Los datos impulsan la próxima generación de gestión de riesgos por fraude en tarjetas y la experiencia de usuario

Durante más de 15 años, el protocolo de seguridad 3D Secure ha funcionado para proteger las transacciones en línea, reducir el fraude en tarjetas y devoluciones, pero ha incrementado las entregas. La última actualización utiliza una gama más amplia de datos y autenticación biométrica para que los pagos en línea tengan menos interrupciones y sean más seguros que nunca.

Los consumidores esperan que los pagos con tarjeta en línea no generen fricción, pero el anonimato de las transacciones a través de Internet los ha convertido en un blanco fácil para los estafadores. Una investigación realizada por The Nielsen Report encontró que en 2016, más de la mitad de las pérdidas por fraude en los Estados Unidos estaban vinculadas al fraude de tarjeta sin plástico (por sus siglas en inglés CNP para card-not-present), que superaba a la falsificación como la categoría más grande. En Europa, hay menos del 0.01% de fraude en tiendas, cifra que se eleva a cerca del 0.20% en el caso del fraude de tarjeta no presente. Es un problema costoso tanto para los comercios como para los emisores, ya que se prevé que para el 2025 las pérdidas por fraude con tarjetas alcanzarán los $ 43,78 mil millones en todo el mundo.

Visa desarrolló el protocolo  de  seguridad  3D  Secure  en  2001  como  un  medio  para  proteger la transacción del comercio, el emisor y la tarjeta. La empresa pidió a los comercios que introdujeran otra capa de autenticación de pago, como códigos enviados a través de SMS, y al hacerlo, transfirieron la responsabilidad de fraude al emisor de la tarjeta. Franquicias como Mastercard y Amex vieron rápidamente el beneficio, así como las ventajas de interoperabilidad de la estandarización, y se agruparon para formar EMVCo, un cuerpo técnico global diseñado para facilitar la aceptación universal de pagos seguros y para seguir mejorando los protocolos de seguridad.

Sin embargo, tuvo problemas de crecimiento. Los consumidores desconfiaban de la ventana emergente adicional y se sentían frustrados por la solicitud de generar nuevas contraseñas, mientras que los comercios se quejaban de los cambios en las tasas de conversión. A partir de 2008, con la llegada de los pagos móviles, los consumidores experimentaron otro problema con las páginas web no responsivas, que no se pueden usar en los teléfonos inteligentes.

La versión 2.1, publicada por EMVCo en octubre de 2016, diseñada para solucionar algunos de esos inconvenientes, utiliza más datos en segundo plano para eliminar los pasos de autenticación, mejorar la experiencia del cliente y reducir los tiempos de inactividad.

Hablamos con Sasha Pons, Director de Producto de Ingenico, quien revela los desafíos que enfrenta el ecosistema de pagos en línea y cómo los abordará el último protocolo.

¿Cuáles fueron los desafíos de 3DS v1.0?

Hace ocho años, EMVCo introdujo un enfoque basado en el riesgo (RBA), que requiere que los emisores presenten este componente como un segundo nivel de autenticación solo cuando se percibe un alto riesgo. Sin embargo, la decisión se basó en un conjunto de datos limitados, lo que hizo que su adopción fuera restrictiva y sin sentido.

A su vez, los clientes experimentaban con demasiada frecuencia problemas con su autenticación de dos factores: las contraseñas de SMS no llegaban, el cliente no era redirigido a la tienda virtual del comercio, los bloqueadores de elementos emergentes impedían la ejecución del script de seguridad o las páginas web de los emisores no eran responsivas y no se podían utilizar en un smartphone. Estos problemas deterioraron la experiencia del usuario y condujeron a caídas.

La versión 2.1, la última que se ordenará en Europa el 13 de abril de 2019, utiliza algoritmos modernos más complejos y una sofisticada autenticación biométrica para combatir esos problemas. El mayor cambio es que se les pide a los comercios que compartan más datos: los emisores tienen mucho interés en recolectar datos para tomar mejores decisiones, lo que finalmente lleva a un escenario sin fricción, pero los comercios son los que están en la línea frontal capturando los datos. El enfoque de 3DS v2 para la evaluación de riesgos es más efectivo, pero requiere que cambie todo el ecosistema, lo que permite a los comercios enviar los datos al emisor.

El ritmo de las actualizaciones de protocolo se encuentra en aumento para permitir actualizaciones iterativas (ahora v2.1, v2.2 próximamente, v2. 3, etc.) debido a que afecta a todo el ecosistema: los esquemas de tarjetas o franquicias, compradores, comercios, emisores y PSP necesitan iniciar cambios.

¿Quién es el más afectado por 3DS v2.1?

Este es un cambio de paradigma para los comercios. Ahora tendrán que recopilar y compartir datos significativos y de alta calidad (dirección de correo electrónico o información del dispositivo, por ejemplo) para procesar transacciones que antes solo requerían un número de tarjeta, fecha de caducidad y código CVC. Si bien los PSP pueden ayudar a manejar la carga, y esto es parte del enfoque de Ingenico centrado en el comercio, la responsabilidad recae en los comercios.

Sin embargo, es importante ver esto como la base del uso del análisis de comportamiento para combatir el fraude en pagos. Es parte de un cambio general importante: por ejemplo, la Autoridad Bancaria Europea (EBA-European Banking Authority) compartió su opinión en junio de que los números CVV no pueden ser un segundo factor de autenticación en la categoría de "conocimiento" (visible en la tarjeta), que eventualmente pasa a la categoría "posesión". Se necesita la guía de la EBA y los bancos centrales de la UE sobre qué métodos de SCA son compatibles con RTS. Con el tiempo, podríamos ver la página de pago cambiar drásticamente.

¿Cómo han recibido este cambio las partes interesadas y cuáles son los beneficios?

En general, ha sido bien recibido hasta ahora. Los emisores se benefician de tener nuevamente el control de sus costos con 3DS v2. La autenticación generalmente cuesta 25 centavos por transacción y la paga el emisor de la tarjeta, lo que afecta su resultado final. Con 3DS v1, la decisión de autenticar la tomaba el comercio, quien decidía si quería transferir la responsabilidad al emisor. Con el lanzamiento del nuevo protocolo, la última palabra es del emisor, una gran mejora para ellos, un pequeño paso atrás para los comercios.

Los PSP se benefician claramente, porque más transacciones equivalen a más ingresos. Y para los consumidores es simple: un conjunto de datos más grande permite al emisor aumentar la precisión de su análisis basado en el riesgo, lo que finalmente lleva al 90% de los casos a una decisión sin fricción en la que aceptarán la responsabilidad sin enviar una solicitud de autenticación. Eso significa una experiencia de usuario sin fricción en la gran mayoría de los casos.

Para los comercios, la respuesta ha variado en diferentes países, pero cuantos más datos compartan, mejor será su tasa de autorización (hasta un 10% según la red de tarjetas). Si los comercios comparten datos y las tasas de autorización de los emisores siguen siendo bajas, entonces los esquemas de tarjeta tendrán el poder de imponer multas, lo que aumenta la presión en los emisores para que den un paso adelante. Tienen la obligación de obtener resultados.

La verdad está en los números: los beneficios se podrán medir en 2019.

Sasha Pons, Director de Producto en Ingenico

Sasha Pons se unió a Ingenico ePayments como Director de Fraude en septiembre de 2016. Sasha ha pasado más de 10 años trabajando en seguridad cibernética, prevención de fraudes, infraestructura, privacidad y cumplimiento dentro del comercio electrónico internacional. Su experiencia incluye viajes, minoristas, industrias farmacéuticas y tecnológicas. Sasha cree firmemente que la confianza es la piedra angular de FinTech y el hecho de poder articular una estrategia de prevención de fraude y seguridad cibernética pragmática y eficiente es un diferenciador competitivo clave. Debido a esto, se enfoca en la construcción de productos basados mayoritariamente en datos y rendimiento, con el mejor UX posible tanto para los comercios de Ingenico ePayments como para sus consumidores. Antes de unirse a Ingenico ePayments, Sasha trabajó para Booking.com. Sasha nació en Francia y ha vivido en los Países Bajos durante los últimos cinco años.