Lo que las empresas deben saber al considerar 3D Secure 2.0

What Merchants Should Know When Considering 3D Secure 2.0

Últimamente la prensa y el mundo del comercio electrónico no han dejado de hablar de los protocolos de autenticación de pagos. ¿Por qué? Porque el protocolo de autenticación de pago sin tarjeta presente, que llevaba vigente desde hace décadas, se actualizó a principios de año. Además, el PSD2 será efectivo a partir del 14 de septiembre, obligando a que las empresas de eCommerce europeas incorporen una autenticación reforzada del usuario.

En esta publicación explicaré qué significan estas siglas, para qué empresas son relevantes y qué deben considerar antes de decidir agregar estos protocolos a sus procesos de pago.

¿Qué es 3D Secure (3DS)?

3D Secure, que también se conoce como autenticación 3-D Secure, 3DS o 3-D Secure, significa tres dominios seguros. Es un protocolo de seguridad que agrega una capa de autenticación en el proceso de pago en línea sin presencia de tarjeta, para  verificar la identidad de los titulares de tarjetas antes de la autorización. El propósito del 3DS es proteger la tarjeta de crédito de un comprador contra el uso no autorizado al comprar por internet. Para ello involucra a tres partes o tres dominios: el banco adquirente (o el banco de la empresa), el banco emisor (o el banco del titular de la tarjeta) y la infraestructura que soporta este protocolo, como Internet, el Mercant Plug-In (MPI) y otros proveedores de software.

La primera versión de 3DS (también conocida como 3DS1 o 3DS 1.0) se creó en 1999, en los primeros días del comercio electrónico cuando el ordenador personal era el único canal de compras por internet disponible. Las redes de tarjetas implementaron 3DS1 en 2001 bajo marcas como Verified by Visa o Mastercard Identity Check.

Funciona así: cuando los consumidores ingresan los detalles de su tarjeta para confirmar el pago en un comercio electrónico, los bancos emisores determinan el riesgo de fraude de las transacciones en función de hasta 15 puntos de datos básicos, como la moneda utilizada en la transacción y el usuario-agente del navegador web. Si se determina que es una transacción arriesgada, aparecerá una ventana emergente que requerirá que el consumidor ingrese una contraseña para verificar su identidad con el banco que emitió su tarjeta.

Los consumidores deben registrarse en 3DS1 para tener una contraseña o código permanente para autenticarse. Los que no están inscritos son dirigidos a la página de pago de la empresa y al sitio web del banco emisor para poder registrarse y configurar sus credenciales. En caso de que el consumidor se niegue a inscribirse más allá de un número designado de opciones de exclusión voluntaria, se le podría prohibir que realice compras en línea en las páginas webs de minoristas que utilizan un registro pendiente de 3DS.

La mayor ventaja para las empresas en el uso de 3DS fue el cambio de responsabilidad con la promesa simultánea de una reducción del fraude. Al hacer que los titulares de tarjetas se autentiquen ante el banco que emitió su tarjeta de crédito o débito, la responsabilidad del fraude se desvió del comerciante hacia el emisor de la tarjeta, reduciendo las devoluciones de cargo al comerciante.

Lamentablemente, la promesa no se cumplió del todo. Los emisores adoptaron el enfoque de “mejor prevenir que lamentar”, optando por errar por el lado de la precaución y rechazando una transacción para evitar posibles fraudes. Esto contribuyó a que se perdieran unos $118 mil millones en 2014 debido a falsos rechazos. 

Parte de la razón por la que los emisores sufrieron con los falsos rechazos es que las transacciones se evaluaron contando solo con 15 puntos de datos, en lugar del amplio rango de información en torno a un comprador que los empresarios recopilan. Además, los empresarios tampoco tuvieron acceso a información o análisis sobre los compradores después de la compra, ya que los datos se capturaron directamente desde el navegador del titular de la tarjeta sin pasar por el sistema del comerciante. 

Otra limitación a la que se enfrentaron las empresas fue que una vez que decidieron usar 3DS1, tuvieron que usarlo para todas las transacciones donde se admitía 3DS. Esta falta de flexibilidad llevó a algunos comerciantes a abandonar todo el sistema 3DS.

Pero hubo un problema aún mayor: el proceso de pago era tan torpe y obsoleto que llevó a los empresarios a perder ventas y a los emisores a perder transacciones. 3DS1 se diseñó solo para la autenticación del navegador web y no para compras realizadas desde dispositivos móviles. Además, el uso de contraseñas permanentes para registrar a clientes en 3DS1 creó una experiencia engorrosa para el usuario, que frecuentemente produjo que abandonara su compra, produciendo también un aumento de los costos operacionales para los emisores debido a las llamadas de los clientes solicitando restablecer la contraseña.

Para el 2017, solo el 18% de las transacciones de EE.UU utilizaban 3DS. El 3DS generó tanta fricción que las tasas de abandono de compra llegaron a superar el 50% en países como Brasil. Lo peor fue que pese a toda la fricción generada por el uso de 3DS 1.0 el fraude no se redujo. Hace dos años, el Banco de la Reserva Federal de Minneapolis descubrió en una encuesta hace dos años que menos de un tercio de los bancos con un billón o más en activos utilizan 3DS.

3-D Secure 2.0 llega … casi dos décadas después.

El objetivo es resolver las muchas deficiencias del 3DS1 y ofrecer una adaptación en relación al cambiante panorama regulatorio del comercio electrónico y las transacciones con tarjeta no presente. EMVCo, una organización formada por seis grandes redes de tarjetas, ha lanzado la nueva versión, 3D Secure 2, también conocida como como EMV 3-D Secure, 3-D Secure 2.0, 3D Secure 2.0 o 3DS2.  Hasta la primavera de 2019, los bancos emisores han podido completar su integración al 3DS2 

3DS2 es la primera actualización que se realiza desde el 2001, seis años antes de la llegada del primer iPhone y casi 20 años desde la creación del protocolo. Ahora piense en la frecuencia con la que tiene  que actualizar las aplicaciones de su teléfono inteligente y de los sistemas operativos para hacerse una idea de lo desfasado que estaba el producto.

EMVCo afirma que los principales cambios de 3DS1 a 3DS2 es que ofrece una mejor experiencia para el usuario y al mismo tiempo reduce el fraude. En lugar de una contraseña estática, los usuarios pueden autenticarse con un código de acceso único que se envía a un número de teléfono móvil asociado con la cuenta o también pueden hacerlo con datos biométricos como la huella digital, el reconocimiento facial o el de voz. La actualización tecnológica crea una conexión de datos entre comerciantes, redes de pago e instituciones financieras para analizar hasta 150 elementos de datos y compartir más información sobre las transacciones. El 3DS2 no solo acepta navegadores sino también aplicaciones móviles.

¿Adoptar o no adoptar 3DS2?

3DS2 es solo relevante para los comerciantes que comercien en el mercado europeo, ya que deben cumplir con las regulaciones gubernamentales de la Directiva de Servicios de Pago, más conocida como PSD2, que entra en vigencia el 14 de septiembre de 2019.  El PSD2 se aplica solo a los pagos de la UE a la UE y obliga a la Autenticación Reforzada del Usuario (SCA, por sus siglas en inglés) o la autenticación de dos factores para pagos electrónicos. 

Para los comerciantes que no tienen presencia en Europa o en cualquier otro mercado donde se requiera una autenticación de dos factores, como el 3DS, el valor de este protocolo es más cuestionable. Por eso, menos del 2% de las transacciones de eCommerce en Estados Unidos y menos del 5% de las transacciones australianas utilizan 3DS en la actualidad, según Aite Group.

Con PSD2 o no, las redes de tarjetas están promocionando el 3DS2 como una solución sin fricción para el fraude en línea sin tarjeta. Afirman que el 3DS2 reducirá los falsos rechazos y aumentará las tasas de aprobación, pero hay 5 cosas que los comerciantes deben tener en cuenta cuando compran un sistema de administración de fraude independiente:

1. Adaptabilidad a un mercado y a una industria que cambian rápidamente

Como explicamos anteriormente, las redes de tarjetas no actualizaron su tecnología de revisión de fraude durante casi 20 años. Su mayor foco de promoción es anunciar que las críticas a los fallos técnicos que se hicieron al 3DS1 se han corregido en el 3DS2, aumentando diez veces más los puntos de datos que se analizan. Pero el hecho de que los emisores puedan revisar una mayor cantidad de datos, no significa necesariamente que sepan cómo gestionarlos y qué hacer con ellos.

Hay  un gran riesgo en que los comerciantes confíen sus ingresos en redes de tarjetas que no han innovado en décadas y en bancos emisores que aún están en el proceso de integrar el 3DS2. ¿Cómo pueden saber los comerciantes que el 3DS2 está preparado para no tener problemas técnicos en las horas punta?

2. Tasas de conversión

Las redes de tarjetas como Visa, Mastercard y otras del mismo estilo, afirman que mejorarán las tasas de aprobación y reducirán los abandonos de compras y las tasas de entrega de los compradores, pero lo cierto es que no tienen datos de rendimiento tangibles que demuestren que el 3DS2 cumple lo que promete.

La mayoría de los emisores necesitan migrar a 3DS2 antes de que podamos obtener datos, y eso puede llevar un tiempo. Lo que ya sabemos es que, en la mayoría de los casos, el 3DS2 añade otro paso en el proceso de pago, que puede excluir a clientes legítimos. Los comerciantes saben mejor que nadie lo letal que puede ser un paso adicional en el proceso de pago.

3. ¿Cambia la responsabilidad realmente?

Uno de los atractivos que ha hecho que muchas empresas de eCommerce integren 3DS ha sido dejar de ser responsables de los contracargos producidos por transacciones fraudulentas, pero el cambio a 3DS no cubre todas las transacciones.

Para Visa y Mastercard, 3DS puede dar como resultado 5 escenarios: autenticación exitosa, intento de autenticación, fallo de autenticación, autenticación no disponible y error. El cambio de responsabilidad se produce solo cuando la autenticación fue exitosa, seguida de un contracargo. Si la autenticación falla, ocurre un error, o si la autenticación no está disponible, la responsabilidad del contracargo sigue siendo del comerciante.

También hay una distinción en las reglas de cambio de responsabilidad, según el proveedor de tarjetas con el que trabaje un comerciante. Cuando una tarjeta específica no está inscrita en 3DS, Visa asume la responsabilidad por cualquier contracargo fraudulento. Con Mastercard, la responsabilidad recae en el comerciante. Estas “reglas” pueden complicars, y recomendamos encarecidamente a los comerciantes que consulten con los bancos emisores sobre las distinciones.

4. Proveedores de investigación

Los comerciantes deben trabajar en consonancia con los proveedores de 3DS (puertas de enlace y procesadores de pago). El comerciante ha de compartir más puntos de datos con los bancos emisores de lo que solía compartir con el 3DS1. El comerciante debe verificar si puede acceder a los preciados datos de transacciones posteriores a la compra que se procesan a través de 3DS2. La cantidad de veces que se le presentó a un comprador la página de verificación 3DS y el porcentaje de pedidos que fueron protegidos puede proporcionar información valiosa de la industria sobre el comportamiento del cliente. Esa información también puede proporcionar a los analistas de fraudes estadísticas importantes sobre actividades fraudulentas.

Por lo tanto, asegúrese de preguntar si los proveedores manejan de forma segura estos valiosos datos que usted compartirá con ellos y de cuánta información obtendrá a cambio. También pregunte si los proveedores admitirán tanto 3DS1 como 3DS2. ¿Los proveedores le garantizan una integración fácil en su plataforma eCommerce?

5. Falta de experiencia

Es importante insistir en este punto: ¿puede confiar en la tasa de precisión de emisores de tarjetas que no tienen ninguna experiencia en procesar más de 15 puntos de datos por transacción para determinar la legitimidad de un comprador? ¿Será realmente transparente el proceso de decisión del emisor?

El conocimiento es poder. Los comerciantes deben hacer su investigación sobre si 3DS es adecuado y suficiente para sus necesidades, y de hecho verificar todo lo que 3DS2 pretende ofrecer. La confianza y la seguridad son fundamentales para que los comerciantes se aseguren de que su marca y los ingresos obtenidos con tanto esfuerzo se salvaguarden. Póngase en contacto para obtener más información sobre los principales comerciantes que confían en Riskified para aprobar más pedidos, asumir la responsabilidad de devolución de cargo y administrar el riesgo.

Los comerciantes deben asegurarse de si el 3DS es adecuado para sus necesidades y verificar todo lo que 3DS2 pretende ofrecer. La confianza y la seguridad son fundamentales para preservar la marca y los ingresos que se han obtenido con tanto esfuerzo. Póngase en contacto con nosotros para obtener más información sobre las empresas que confían en Riskified para aprobar más pedidos, asumir la responsabilidad de los contracargos y gestionar el riesgo.