Después del verano movidito que hemos tenido y de un septiembre lleno de incertidumbres, finalmente el 14 de septiembre llego y se fue y aquí nadie aplicó el SCA. Por surrealista que parezca hasta bastantes días después ni la EBA (European Banking Authority) ni el Banco de España confirmaron que la "flexibilidad regulatoria" se acabaría de manera inaplazable el 31 de diciembre del 2020, fecha en que todo el ecosistema de tarjetas tiene que aplicar el SCA.

Opinión de la EBA del 16 de octubre

El 16 de octubre, la EBA publicó una opinión en la que se fijaba efectivamente el 31 de diciembre del 2020 como la fecha límite inamovible para que todo el ecosistema utilice el SCA tal y como define la PSD2.

Cabe notar, que sólo está aceptando este prórroga para pagos basados en tarjetas por la complejidad del ecosistema tecnológico, pero en ningún caso se aplica una prórroga a otros medios de pago que deben ya necesariamente cumplir con la norma.

Contexto y argumentación de la decisión

Durante los meses de julio y agosto la EBA envió una serie de encuestas a los diferentes actores de la industria en cada uno de los países con el objetivo de hacerse una foto real del estado de la cuestión. Tras analizar dichas encuestas, estas sus conclusiones:

  • Se prefiere una fecha armonizada en todo el ámbito europeo para evitar problemas con pagos trasfronterizos.
  • Hay perspectivas muy diferentes entre los diferentes actores:
    • Los emisores y los adquirientes, en la mitad de los países podrían tener soluciones conforme a la norma antes de final de año y la otra mitad durante la primera mitad del 2020.
    • Los comercios sienten que necesitarían (con excepción del sector viajes) unos 3 o 9 meses más.
  • Algunos países prefieren una moratoria adicional de 18 meses para asegurar un despliegue tecnológico completo que, entre otras cosas, tenga completamente desplegado los mecanismos de exenciones al SCA.

La conclusión final de la EBA es que la fecha propuesta del 31 de diciembre del 2020 es suficiente para que se implemente una solución que respete la norma. Acepta que es probable que para entonces no se hayan podido desarrollar las soluciones tecnológicas para implementar las exenciones completamente, pero le da prioridad a cumplir con la norma y comenta que las exenciones se pueden ir incorporando después progresivamente.

Traducción: la entrada en vigor del SCA es probable que presente poco soporte real para las exenciones (especialmente las más sofisticadas) y el 2021 será un año de adaptación constante.

Plan de implementación

Como ya se había indicado previamente, la extensión de la "flexibilidad regulatoria" estaba condicionada a la existencia y ejecución diligente de un plan de implementación para todos los actores y que los NCAs (en nuestro caso el Banco de España) deben monitorizar y exigir.

La nota ha puesto luz sobre lo que significa este plan así como hitos y fechas muy específicos especialmente para emisores y adquirientes. Os resumo a continuación los principales hitos:

  • 31 de diciembre del 2019 - Los emisores y los adquirientes deben enviar al NCA un estado de situación especificando:

    • los actuales medios de autenticación categorizándoles entre acordes o no a la norma;

    • las exenciones al SCA implementadas.

  • 31 de marzo del 2020

    • Los emisores han de enviar un informe al NCA con una serie de métricas sobre las transacciones procesadas y cuál es grado de aplicación de la norma (por ejemplo, nº de operaciones que han ejecutado un SCA real sobre el total de operaciones que deberían haberlo ejecutado según la norma). Este informe tiene que ser enviado de nuevo el 30 de junio y el 30 de septiembre del 2020.

    • Los adquirientes han de enviar un informe similar y además incluir datos del nivel de adaptación de los comercios electrónicos a los que dan soporte.

  • Los emisores tienen una obligación de información continua al resto de actores de los mecanismos de autenticación y excenciones provistos. A partir del 14 de diciembre, cada tres meses deben informar al NCA de dichas campañas informativas. Igualmente los adquirientes están obligados en los mismos plazos y fechas a proporcionar a lo comercios electrónicos toda la información necesaria para hacer los cambios tecnológicos que permitan aplicar la norma.

La EBA da por concluida su misión y en principio ya no tiene nada más que decir al respecto del SCA. Su próximo compromiso es crear un informe de adecuación a la norma durante el primer trimestre del 2021. Dicho de otra manera, ahora está todo en manos de los NCAs.

¿Y en España?

Pues en España, como somos europeos, tenemos que hacer caso de lo que dice Europa. Tras la publicación del plan de la EBA, España ha desarrollado el suyo (plenamente basado en el europeo) en el contexto de la Comisión Nacional de Pagos . Podéis descargarlo aquí.

La Comisión se reunió el pasado 28 de octubre para explicar el plan y hacer las aclaraciones pertinentes. Algunos puntos importantes son los siguientes:

  • La solución tecnológica que proveerá RedSys en España será mediante el protocolo 3D Secure 2.2. Es una buena noticia porque eso garantiza que tendremos la versión adecuada para soportar todas las exenciones al SCA. Otra cosa es que los emisores soporten la gestión de todas las exenciones a día 1 de enero del 2021; el plan español dice que así debe ser, pero Europa ha dejado la puerta abierta a lo contrario. Dicho de otro modo:
    • comercios y adquirientes no deberán modificar su integración tecnológica para requerir el uso de exenciones una vez hecha la adaptación al SCA ,
    • aunque los comercios y adquirientes pidan exenciones, es posible que sean parcialmente ignoradas por los emisores en una primera instancia,
    • a medida que los emisores vayan avanzando en ese sentido, se empezarán a aceptar exenciones sin que comercio o adquirientes tengan que hacer nada.
  • Todos los adquirientes deben soportar el SCA en producción a partir de mayo del 2020 para dar a los comercios un tiempo prudencial para adaptarse. Esto quiere decir que deberán ofrecer APIs funcionales con 3DS 2.2 en esa fecha aunque los emisores todavía no lo soporten plenamente y puedan implementar un fallback a versiones anteriores.

Conclusiones

  • A partir de la fecha fijada en el marco europeo 31 de diciembre de 2020, se empezarán a denegar las operaciones de comercio electrónico que no apliquen autenticación reforzada o puedan acogerse a una exención.

  • En mayo del 2020, todos los adquirientes deben ofrecer una API funcional para que los comercios puedan adaptar las integraciones.

  • España utilizará 3D Secure 2.2, que es la solución tecnológica que permite la gestión de todas las exenciones previstas por la PSD2.

  • Aunque el plan español prevee que todos los emisores soporten todas las exenciones para esa fecha, la EBA deja abierta la puerta a que no sea así al acabar esta nueva extensión. Mi opinión es que es muy complicado que se gestione todo correctamente en la fecha límite y que habrá un amplio periodo de adaptación y estabilización durante el 2021.