El protocolo 3D Secure mejorado, 3DS 2.0, tendrá una gran repercusión en el sector de los pagos, incluida la capacidad de ampliar la red de prevención del fraude.
Ahora hay más canales en los que se puede aplicar el protocolo para transacciones seguras, incluidas las plataformas no basadas en navegador y la integración móvil.
La autenticación sin pago es uno de los aspectos que se introducirán con 3DS 2.0 y que permitirán utilizar el protocolo en algo más que los pagos tradicionales a través del navegador.
Para entender este concepto, merece la pena echar un vistazo a los fundamentos del funcionamiento del protocolo 3DS original.
La versión 1 de 3DS pide a los titulares de tarjetas (la persona que realiza el pago en línea) que demuestren su identidad al banco emisor antes de que pueda completarse la transacción. Esto ocurre a través de una ventana emergente o un marco en línea en la propia fase de pago.
Así que el proceso de autenticación siempre tenía lugar durante el pago real. Esto daba lugar a dos problemas.
En primer lugar, los usuarios no siempre son capaces de identificar la autenticidad de la ventana emergente, lo que a menudo causaría sospechas y provocaría el abandono de la transacción. En segundo lugar, como el protocolo 3DS se introdujo varios años antes de que existieran los pagos por móvil, se demostró que había problemas de compatibilidad cuando el proceso de autenticación se realizaba en navegadores móviles.
Aunque 3D Secure 2.0 resuelve los problemas de compatibilidad y ofrece ahora una experiencia más fluida en los dispositivos móviles, en algunos casos también permite a los comerciantes separar el proceso de autenticación del pago propiamente dicho.
Esto tiene un resultado directo en el abandono del usuario y en la experiencia del cliente.
Pour qué?
A medida que los estafadores van ideando formas más sofisticadas de acceder sin autorización a los datos de las tarjetas de débito y crédito, todos somos demasiado conscientes de los peligros potenciales de realizar pagos en línea.
Esto puede convertir el proceso de compra en línea en una situación estresante. De ahí que la gente abandone tan fácilmente cuando se enfrenta a una ventana emergente "desconocida" que le pide que introduzca algunos de sus datos personales.
Al alejar la verificación 3D Secure del pago propiamente dicho a un entorno menos estresante, es decir, la autenticación sin pago, se puede reducir la desconfianza del comprador y, por tanto, el abandono de la transacción.
Ya hemos visto el impacto que tendrá 3DS 2.0 en el sector de los pagos móviles, incluida la introducción de SDK móviles que ayudarán a los comerciantes a integrar fácilmente el nuevo protocolo en sus aplicaciones móviles ya existentes.
También mejorará el proceso de verificación en su conjunto y permitirá la autenticación en caso de impago.
Una de estas aplicaciones es a través de los monederos móviles.
A medida que los pagos por móvil han ido ganando popularidad en los últimos años, también lo ha hecho el uso de los monederos móviles (o eWallets). Proporcionan una plataforma práctica para almacenar dinero de forma segura y procesar pagos en línea con rapidez.
Según un estudio realizado por Mastercard, en el 75% de todas las conversaciones en las redes sociales que se siguieron, se mencionaron de alguna forma las carteras digitales. Otra encuesta realizada por Points reveló que casi el 100 % de los consumidores utilizaría un monedero móvil con más frecuencia si ofrece algún tipo de recompensa por fidelidad.
Una gran ventaja de los monederos móviles es la posibilidad de que los usuarios almacenen los datos de sus tarjetas de crédito o débito en la aplicación. De este modo, se pueden realizar transacciones a través de la plataforma sin tener que introducir los datos de la tarjeta cada vez que se realiza un pago.
Aquí es donde entra en juego la funcionalidad adicional de 3DS 2.0. Permite que el proceso de autenticación se lleve a cabo en la aplicación móvil del comerciante, proporcionando la capa extra de seguridad en el momento en que el usuario introduce los datos de su tarjeta en la plataforma para su uso posterior.
Significa que el proceso de autenticación se ha desplazado del entorno de pago a un entorno de no pago aprobado por el emisor.
El proceso de autenticación también será coherente con el resto de la experiencia dentro de la aplicación, lo que resultará menos alarmante para los usuarios.
Los proveedores de monederos móviles pueden verificar la autenticidad del usuario tomando prestada la inteligencia del banco emisor a través de una simple conexión al Servidor de Directorio utilizando un Servidor 3DS en conjunción con el SDK Móvil de proveedores aprobados
El desarrollo de PSD2 (la segunda Directiva de Servicios de Pago de la Unión Europea) ha visto un fuerte solapamiento con ciertas funciones del nuevo protocolo 3D Secure 2.0, especialmente cuando se trata de SCA (Strong Customer Authentication), incluyendo TFA (Two Factor Authentication) y OTP's (One Time Passwords).
Las nuevas normas de la DSP2 establecen que se exigirá una SCA para los pagos electrónicos superiores a un determinado importe (unos 10 euros). Definen SCA como "el uso de dos o más elementos categorizados como conocimiento (algo que solo el usuario sabe), posesión (algo que solo el usuario posee) y herencia (algo que el usuario es) que son independientes, en el sentido de que el incumplimiento de uno no compromete la fiabilidad de los otros".
Esto es básicamente la AMF (autenticación multifactor), que incluye OTPs, autenticación biométrica como huellas dactilares o reconocimiento facial, y códigos QR que pueden ser escaneados por aplicaciones móviles.
Cuando se ponga en marcha la nueva Directiva de Pagos, los bancos y otras instituciones financieras tendrán que cumplir la normativa de la SCA.
Así, si el comerciante detecta que un usuario sin historial de transacciones utiliza una tarjeta nueva en el sistema, es probable que el riesgo se considere alto y se exija el proceso de autenticación.
La buena noticia para comerciantes y emisores es que este proceso de autenticación sin pago ya se exige en 3DS 2.0 y, por tanto, está plenamente alineado con los principios establecidos en PSD2.
Si el protocolo 3DS 2.0 ya está adoptado en la plataforma de un comerciante, permitirá cumplir fácilmente el PDS2 con poca o ninguna personalización, lo que permitirá a todas las partes implicadas seguir luchando contra el fraude sin esfuerzo.
Los mismos servidores ACS que los bancos utilizan en sus controles SCA pueden utilizarse en los pagos en línea que requieren la autenticación 3D Secure. Incluso podría tener sentido que los bancos cambiaran a un servidor ACS 3D Secure 2.0.
Jonathan Main, Presidente del Consejo de Administración de EMVCo, ha declarado: "Además de la seguridad, la experiencia del consumidor es fundamental para el trabajo de EMVCo".
Al ofrecer la opción de autenticación sin pago aprobada por el emisor, 3DS 2.0 acerca aún más a comerciantes y emisores a la implantación de una experiencia de cliente sin fricciones.
Además, permite a los comerciantes dar una capa adicional de seguridad a los pagos en línea a través de una gama más diversa de canales, aparte de las transacciones basadas en el navegador.
Y, por último, la autenticación de impagos en 3DS 2.0 no sólo ayuda a los comerciantes a cumplir sin esfuerzo con la gobernanza de pagos, como PSD2, sino que realmente trabaja junto con los reguladores para crear un entorno en línea aún más seguro para los clientes.