In Payments

Impulsado por el confinamiento impuesto a causa de la pandemia de COVID-19 y la correspondiente aceleración digital, el volumen de comercio electrónico en América Latina se disparó a más de $100 mil millones de dólares en 2020. A principios de 2020, menos del 50% de los adultos usaban el comercio electrónico y sólo el 55% de ellos tenían una cuenta bancaria, [1] incluso a pesar de que la región cuenta con una de las tasas de consumo de contenido digital y de uso de redes sociales más altas del mundo. Si bien los latinoamericanos aman la Internet, las transacciones en línea han tardado en alcanzar su máximo potencial.

Entre los factores que han contribuido a lo anterior encontramos la falta de confianza en el sistema bancario y la tecnología, así como el miedo al fraude. Estos temores no son infundados: en un informe de Cybersource de 2019 [2], se encontró que el 20% de los pedidos de comercio electrónico en América Latina y el Caribe (ALC) se revisan manualmente para detectar fraudes y, que de este total, se rechaza un altísimo porcentaje de los mismos (20% en comparación con el promedio global del 3%). Esto destruye los recursos de los comerciantes y frustra a los consumidores honestos.

Las tasas de fraude en línea que se registran en ALC se encuentran entre las más elevadas del mundo, en parte debido al entorno seguro de tarjeta presente. Junto con casi todas las demás regiones, la mayoría de los mercados latinoamericanos migraron a las tarjetas con chip EMV a principios de la década de 2000, con lo que esencialmente se eliminó el fraude con tarjetas de crédito en el mundo físico. En una tienda física, los cajeros también pueden autenticar fácilmente la identidad del titular de la tarjeta pidiéndoles que presenten una identificación. Esto decididamente obligó a los estafadores a moverse al espacio digital, un espacio para el que estaban mal preparados los emisores, adquirentes y comerciantes por igual.

Incluso frente a estos enormes retos en torno al fraude, los actores de la industria de ALC históricamente se han resistido a adoptar medidas que ayudarían a mitigarlos. Entre ellos se encuentra 3-D Secure (3DS), el estándar global de autenticación desarrollado primero por Visa en 1999 y posteriormente adoptado por otras franquicias de tarjetas.

3-D Secure 1.0 y sus deficiencias

Los servicios de autenticación 3-D Secure 1.0 (Verified by Visa de Visa, SecureCode de Mastercard y SafeKey de American Express, lanzados en la década de 2000) autentican a un comprador de comercio electrónico pidiéndole primero que inscriba su tarjeta en el servicio de 3-D Secure y luego que ingrese un código de acceso para compras posteriores. Los comerciantes que habilitan 3-D Secure obtienen la ventaja de transferir la responsabilidad, dado que, para las transacciones autenticadas, la responsabilidad de cualquier tipo de fraude pasa a recaer sobre el emisor de la tarjeta.

Sin embargo, este paso extra de autenticación, comúnmente conocido como “reto” o “paso adicional” de autenticación, le dio una mala reputación a 3-D Secure. En América Latina, al igual que en el resto del mundo, cualquier redireccionamiento o ventana emergente inesperada puede asustar a los compradores que ya de por sí son escépticos. Los comerciantes se frustraron por las altas tasas de cancelación de transacciones (a menudo superiores al 30%) y la incapacidad para mejorar la experiencia de sus clientes.

Como resultado, la tasa de adopción de 3-D Secure 1.0 en América Latina fue baja y más del 85% de las transacciones con 3DS 1.0 provinieron de tan sólo tres mercados (México, Brasil y Costa Rica), según un informe de Mastercard. Andrés González, anterior Director de Soluciones de Identidad para América Latina de Mastercard explica los motivos de lo anterior:

1. El protocolo de 3-D Secure 1.0 no era lo suficientemente prescriptivo en la experiencia del usuario. El estándar original no incluía suficientes instrucciones para los emisores sobre cómo pedirles a los titulares de tarjetas que se autenticaran, lo que resultó en que la experiencia del usuario fuera dispareja de un banco a otro.

2. 3-D Secure 1.0 no se diseñó para el canal móvil. Muy pocos emisores desarrollaron interfaces que funcionaran en dispositivos móviles, lo que dio como resultado una experiencia de usuario deficiente para las transacciones móviles.

3. Fue un reto educar a los titulares de tarjetas. Sin marketing ni comunicación en torno a 3-D Secure y lo que tenían que hacer en caso de un reto de autenticación, era más probable que los consumidores de América Latina abandonaran su compra en vez de completarla.

Como tal, los actores del comercio electrónico de América Latina han tenido que escalar una curva de aprendizaje muy pronunciada para crear un ecosistema que sea fácil de usar, que funcione en dispositivos móviles y que sea seguro.

3-D Secure 2.0: el mercado de ALC ahora está listo para la adopción generalizada

A lo largo de los últimos 18 meses, esta situación ha cambiado de manera sustancial. En 2018, las franquicias de tarjetas emitieron un nuevo conjunto de estándares –EMV 3-D Secure (3DS 2.0)– diseñado para mejorar la experiencia del usuario y eliminar las fallas del protocolo anterior. Las principales diferencias entre las versiones 2.0 y 1.0 son las siguientes:

1. Mejores datos para apoyar la autenticación basada en riesgos (risk-based authentication [RBA]). Con 3DS 1.0, los emisores recibían sólo ocho campos de datos de los comerciantes, mismos que utilizaban para tomar decisiones sobre las transacciones. Con la RBA, los emisores ahora reciben más de 80 datos sobre el titular de la tarjeta y la transacción (correo electrónico, dirección de facturación y envío, comportamientos de compra habituales, etc.), para que puedan tomar una decisión más informada. Como menciona Andrés González de Mastercard, “En un entorno maduro de 3-D Secure, el 80-90% de las transacciones pueden completarse sin ningún tipo de fricción”, lo que significa que no habrá retos de autenticación ni interrupciones para el titular de la tarjeta. Esta es una mejora dramática con respecto a 3-D Secure 1.0, en el que a menudo se requería un reto de autenticación.

2. Los retos ahora permiten la autenticación biométrica y de otros tipos. Si los emisores efectivamente necesitan enviar un reto de autenticación, se puede utilizar la huella digital capturada por el dispositivo móvil del comprador para autenticar al usuario, lo que da como resultado una mejor experiencia de usuario, optimizada para dispositivos móviles. Otra opción altamente segura es la autenticación fuera de banda (out-of-band authentication [OOBA]), que requiere autenticación a través de dos canales, es decir, por mensaje de texto o por medio de la aplicación de banca móvil del usuario. 

3. Los métodos de reto de autenticación son más prescriptivos. 3-D Secure 2.0 les da instrucciones más claras a los emisores sobre cómo interactuar con los usuarios cuando necesitan autenticarse a través de unos cuantos métodos preferidos que incluyen el código de acceso de un solo uso (one-time passcode [OTP]), la biometría y la OOBA. Además, en términos globales, los compradores pueden esperar una experiencia más estandarizada.

El resultado es que América Latina está inmensamente mejor preparada para 3-D Secure. González explica que bajo la guía de Mastercard y como respuesta a la aceleración digital durante la pandemia de COVID-19, “2020 fue el año en que explotó la autenticación 3DS con EMV en América Latina”. Algunas cifras de Mastercard nos permiten poner esto en contexto:

Nivel de preparación para el mercado 3-D Secure de la franquicia Mastercard en América Latina

 Diciembre de 2019Diciembre de 2020
Comerciantes activos que procesan transacciones 3DS6025.000
Adquirientes habilitados para 3DS6 adquirientes en 3 mercados37 adquirientes en 12 mercados
Emisores habilitados con servidor de control de acceso (ACS)2773

Visa también está avanzando a pasos agigantados. Según Renato Rocha, Vicepresidente de Soluciones para Comerciantes y Adquirientes de Visa y Director de Cybersource para ALC, el 50% de los comerciantes de primer nivel de la región (incluidos los principales retailers, aerolíneas y plataformas digitales) ya están usando o implementando 3DS. También ha creado asociaciones de ventas que han permitido que los principales compradores de Visa en ocho mercados puedan revender las soluciones de Visa 3DS, con lo que han expandido su alcance.

Al comparar mercados individuales, las entrevistas con actores de la industria revelan que Brasil lleva la delantera en la adopción de 3DS 2.0. La asociación local de la industria de tarjetas (ABECS) está trabajando de manera intensiva con los emisores para lograr una alineación colectiva en lo que se refiere a la experiencia de usuario de 3DS2. Después de Brasil, Perú, Argentina y Centroamérica han sido los que lo han adoptado con mayor rapidez. El país que presenta el mayor rezago es México, donde 3DS 1.0 ha tenido una alta penetración y los bancos en general tardan mucho en implementar actualizaciones tecnológicas.

Por supuesto, todavía queda trabajo por hacer para lograr que sea completamente seguro el entorno en línea de América Latina, el cual está repleto tanto de desafíos como de oportunidades.

Principales lecciones que allanarán el camino por venir

1. El huevo y la gallina
Al igual que todos los demás aspectos en el ámbito de los pagos, 3DS tiene un efecto de red: cuantos más jugadores participen, mayor será el beneficio para todo el ecosistema. Esto tiene sus inconvenientes: los comerciantes se muestran renuentes a pasar a 3DS si los emisores aún no están listos y viceversa. Por esta razón, Renato Rocha de Visa hace hincapié en la importancia de buscar “mejoras incrementales”. Según explica, “En algunas industrias, a menudo una mejora de tan sólo 1 o 2 puntos porcentuales en las tasas de autorización de transacciones puede determinar si un comerciante es rentable o no. A medida que más jugadores han ido implementando 3D Secure, hemos ido viendo estas mejoras incrementales día con día. Los actores de la industria necesitan reconocer que estamos construyendo un ecosistema que va a ir mejorando con el tiempo”. Por lo tanto, lograr tasas de autorización del 100% requerirá de la paciencia y disposición de todos los actores de la industria.

2. El eslabón perdido: educar a los titulares de tarjetas
Mientras que los emisores, adquirentes y comerciantes se han ocupado de entender el 3DS, también se han olvidado del usuario final. Los emisores tienen que enseñarles qué hacer a los titulares de tarjetas cuando se les pida que se autentiquen. Unos cuantos pequeños emisores ya lo están haciendo. Nubank –el banco digital líder de Brasil– es una de las pocas excepciones.

3. Para los actores de la industria: ¿cómo se logra?
La interrogante que sigue existiendo para muchos emisores es: ¿qué tengo que hacer para estar listo para 3-D Secure? Los grandes emisores pueden optar por crear ellos mismos una plataforma de autenticación. Esto les da la mayor cantidad de control y flexibilidad, pero también requiere de inversiones en infraestructura y conocimientos técnicos masivos. Lo que suele suceder es que los emisores tercerizan esta capacidad mediante la contratación de un servidor de control de acceso (access control server [ACS]) que haya sido certificado por la franquicia de tarjetas de las tarjetas que emiten. Estas son empresas de tecnología y seguridad de datos que se dedican a brindar dichos servicios.

En el caso de los comerciantes, es crucial que encuentren un procesador de pagos de comercio electrónico que pueda actuar como un socio de infraestructura a largo plazo y que ofrezca no sólo servicios de autenticación, sino también de tokenización y administración de fraudes en general. A medida que el espacio digital se vaya volviendo cada vez más relevante, los comerciantes tendrán que poder expandirse rápidamente de manera segura ya que, de lo contrario, se arriesgarán a perder transacciones. Esto se traduce en acotar la necesidad de hacer revisiones manuales, aumentar los pagos sin fricción y optimizar sus canales móviles. Como señala Rocha, “En el caso de los comerciantes, los pagos se han convertido en parte del proceso de toma de decisiones estratégicas”. La aceptación de pagos electrónicos ha dejado de ser “algo que sería bueno tener”, para convertirse en un componente central de la estrategia.

4. Demostración del valor
Por último, les toca a todos los actores de la industria recordar que, en última instancia, los clientes responden al valor.Si bien la implementación de 3DS requiere de inversión, también es cierto que produce resultados. Visa informa que en el tercer trimestre de 2020, las tasas globales de autorización en ALC aumentaron de 5 a 15 puntos porcentuales para transacciones autenticadas a través de 3DS 2.0, en comparación con las transacciones no realizadas a través de 3DS. Resaltar el impacto de 3DS en la utilidad neta de un comerciante o emisor ayudará a convertirlos en fervientes creyentes.

La trayectoria de 3DS se ha ido desarrollando a lo largo de un período de más de veinte años y, en 2021, esperamos que empiecen a rendir frutos estas inversiones masivas de la industria. Es algo que todos estamos esperando ansiosamente. Durante la pandemia de COVID-19, los consumidores y los comerciantes han adoptado el comercio electrónico con vigor. En un estudio reciente de Mastercard, se encontró que el 83% de los latinoamericanos compraron en línea en 2020 [3] y la participación del comercio electrónico en retail aumentó a 7%, a la vez que disminuyó la participación de las compras en tiendas físicas [4]. En este contexto, toda la industria tendrá que trabajar en conjunto para crear un entorno seguro y sin fricción. Los profesionales de la industria especulan que cuando 3DS se haya implementado de manera uniforme y profunda, las tasas de autorización se acercarán al 100% de las transacciones legítimas, similar a lo que encontramos hoy en el mundo físico. Esto se traducirá en mayores ingresos y clientes más contentos para todos.


SOURCES

[1] World Bank Findex [Índice de inclusión financiera del Banco Mundial]; análisis de Americas Market Intelligence

[2] [1] Cybersource, 2019. “Masters of Balance: What it takes to be a fraud management leader. 2019 Global eCommerce Fraud Management Report.”

[3] Americas Market Intelligence and Mastercard, 2020: Payments, commerce, and life post-COVID-19 quarantine.

[4] Americas Market Intelligence

Recommended Posts