que pueden externalizar esto y, como resultado, empresas como Visa están desarrollando productos.
Si una empresa está en la "lista blanca" de un cliente final, la SCA no será necesaria, independientemente de la cantidad, la frecuencia o la variación de cualquier compra.
La forma de navegar por la SCA es atractiva; pero la aceptación del proceso por parte de los bancos ha sido hasta ahora irregular, y aún existen muchas preguntas sobre cómo funcionará exactamente en la práctica. Se sospecha que la inclusión en listas blancas no se convertirá en una táctica viable hasta mucho después de septiembre de 2019.
Sin embargo, es importante tener en cuenta que cada vez que se añada un beneficiario de confianza a una lista de exenciones, deberá aplicarse la SCA si se realizan cambios o un pago a un beneficiario de confianza; o si el PSP de una empresa solicita la eliminación de una lista.
Pagos Corporativos
Los pagos realizados directamente entre dos empresas estarán exentos de la SCA, pero solo si el método de pago utilizado es un método B2B como, por ejemplo, el acceso controlado a los servicios de gestión de viajes corporativos o sistema de compras corporativo.
De acuerdo con UK Finance: “No se requiere la SCA para los pagos iniciados con respecto a las personas jurídicas que utilizan procesos o protocolos de pago dedicados que están limitados a clientes finales que no son consumidores (por ejemplo, de host a host, algunos servicios SWIFT y algunos productos de tarjetas corporativas).”
Las RTS también se amplían exactamente en lo que se incluirá o no en esta exención:
Espera que “el uso de redes corporativas restringidas de host a host (máquina a máquina) patentadas, tarjetas corporativas introducidas o virtuales, como las que se utilizan dentro de la gestión de viajes corporativos con control de acceso o el sistema de compras corporativas, posiblemente esté dentro del alcance de esta exención”.
El uso de tarjetas corporativas físicas emitidas a los empleados para gastos en circunstancias donde no se utiliza un proceso de pago y protocolo seguro (por ejemplo, donde las compras online se realizan a través de un sitio web público) no estaría dentro del alcance de esta exención.
Exenciones en transacciones de bajo riesgo
Suponiendo que la SCA normalmente se aplicaría a una transacción, los proveedores de pagos tendrán la autoridad de evaluar las transacciones y elegirán no aplicar los protocolos de la SCA a aquellos que consideran con "bajo riesgo" de fraude.
Les fournisseurs de services de paiement seront soumis à des seuils Los proveedores de servicios de pago estarán sujetos a umbrales estrictos otorgándoles la capacidad de evaluar las tasas de riesgo de las transacciones en tiempo real. Las tasas de fraude del proveedor de pagos (en general, no solo para un comerciante específico) deben ser inferiores a los siguientes umbrales para el tipo de pago específico que se está utilizando y el valor de la transacción que se procesa:
| Valor de umbral de exención (es decir, valor del pago que se está procesando) | Sistema de pago con tarjeta* | Transferencias de crédito* |
|---|---|---|
| €500 | 0.01% | 0.005% |
| €250 | 0.06% | 0.01% |
| €100 | 0.13% | 0.015% |
*La tasa de fraude no debe ser superior a estas cantidades para que se aplique la exención.
Tanto el PSP del beneficiario como el PSP del cliente final (por ejemplo, un emisor de tarjeta) pueden aplicar esta exención (según sus propias tasas de fraude generales para ese tipo de pago). Sin embargo, el ASPSP puede decidir si acepta o no la aplicación de esa exención. Así, por ejemplo, un adquirente de la tarjeta (el PSP de la empresa) puede aplicar la exención, pero el emisor de la tarjeta puede anular esa exención.
En la práctica, esperamos que la solicitud del PSP de la empresa sea válida, ya que la responsabilidad por cualquier pago fraudulento recaerá en el PSP que aplicó la exención.
Transporte y parking de terminales sin vigilancia
El pago de las tarifas de transporte o de estacionamiento en una terminal sin vigilancia no requiere la SCA.
Información de la cuenta de pago
Cuando un cliente final utiliza un TPP que proporciona servicios de información de cuenta para acceder a los datos de sus cuentas de pago, la SCA debe aplicarse al:
Acceder al saldo de una cuenta de pago por primera vez
Acceder a información más confidencial, como datos de todas las transacciones procesadas en una cuenta por primera vez.
Sin embargo, la SCA no es necesaria aplicarla:
Si se accede nuevamente al saldo de la cuenta
Si se accede a los datos de transacciones históricos en los 90 días posteriores a la última aplicación de la SCA.
Transferencia de Crédito
Para las transferencias realizadas entre, por ejemplo, una cuenta corriente a una cuenta de ahorros, donde ambas cuentas se mantienen en el mismo banco, por la misma persona, no es necesario aplicar la SCA.
Implantación de las exenciones de la SCA
Estas exenciones de la SCA serán importantes para minimizar, o incluso eliminar, la fricción causada por el proceso de autorización adicional. Pero ¿cómo puedes asegurarte de que estas exenciones se activen cuando un cliente realiza una compra?
Para empezar, ¿se requerirá que los PSP y los ASPSP trabajen juntos y utilicen estándares comunes, por ejemplo, 3DS2?
¿Qué ocurre si la exención falla?
Si bien la lista de exenciones ahora es bastante clara, el banco del cliente final decidirá en última instancia si una exención es válida. Si no se concede una exención, el pago activará un código de rechazo. El pago deberá volver a enviarse y autorizarse mediante protocolos de Autenticación Reforzada de Cliente.
Seguridad vs conveniencia en la experiencia de pago
¿Qué es lo que más le importa a los compradores online?