Una de las principales preocupaciones a las que se enfrenta el titular de un sitio web de comercio electrónico es el fraude con tarjetas de crédito. Según datos del Banco de España (2017), el importe anual de las operaciones fraudulentas realizadas por este canal superó los 18 millones de euros solo en nuestro país, lo que permite calibrar la magnitud del problema.
La Unión Europea decidió abordar la situación a través de la llamada Segunda Directiva sobre Servicios de Pago (más conocida como PSD2), en virtud de la cual se han introducido una serie de obligaciones de autenticación reforzada del cliente (SCA, por su acrónimo en inglés) a la hora de realizar pagos con tarjeta de crédito, que entraron en vigor el pasado 14 de septiembre. Sin embargo, el masivo desconocimiento de la norma por parte de los comerciantes y la complejidad del mercado de pagos han conducido a las autoridades a conceder a los operadores un «tiempo adicional limitado» para migrar a soluciones que cumplan con los requisitos de esta normativa. Todo indica que el Banco de España fijará esta «moratoria» en solo catorce meses: de ahí que sea fundamental que los sitios web se vayan adaptando con urgencia a esta nueva realidad.
Como decíamos, el objetivo de la Directiva es reforzar y actualizar cuestiones relativas a la seguridad de pagos online y a los derechos de los consumidores, aumentando así la protección contra fraudes en operaciones realizadas a través de Internet. Unos de los que más van a notar esta norma son los marketplaces que perciban pagos de los compradores y los entreguen a los vendedores, pues si no modifican su operativa, pueden llegar a convertirse en «proveedores de servicios de pago» y necesitar una licencia para desarrollar su actividad, con la complejidad que de ello se deriva; pero también se introducen obligaciones como la rectificación inmediata en operaciones no autorizadas adecuadamente por los usuarios, la integración de las plataformas de pago en las propias páginas de los eccommerce o la responsabilidad por operaciones no autorizadas (reduciéndose la cantidad máxima que deben soportar los usuarios / víctimas de 150 a 50 euros).
Sin embargo, el grueso de la regulación recae sobre las entidades bancarias y prestadores de servicio de gestión de pagos, como consecuencia de las obligaciones de SCA. En esencia, exige que la autorización de una determinada operación online venga condicionada a la comprobación de la identidad del usuario con al menos dos de los siguientes métodos:
- Algo que el usuario tenga, como un teléfono móvil o una tarjeta física.
- Algo que el usuario conozca, como una contraseña o un código PIN.
- Algo que sea inherente al usuario, como su huella dactilar o el reconocimiento facial.
De este modo, puede afirmarse que esta Directiva trata de estandarizar los procesos de autenticación en las operaciones de pago online, estableciendo un marco común y aumentando su seguridad. No obstante, existen ciertas operaciones exentas de la doble comprobación, como pueden ser:
- Las transacciones que no superen los 30€, siempre y cuando el importe de la última transacción autenticada sea inferior o igual a 100€ y el número de transacciones inferior o igual a cinco.
- Los pagos periódicos o suscripciones, siempre y cuando el primer pago haya sido realizado mediante doble autenticación.
Si bien a priori puede parecer que estas cuestiones incumben únicamente a bancos o proveedores de pagos, como comentábamos se trata de una cuestión que afecta directamente a cualquier titular de un comercio electrónico, ya que en caso de fraude o falta de implantación de estas medidas, la responsabilidad recae sobre el propio titular. En consecuencia, es totalmente recomendable informarse acerca de los términos suscritos con nuestra entidad y consultar con ella el modo de realizar la implantación y de dar posterior cumplimiento a los requisitos exigidos normativamente.
¿Eso es todo? En absoluto. No queremos dejarnos en el tintero otras cuestiones que, directa o indirectamente, están relacionadas con la Directiva PSD2. Así, resulta fundamental adaptar el ecommerce a la normativa de protección de datos, que impone una serie de obligaciones al titular del sitio web, en su condición de responsable de tratamiento de los datos de sus clientes, entre otras cuestiones. Del mismo modo, es necesario cumplir con los deberes de información que la legislación de consumidores y usuarios y de sociedad de la información imponen, sin mencionar que también resulta imprescindible contar con unos buenos términos y condiciones generales de compra o contratación que establezcan unas reglas claras para la venta de productos y servicios en nuestra plataforma.
En resumen, son varias las cuestiones a tener en cuenta para dar cumplimiento a PSD2, y de entre ellas, destaca la necesidad de implantar un sistema eficaz de doble autenticación; no solo por cumplir con los estándares exigidos normativamente, sino también por tratarse de una cuestión inexcusable que tiene como objeto garantizar la integridad y seguridad de nuestro servicio. Ahora bien, sin dejar de lado el resto de obligaciones aplicables a nuestra plataforma, para evitar que la sorpresa legal nos llegue por otro cauce, y al final resulte que el incumplimiento de PSD2 no sea más que la punta del iceberg.