Comprar a través de internet es más seguro desde el 1 de enero, aunque también es un proceso más tedioso y complicado. El motivo es la entrada en vigor para el comercio electrónico en España de la autenticación reforzada de clientes (SCA, por sus siglas en inglés). Esta medida, incluida en la Directiva Europea de Servicios de Pago (PSD2), fue ideada para mejorar la seguridad de los pagos online y la confianza de los usuarios, pero implica que los consumidores están obligados a realizar más pasos para verificar su identidad antes de poder finalizar una compra.
“Cuantas más trabas se le ponen a un consumidor en la compra online más fácil es que la abandone. Y si esas dificultades se añaden en el momento final del pago, la posibilidad es todavía mayor”, asegura a Consumidor Global Carlos Torme, director de expansión de la Asociación de Fabricantes y Distribuidores (Aecoc). De hecho, se calcula que en España peligran casi 15.600 millones de euros en ventas electrónicas debido a este cambio, según apunta la consultora CMSPI, que también señala que en el conjunto de Europa la cifra de ventas “en riesgo” asciende a 96.238 millones de euros.
El proceso de verificación
“Hasta ahora sólo era necesario introducir el número de tarjeta, la fecha de caducidad y el CVV de la misma para comprar por internet”, explica Javier Bartolomé, de Medios de Pago de la Asociación Española de Fintech (AEFI). Sin embargo, la autenticación reforzada se basa en tres pilares, de los cuales deben cumplirse al menos dos para poder finalizar el proceso de pago online: “Algo que sé, algo que tengo y algo que soy”, indica el experto. Así, el primer factor de verificación puede referirse, por ejemplo, a una contraseña, mientras que el segundo apartado puede tratarse de un teléfono móvil y el último aspecto puede ser la huella dactilar u otro tipo de reconocimiento biométrico.
“Cada emisor de tarjeta implementa esto de forma diferente. Algunos envían un código dinámico por SMS al móvil, otros se basan en soluciones biométricas dentro de la aplicación del banco y otros hacen un envío de código a la app de la entidad financiera. Esto hace que, en función de quién emite la tarjeta, haya una forma u otra de aplicar la seguridad”, subraya Bartalomé. Asimismo, este experto estima que, al menos en los primeros momentos de aplicación de la norma, puede haber una caída de entre un 15 % y un 30 % de los pagos online. “Al ser algo que afecta a todo el comercio electrónico en Europa se espera que los usuarios se vayan adaptando poco a poco si quieren poder pagar por internet”, valora.
Falta de preparación
La directiva PSD2 entró en vigor el 14 de septiembre de 2019, sin embargo, la aplicación de la autenticación reforzada que contempla la normativa tuvo una moratoria en su implementación que finalizó el 31 de diciembre de 2020. El motivo de este aplazamiento fue facilitar la adaptación a todos los agentes implicados en la cadena de pagos --que tienen que estar coordinados-- para que se puedan realizar todas las pruebas necesarias y evitar así problemas posteriores. No obstante, la pandemia del coronavirus trastocó los planes de las empresas y muchas de las pruebas se han tenido que posponer, asegura Torme. De hecho, a finales de octubre de 2020, varias organizaciones, entre ellas Aecoc y la Asociación Española de la Economía Digital (Adigital), suscribieron un manifiesto para pedir al Banco de España una ampliación de la moratoria y realizar así más pruebas controladas en entornos reales”. “Pero el Banco de España se negó a retrasar el proceso y mantuvo la fecha límite del 31 de diciembre”, asegura Bartolomé, de Aefi, al respecto.
Además de los agentes que intervienen en la cadena de pago, Torme considera que la ciudadanía tampoco está lista para los cambios y que todavía quedan cosas por pulir. “Al consumidor hay que educarlo y, a pesar de que los bancos han hecho esfuerzos para que sepan que desde el 1 de enero su experiencia de pago ha cambiado, no es una tarea fácil. Buena parte de los usuarios no están preparados para este cambio. Y la experiencia, según algunas pruebas, puede ser mala e, incluso, hay quien piensa que en el proceso de autenticación está siendo objeto de ataques phishing”, relata el director de expansión de Aecoc.
El comercio electrónico, en auge
Una implantación que no sea óptima va a tener un efecto inmediato en el consumidor y va a perjudicar su credibilidad y confianza en el canal online y en los nuevos métodos de pago, señalan los expertos. “Este hecho es especialmente relevante si tenemos en cuenta que durante la pandemia el comercio electrónico ha crecido de manera muy significativa”, defienden las organizaciones que exigían una ampliación de los plazos.
Según la Comisión Nacional de los Mercados y la Competencia (CNMC), el volumen de negocio del comercio electrónico en España alcanzó en el segundo trimestre de 2020 los 12.020 millones de euros. Esa cantidad supone un 0,2 % más en términos interanuales, pero un retroceso del 1,82 % frente al trimestre anterior. Entre mayo y junio de 2020 los sectores de actividad con mayores ingresos fueron el de las prendas de vestir, con el 9,4 % de la facturación total, la suscripción de canales de televisión --4,5 %-- y los hipermercados, supermercados y tiendas de alimentación con el 4,1 %.
Exenciones
Entre las principales garantías de la directiva PSD2 figuran la prohibición de que los comercios realicen recargos por compras realizadas con un pago electrónico y, en caso de ser víctima de un pago fraudulento, la responsabilidad del usuario se limita a los primeros 50 euros gastados antes de notificar la incidencia, cuando el tope anterior era de 150 euros. Además, prevé que las reclamaciones en ese sentido se resuelvan, como mucho, en 15 días.
Por otro lado, los pagos en comercios electrónicos que no superen los 30 euros estarán exentos de tener que realizar el proceso de doble autenticación, explica José Luis Zimmermann, director de Adigital. Sin embargo, cuando se hayan hecho más de cinco operaciones seguidas o se hayan acumulado 100 euros de forma consecutiva --a través, por ejemplo, de cuatro pagos de 25 euros-- sí que será necesario volver a autenticarse. E usuario podrá elaborar una lista con empresas de su confianza que tampoco estarán obligadas a pasar por este proceso, al igual que las transacciones periódicas de una misma cantidad, como, por ejemplo, una suscripción a Netflix o Spotify.