El próximo año entrará en vigor la Autenticación Reforzada de Cliente (ARC) para dotar de mayor seguridad al sistema de pagos online actual. Para el cliente supondrá tener que dar nuevos datos a la hora de pagar, ya que no será suficiente con introducir el número de la tarjeta de crédito. Por ello, hemos hablado con Borja Santos, director general de Stripe en España y Portugal.
Los riesgos para la economía europea son altos, ya que, en los primeros doce meses de la entrada en vigor de la norma, podrían perderse unos 57.000 millones de euros. Esto supone el 10% del total de las compras online que la Unión Europea calcula que se facturarán en 2019.
La Autenticación Reforzada de Cliente (conocida como ARC) entra en vigor el próximo año, ¿qué supone para el consumidor?
El mayor cambio que los usuarios van a notar es que la Autenticación Reforzada de Clientes exige que la mayoría de las transacciones europeas online por encima de 30 euros se verifiquen doblemente. Si antes bastaba con un número de tarjeta y una dirección para hacer algo tan sencillo como pedir un taxi o pagar online una factura de la luz, ahora, se tendrá que incluir al menos dos de los tres factores siguientes: algo que saben (como una contraseña o PIN), algo que poseen (como un token o un smartphone), y algo que son (como una huella digital o rasgos faciales biométricos).
En otras palabras, un número de tarjeta y una fecha de caducidad ya no serán suficientes para realizar ni siquiera el más simple de los pagos. Esto puede generar una mayor fricción en el entorno de los pagos, pero en última instancia, lo que permite es mayor seguridad para todos.
A la hora de hacer una compra online, ¿se tardará más?
La entrada en vigor en Europa de la Autenticación Reforzada de Clientes implicará pasos adicionales en el proceso de pago.
Las empresas online han trabajado duro en el pasado para hacer que los pagos sean invisibles (cuando reservas un taxi, una habitación de hotel o un vuelo y puedas hacerlo con solo un click) y el reto más importante para las empresas será asegurar una buena experiencia de cliente y preservar que sus clientes no tengan que preocuparse de introducir nuevos datos bancarios o cualquier otra información que dificulte la conversión. Una mala experiencia de pago podría reducir los ingresos de las empresas entre un 10 y un 15%.
En este sentido, la Autenticación Reforzada de Clientes contempla un conjunto de exenciones, que permiten, por ejemplo, aprobar pagos recurrentes o pequeñas compras (inferiores a 30 euros) y evitar que la experiencia de pago se vuelva demasiado compleja.
¿Qué requisitos tiene que cumplir un comprador con esta normativa o qué datos necesitará proporcionar?
La ARC busca hacer que los pagos online sean más seguros para los consumidores y crear sostenibilidad para las empresas. De este modo, con la implantación de la ARC, los consumidores tendrán que confirmar su identidad con nuevos datos.
¿Por qué la economía europea podría perder hasta 57.000 millones de euros como consecuencia de esta nueva regulación?
La Autenticación Reforzada de Cliente es un elemento de la regulación que se encuentra muy descentralizado e implica a muchos actores: reguladores locales, emisores de pago (Visa, Mastercard…), bancos emisores (más de 6.000 en toda Europa), proveedores de pago y merchants. Si uno de estos agentes de la cadena de valor no está preparado para la ARC cuando llegue la fecha límite significa que las transacciones podrán fallar o si la experiencia de pago es demasiado compleja, se abandonará el sitio web. Según un informe realizado por 451 Research para Stripe, la economía europea se arriesga a perder 57.000 millones de euros en los primeros 12 meses tras la entrada en vigor de la Autenticación Reforzada de Cliente. Esta cifra representa cerca del 10% de las compras online previstas en la Unión Europa en 2019.
Una planificación cuidadosa es esencial para cumplir con los requisitos (las transacciones que no cumplan con los requisitos serán automáticamente rechazadas por el banco del titular de la tarjeta) y minimizar el impacto en la conversión. Cuando se introdujo una regulación similar en la India en 2014, algunas empresas informaron de una caída de la conversión de un día para otro de más del 20%.
¿Por qué afectará más a las pequeñas y medianas empresas?
La Autenticación Reforzada de Clientes es un asunto extremadamente complicado. Parece algo abstracto y lo cierto es que es algo muy difícil de resolver para las empresas por sí mismas. Es un poco parecido a lo que ocurrió el año pasado con GDPR, muchas compañías ignoraron el asunto durante demasiado tiempo y, cuando se quisieron dar cuenta se encontraron en el último minuto corriendo para cumplir con la normativa. Si tenemos en cuenta que ahora estamos hablando de pagos, es algo que con la Autenticación Reforzada de Clientes hay que evitar por todos los medios.
Las pymes normalmente están muy limitadas en cuanto a recursos y tiempo para invertir en equipos dedicados a esta materia o a crear la infraestructura tecnológica necesaria. Además, es probable que la persona que gestiona los pagos sea el CEO de la compañía y el CFO o el CTO a la vez, y tenga demasiadas cosas en la cabeza.
La Autenticación Reforzada de Clientes tendrá un impacto diferente también en función del tamaño de la empresa y será desproporcionado en las PYMES. Datos de nuestro estudio concluyen que tres de cada cinco empresas con menos de 100 empleados no están familiarizadas con la Autenticación Reforzada de Clientes, no planean cumplir con la norma antes de septiembre o no están seguras de cuándo estarán listas. Esto contrasta mucho con las grandes empresas de más de 5.000 empleados, en las que sólo 1 de cada 25 profesionales de pago no lo sabe.
¿Cuánto gasto supone para una pyme implementar esta normativa?
Si trabajas con un proveedor como Stripe, cumplir con la normativa no cuesta nada. Pero si tu proveedor no te ayuda a cumplir con la ARC, entonces la carga la asumen los comerciantes.
El coste real no es tanto prepararse para la ARC, si no los ingresos que perderías como empresa si no estás listo cuando la regulación se aplique. Compáralo con la fontanería. La mayor parte de las filtraciones provienen de una tubería vieja.
¿Cuáles son las razones de la Unión Europea para implementar esta reforma?
En un contexto global, el fraude es la plaga del ecommerce y cualquier intento de reducirlo es beneficioso para las compañías a largo plazo. La Autenticación Reforzada de Clientes ha sido diseñada para ayudar a estimular la innovación en la autenticación de pagos en los próximos 5 años. La legislación también está diseñada para recompensar a los proveedores de pagos que generan índices de fraude más bajos, lo que ayudará a todo el sector a mejorar.
Europa ha sido desde hace mucho tiempo pionera en la innovación del comercio electrónico (consideremos la implantación de las normas EMV hace más de una década, mientras que en EEUU siguen jugando a ponerse al día incluso hoy) y Autenticación Reforzada de Clientes puede ser otro ejemplo de que el mundo sigue los pasos de Europa. En términos más generales, hacer que la economía de internet sea más segura es esencial para su crecimiento a largo plazo. A medida que aumenta la confianza del consumidor, también aumenta el gasto online. Si bien la Autenticación Reforzada de Clientes plantea un reto importante para el comercio electrónico europeo a corto plazo, podría convertirse en un hito significativo en el camino hacia el aumento del comercio online en Europa y el aumento del PIB de internet.