Vivimos en un momento donde combatir el fraude es cada vez más transcendental, especialmente dentro de un contexto donde el comercio electrónico sigue ganando terreno fértil, y las oportunidades de fraude continúan germinando.
EMV 3D Secure es un protocolo de autenticación internacional que ayuda a reducir el riesgo de fraude en comercio electrónico, es seguridad en tres dominios, pero ¿cuáles son esos tres dominios? EMV 3D Secure se compone de tres entidades cuyo rol es protagónico en la aceptación de pagos en el ecosistema, estos son: el comercio, la marca o asociación y el emisor del pago, el cual es comúnmente una tarjeta.
El comercio, siendo el primer dominio, es el lugar donde se realiza la transacción mediante la autorización de un tarjetahabiente; el segundo dominio es la marca o asociación, como el ente que valida la participación de esa tarjeta en el ecosistema de pago seguro y remite la transacción al que evalúa el riesgo, y está el emisor, el tercer dominio, que cuenta con un access control server, conocido por sus siglas como ACS, quien toma la tarjeta, valida la transacción que recibe de la marca, la auténtica y entonces procede a autorizarla.
Partiendo de este contexto, hablaremos de los principales mitos que giran en torno a EMV 3DS para clarificarlos y permitirles sacar el máximo provecho al protocolo para reducir el riesgo de fraude en comercio electrónico y mejorar la experiencia de sus clientes.
Principales mitos que giran en torno a EMV 3DS
Mito #1:
La tasa de rechazos aumenta
El principal miedo que gira en torno a la implementación de este protocolo, o cualquier tipo de mecanismo de autenticación de transacciones por parte del emisor, es la creencia de que la tasa de rechazo de transacciones aumentará, resultando en la pérdida de confianza en el canal de pago y provocando que los tarjetahabientes abandonen el carrito de compras.
Este mito no es del todo infundado, ya que la versión inicial del protocolo buscaba crear un sentido de seguridad en el ecosistema que se basaba en las reglas duras que eran conocidas en ese momento, imponiendo un control físico del plástico en el que el cliente debía registrarse para obtener una contraseña permanente, para autenticarse ante el emisor al momento de realizar sus compras en línea.
Esta no era una experiencia óptima para el usuario, quien además requería apoyo para recuperar sus contraseñas con el consecuente abandono de la compra y un aumento de los costos operacionales para los emisores que recibían llamadas de los clientes durante el proceso. Asimismo, la tarjeta, fuera de crédito o débito, dejaba de ser la de principal uso para el tarjetahabiente o desaparecía por completo, ya que el cliente se movía a un emisor que no le estuviese imponiendo este control duro. Perder clientes, o la merma en la utilización de su tarjeta como principal medio de pago, le implicaba al emisor incurrir en gastos para crecer el porfolio con nuevos clientes que se traducen en aumentos de gastos en onboarding, originación de una nueva cuenta y tarjeta, además de suplir los fondos para su uso.
En este punto, las asociaciones de marcas crean una alianza (EMVCo) que permite la evolución de EMV 3DS, implementando un ecosistema seguro para autenticarse, donde se robustecen los datos de la autenticación incluyendo elementos sobre el dispositivo utilizado, información sobre el portal de ventas y los bienes que están siendo adquiridos. Ahora, todos los tarjetahabientes del emisor que son bienvenidos a participar quedan registrados en el servicio, pero es el emisor quien decide los productos que participan en el ecosistema, cómo y cuándo; lo que vino a reducir el primer punto de fricción: el registro.
Mito #2:
Todos tienen que autenticarse sin importar el tipo de transacción
Las asociaciones de marcas también jugaron un papel importante en este punto, pues apalancadas de la inteligencia artificial amplían el concepto de autenticación aplicando o removiendo la fricción, donde se identifican diversos elementos de riesgo de la transacción, entre ellos: monto del pago, país de origen, moneda de origen, tipo de dispositivo, transacciones previas del cliente en el comercio; entre otros. De forma que, empleando esta información de comportamiento del tarjetahabiente, se puede determinar la probabilidad de que una transacción sea riesgosa o no, y si se aplica o no una fricción dura o una fricción no dura, evitando que el tarjetahabiente tenga que autenticarse en cada transacción.
Mito #3:
EMV 3D Secure afecta a todas las transacciones
Otra creencia popular radica en que EMV 3D Secure afecta a todas las transacciones que se realizan con tarjeta. EMV 3DS es un protocolo de autenticación que solamente impacta a las transacciones que se están iniciando a través de un comercio electrónico, es decir, tarjeta no presente, y se tiene que cumplir con los estándares del protocolo de autenticación, en este caso, el protocolo de pago. Dichos pagos se pueden dar mediante compras en portales web, mercados en redes sociales o aplicaciones móviles; en cualquiera de los escenarios, el tarjetahabiente puede ser autenticado al iniciar una transacción con un comercio participante del protocolo con el fin de mantener seguro al ecosistema.
Mito #4:
La implementación de EMV 3D Secure provocará una baja en las ventas
Uno de los mayores mitos en medio de los comercios hace énfasis en la creencia de que la implementación del protocolo incidirá en una baja notable en las ventas. Este punto nace como consecuencia del primer mito donde el miedo radica en el aumento del rechazo de las transacciones, por ende, los clientes disminuirán o erradicarán sus compras en línea debido a la creciente inseguridad en las transacciones. Sin embargo, la realidad es completamente diferente si el protocolo está bien implementado, para lo cual es indispensable contar con un aliado de negocio o tecnológico que brinde seguridad y los elementos necesarios para desarrollar una estrategia de autenticación de forma consistente.
Al contar con Evertec como aliado dispondrá, a través de nuestra plataforma de pagos digitales Placetopay, de nuestra herramienta de valoración de riesgo para comercio electrónico llamada Scudo, apalancado del protocolo EMV 3DS. Esto permite garantizar el éxito en la estrategia de autenticación cuya correcta implementación salvaguarda las tasas de autorizaciones y proyecta al comercio como una alternativa segura.
Mito #5:
La implementación de EMV 3DS es compleja
Uno de los mitos más interesantes habla de la dificultad de implementar el protocolo, tanto desde la perspectiva adquirente como emisora.
Desde la perspectiva adquirente, el comercio tiende a pensar que necesitará incurrir en gastos exorbitantes para incorporar el protocolo en su tienda en línea, que la certificación tomará mucho tiempo y que requerirá de un gran equipo de trabajo para poder mantenerlo. No obstante, lo que la industria está estandarizando es que el protocolo se ofrezca como un servicio de valor agregado. Es decir, la solución, en muchos casos como lo es con Evertec, ya viene incorporada dentro del procesamiento de transacciones de comercio electrónico. Así que, cuando se adquiere el servicio de pasarela de pagos (payment Gateway) de Evertec con Placetopay, ya se está incorporando la autentificación de transacciones de forma segura, y el comercio puede decidir, a nivel de apetito de riesgo, cuán completa requiere que sean las autenticaciones.
En el caso de los emisores, el panorama es bastante parecido. La preocupación de tener que certificarse ante las marcas y cuánto tiempo pueda tardar el proceso de integración, son los principales puntos en contra para implementar EMV 3DS, pero una vez más, esto no tiene por qué ser así. Contar con un proveedor de servicios como Evertec que ya cumple con los requisitos de EMVCo y las principales asociaciones de marca, le permite al emisor llevar adelante la gestión de implementar el protocolo de forma ágil y segura atendiendo los requisitos de las diferentes asociaciones de manera estandarizada.
Mito #6:
El emisor debe incorporar diferentes tipos de protocolos de seguridad dependiendo del país donde se efectúe la transacción
Si bien existen protocolos de seguridad que están siendo incorporados como parte de la legislación de cada país, como se hace en la Unión Europea, donde se ha implementado requisitos de PSD2 (Payment Service Providers 2), legislación que afecta el sistema de pagos electrónicos en todos los países de la Unión; este protocolo trae consigo ciertos elementos de seguridad, pero todos se apalancan en EMV 3DS. Siendo así que, al hablar de cuán segura es una transacción en Europa, Asia, Latinoamérica; el protocolo ya está habilitado y proporciona la viabilidad para empezar a adquirir y hacer transacciones en diferentes países y/o con diferentes tipos de comercio, sin importar de dónde vengan o dónde hayan sido iniciadas.
3 consejos: entender, medir, implementar
El mejor punto de partida ante un ecosistema que se encuentra en constante cambio y evolución siempre será educarse. Hay que adentrarse en la temática para conocer realmente el contexto y todas las implicaciones que conlleva cumplir o no con este tipo de medidas para medir el riesgo, y entender cómo al final del día aportan de forma positiva a un ecosistema de pago mucho más seguro, tanto desde la perspectiva del emisor como desde la del adquirente. También es importante entender cómo el comercio está salvaguardando sus intereses, sean gastos operacionales o temas básicamente reputacionales, de verse en peligro al no contar con un elemento de seguridad como EMV 3DS.
Como segundo punto, resulta sumamente interesante hacer la práctica de medir y entender cuánto es lo que hoy se está teniendo en pérdidas, o lo que se está poniendo en exposición por no contar con un protocolo de seguridad para autenticar las transacciones. Desde la perspectiva del comercio es importante comenzar preguntándose:
¿Cuántas transacciones están siendo iniciadas desde un canal de comercio electrónico?
Del total de ventas que tiene, ¿cuántas de esas transacciones se están convirtiendo en contracargos?
Y más importante aún, ¿cuántos de esos contracargos está ganando? ¿O se están convirtiendo en una pérdida real al tener que hacer la devolución a la marca por no contar con la información necesaria para proteger los ingresos del negocio?
Caso similar con el emisor, la organización debe adentrarse para entender:
¿Cuántas transacciones se están realizando a nivel de su portafolio que tienen que ver con comercio electrónico?
De esas transacciones: ¿cuántas se están convirtiendo en contracargo porque el cliente indica que fue fraude, que no fue él quien inició la transacción?
Y las preguntas más importantes: ¿cuántas de estas situaciones se habrían podido mitigar?, ¿cuánto se podría haber ahorrado en pérdidas asociadas a un fraude cometido en comercio electrónico si se hubiese contado con un elemento tan importante como lo es EMV 3D Secure?
Como último punto, el mito de la pérdida de ventas no debe ser detrimento para implementar un elemento de seguridad que será un factor decisional para los usuarios, quienes se sentirán más confiados al conocer que son parte de un ecosistema de pagos más seguro, lo que podrá resultar en un cliente recurrente e incluso en el aumento de su ticket promedio.
Desde la perspectiva del emisor, se refuerza la confianza del tarjetahabiente en el momento de realizar una transacción en Internet porque sabe que cuenta con ese factor de seguridad adicional.
Entender el contexto en el que se está operando, contar con información veraz para desmitificar las creencias en torno a la implementación de un protocolo de seguridad, y lograr medir cuánto es lo que determinado mito puede representar en pérdidas si no se implementa el protocolo; incidirá positivamente en el aumento de la seguridad de las transacciones y en la confianza de los usuarios finales.
En Evertec contamos con la certificación de EMVCo en los protocolos de 3DS 2.0 emisor y adquirente y más de dos años de experiencia prestando este servicio. Implementar un protocolo de seguridad que permita reducir el riesgo en comercio electrónico, previniendo el uso no autorizado de las tarjetas… ¡Sí, es posible!
Por Antuam Traverso Ortega
Gerente de productos de manejo de riesgo y fraude