El protocolo 3D Secure lleva 16 años dando tranquilidad a los clientes al proporcionar una capa adicional de seguridad en las transacciones en línea con tarjeta no presente.
También ha protegido a los comerciantes de devoluciones fraudulentas al verificar la identidad del titular de la tarjeta en el punto de pago a través del banco emisor.
A pesar de las ventajas de proteger tanto a comerciantes como a clientes, el proceso ha dado lugar a una relación de amor/odio entre el protocolo 3DS y los usuarios. Es casi como tomar una medicina: sabes que es por tu bien y que te protegerá contra la amenaza de una enfermedad, pero es un coñazo acordarse de tomarla y puede dejarte mal sabor de boca.
Es casi como tomar medicinas: sabes que son por tu bien y que te protegerán contra la amenaza de enfermedades, pero es un fastidio acordarse de tomarlas y pueden dejarte un mal sabor de boca.
Aunque la amenaza de la delincuencia y el fraude a través de los pagos en línea está ampliamente reconocida, lo cierto es que la mayoría de los compradores en línea no han tenido que enfrentarse a ella directamente.
Por lo tanto, cuando se enfrentan a los pasos de autenticación en la fase de pago, o bien lo consideran innecesario y no lo ven más que como una irritación, o todo lo contrario: podrían no estar familiarizados con el proceso y verlo como una amenaza para la seguridad cuando se les pide que proporcionen información adicional.
Ambas circunstancias tienen un efecto perjudicial en la experiencia del cliente y pueden hacer que éste abandone la transacción. Esto tiene un impacto directo en las tasas de conversión y, como resultado, los comerciantes podrían no estar tan dispuestos a adoptar el protocolo en primer lugar.
El problema es que el fraude en línea no va a ninguna parte. De hecho, está empeorando, ya que los defraudadores están buscando formas más sofisticadas de secuestrar nuestros pagos en línea.
Por lo tanto, la seguridad que aporta 3D Secure es cada vez más relevante a medida que pasa el tiempo.
EMVCo está abordando estas preocupaciones de frente con la especificación 3D Secure 2.0.
Esto incluye una completa integración móvil con el desarrollo de SDK, lo que permite a los comerciantes integrar fácilmente el proceso de autenticación 3D Secure en sus aplicaciones móviles.
Esto ha mejorado enormemente la experiencia 3DS en dispositivos móviles y ha permitido a los comerciantes proteger a sus clientes contra el fraude en una mayor variedad de plataformas.
3DS 2.0 también permite la autenticación sin pago, por ejemplo, cuando los usuarios introducen los datos de su tarjeta en un monedero móvil.
Un fuerte enfoque en SCA como la autenticación de dos factores (por ejemplo, contraseñas de un solo uso y autenticación biométrica) también significa que el protocolo está en línea con regulaciones como PSD2, lo que facilita el cumplimiento de las instituciones financieras que adoptan 3DS 2.0.
Por lo tanto, la seguridad que aporta 3D Secure es cada vez más relevante a medida que pasa el tiempo.
La autenticación basada en el riesgo es simplemente el proceso de determinar el riesgo asociado a una transacción concreta y, en función del nivel de riesgo, si se debe o no desafiar al usuario con los pasos de autenticación adicionales.
Al admitir intercambios de datos más ricos y datos adicionales compartidos durante las transacciones en línea, 3D Secure 2.0 mejora la capacidad de autenticación basada en el riesgo de comerciantes y emisores.
Los elementos de datos adicionales en el momento de la transacción pueden ser utilizados tanto por el emisor como por el comerciante para tomar una decisión más informada sobre la conveniencia o no de seguir adelante con los pasos de autenticación 3D Secure.
Estos elementos basados en el riesgo incluyen:
El valor de la transacción
Cliente nuevo o existente
Historial de transacciones
Historial conductual
Información sobre el dispositivo
Así, si el comerciante detecta que un usuario sin historial de transacciones utiliza una tarjeta nueva en el sistema, es probable que el riesgo se considere alto y se exija el proceso de autenticación.
Sin embargo, si el comerciante ya tiene la tarjeta en el sistema y el usuario ha realizado pagos anteriormente a través de la plataforma, el riesgo será bajo y se podrá eludir la autenticación 3D Secure para completar la transacción.
Del mismo modo, si el cliente tiene un historial de compras con la plataforma, pero tal vez la esté utilizando en un nuevo dispositivo que no ha usado antes, el comerciante podría decidir exigir la autenticación a través de 3DS, ya que ahora hay una variable desconocida.
Gracias a la autenticación basada en el riesgo realizada en el ACS, el flujo sin fricción permite a los emisores aprobar una transacción sin necesidad de interactuar con el titular de la tarjeta.
Cuando el cliente realiza una compra en línea, añade un artículo a su cesta de la compra, rellena la información de compra habitual y procede a confirmar la compra.
Los detalles de la compra, incluidos los datos del dispositivo, el artículo adquirido y el valor, se envían al servidor ACS para determinar la autenticidad del titular de la tarjeta.
A continuación, el ACS lo examinará con los elementos basados en el riesgo. Si se considera que el riesgo es bajo, el ACS puede autenticar al cliente de forma pasiva y no molestarle con la confirmación adicional.
Se trata de un proceso sin fricciones para el cliente, ya que se realiza entre bastidores. Se les dirige directamente a la pantalla de confirmación de la compra, sin ni siquiera saber que su transacción ha sido examinada.
La plataforma del comerciante sólo exigirá autenticación adicional si el riesgo es alto. Mediante el uso de la autenticación basada en el riesgo, el plan con 3D Secure 2.0 es que esto ocurra sólo en un pequeño porcentaje de las transacciones.
Para los clientes, la ventaja es saber que sus pagos están protegidos y seguir disfrutando de una experiencia de compra sencilla y sin interrupciones.
La ventaja para los comerciantes es que siguen obteniendo los beneficios de implantar el protocolo 3D Secure en su plataforma, como la protección frente a devoluciones fraudulentas, pero al mismo tiempo se aseguran de que sus clientes están protegidos frente a transacciones no autorizadas.
El cliente tiene una experiencia sin fricciones a través de la plataforma del comerciante al no tener que enfrentarse a ningún reto. Esto significa que la tasa de abandono debida al protocolo 3DS se reducirá drásticamente y el cliente volverá encantado a la plataforma del comerciante.
Las transacciones no sólo serán más seguras gracias a la aplicación de métodos de protección reforzados, como la autenticación de dos factores, sino que la experiencia del usuario también mejorará considerablemente gracias a flujos sin fricciones a través de una autenticación basada en el riesgo.
Permite a los comerciantes ofrecer protección en múltiples plataformas con una fácil integración en sus sistemas, incluidas las aplicaciones móviles, sin dejar de aprovechar las ventajas que ofrece el protocolo. También se estima que las tasas de abandono de carritos disminuirán drásticamente.
Los emisores pueden compartir y recibir más datos con los comerciantes, lo que les proporciona una mayor visión de los patrones transaccionales que les permitirá determinar el riesgo con mayor precisión y, por tanto, mejorar el proceso de autenticación. 3DS 2.0 también ofrecerá a los bancos la oportunidad de cumplir sin esfuerzo los requisitos de la PSD2.
Para los clientes, las actualizaciones son quizá las más beneficiosas. Ahora pueden disfrutar de protección frente a transacciones fraudulentas en la mayoría de las plataformas.
Las transacciones no sólo serán más seguras gracias a la aplicación de métodos de protección reforzados, como la autenticación de dos factores, sino que la experiencia del usuario también mejorará considerablemente gracias a flujos sin fricciones a través de una autenticación basada en el riesgo.
Mike Lemberger, Vicepresidente Senior de Visa, resumió perfectamente las mejoras;
"Al ayudar a liderar el desarrollo de 3DS 2.0, podemos ofrecer un servicio de autenticación mejorado que hace que estos pagos sean más rápidos y seguros. Para los minoristas europeos, esto ayuda a abordar el reto actual de reducir el abandono de carritos en un mercado de comercio electrónico. Esta actualización también proporciona todas las herramientas necesarias para garantizar el cumplimiento de la PSD2 para los pagos con tarjeta, un beneficio importante que no debe subestimarse."