1. Qué es ¿Sca?

SCA es un proceso de autenticación de dos factores diseñado para agregar una capa adicional de seguridad cuando los Titulares realizan una compra online. Diseñado para reducir el fraude, SCA requiere que un Titular, proporcione dos fuentes independientes de verificación de identidad, comúnmente conocidas como "doble factor de autenticación", para que un emisor de tarjeta apruebe la transacción electrónica.

Se pueden seleccionar dos de las tres opciones de verificación independientes siguientes:

  • algo que usted sabe (por ejemplo, su número PIN)
  • algo que usted tiene (por ejemplo, un dispositivo)
  • algo que usted es (por ejemplo, huella dactilar)

Por lo tanto, SCA implicará nuevos requisitos de autenticación para pagos online y Contactless cuando tanto establecimiento como el Titular de la Tarjeta se encuentren dentro del Espacio Económico Europeo (EEE).

2. ¿Por qué SCA?

SCA es un nuevo requisito normativo europeo (parte de la PSD2) que se está introduciendo en todo el EEE para reducir el fraude y hacer que los pagos electrónicos sean más seguros.

3. ¿A quién afecta PSD2?

PSD2 afecta a cualquier persona involucrada en la compra y venta de bienes y servicios en la UE. Consumidores, instituciones financieras e industria de pagos, incluidos agregadores y los proveedores de servicios de información de cuentas se ven afectados por PSD2.

4. ¿Hay alguna exención en SCA?

SCA aplica a los pagos electrónicos iniciados por el Titular, cuando tanto el establecimiento como el emisor de la Tarjeta se encuentren dentro del EEE.

Las transacciones que no son pagos electrónicos iniciados por el Titular están "fuera del alcance". Incluye transacciones de pedido por correo físico/pedido telefónico (MOTO) y las transacciones iniciadas por el establecimiento (MIT).

(También hay una serie de exenciones tales como transacciones con un beneficiario de confianza, transacciones de terminales de transporte y estacionamiento, y transacciones online por debajo de un umbral de análisis de riesgo de transacciones especificado por el departamento de fraude).

Express List es la herramienta online que permite a un miembro de la Tarjeta American Express utilizar la exención de beneficiario de confianza para compras online.

Además, existe una exención específica para los pagos Corporate cuando dichos pagos estén sujetos a procesos y protocolos específicos que garantizan un nivel de seguridad equivalente al que ofrece SCA. Estamos trabajando activamente con los reguladores con respecto a esta exención y cómo aplican en cada país los productos de pago Corporate sin plástico, como la Cuenta de Viaje Comercial (BTA), vPayment y Pagos Iniciados por el Comprador (BIP).

5. ¿Espera que se aplace SCA debido a COVID-19??

El Reglamento (Directiva revisada sobre servicios de pago) entró en vigor el 14 de septiembre de 2019. Posteriormente, el dictamen de la Autoridad Bancaria Europea indicaba que los reguladores nacionales no debían aplicar activamente el Reglamento hasta el 31 de diciembre de 2020 para el comercio electrónico. Desde entonces, la Comisión europea y la Autoridad Bancaria Europea han confirmado esta postura.

Esto significa que los requisitos completos de SCA deben aplicarse a todas las transacciones de comercio electrónico que impliquen tarjetas emitidas por la UE/EEE a partir del 1 de enero de 2021, a menos que un regulador nacional haya establecido una fecha de ejecución revisada. Las transacciones sin una exención SCA válida o una solicitud 3D Secure / SafeKey con doble factor de autenticación, serán rechazadas por el emisor de la tarjeta después de la fecha de cumplimiento establecida por el regulador nacional.

Es importante tener en cuenta que algunos reguladores nacionales han adoptado un período de implementación gestionado que introduce alguna variación en torno al calendario de los requisitos de SCA para las tarjetas emitidas localmente. En el Reino Unido, la Autoridad de Conducta Financiera confirmó una fecha de ejecución revisada del 14 de septiembre de 2021. Otros países, como Francia, también están considerando un corto período de tolerancia en la primavera de 2021. Al mismo tiempo, algunos reguladores, en países como Bélgica y los Países Bajos, han exigido a la industria que comience a probar SCA antes de la fecha límite de diciembre.

Dadas estas circunstancias, instamos a los comerciantes de toda la UE/EEE a que sigan tomando medidas inmediatas para dar prioridad a la adopción sin problemas de los nuevos requisitos de SCA, en particular mediante la activación de SafeKey para todas las transacciones en línea. American Express está técnicamente listo y tiene capacidades únicas para ofrecer la mejor experiencia en su clase a consumidores y comerciantes.

6. ¿Prevé American Express una interrupción del servicio para los Titulares de la Tarjeta?

Instamos a los comercios de toda la UE/EEE a que sigan tomando medidas inmediatas para dar prioridad a la adopción sin problemas de los nuevos requisitos de SCA, en particular mediante la activación de SafeKey para todas las transacciones online.

Los Titulares de la Tarjeta pueden enfrentarse a interrupciones cuando realicen una transacción en la que un establecimiento no haya realizado actualizaciones técnicas a su proceso de pago online para apoyar a SCA.

Además, verá cambios en la forma en que realiza las transacciones online. Si no tiene los datos de contacto actualizados, también se rechazará su transacción.

7. ¿A qué tipos de productos de pago aplica la regulación SCA?

A todas las transacciones físicas y de comercio electrónico realizadas con todas las Tarjetas de pago (crédito, cargo, débito, prepago), incluidas las Tarjetas Corporate emitidas en el EEE y utilizadas en los comerciantes del EEE.

Sin embargo, existe una exención específica para los pagos Corporate cuando esos pagos estén sujetos a procesos y protocolos específicos que garanticen un nivel de seguridad equivalente al que ofrece SCA. Estamos trabajando activamente con los reguladores con respecto a esta exención y cómo aplica en ciertos países, en lo que refiere a la mayoría de los productos de pago Corporate sin plástico, como la Cuenta de Viaje de Negocios (BTA), vPayment y Pagos Iniciados por el Comprador (BIP).

8. ¿Aplica SCA a productos de pago Corporate sin plástico?

Sí. Sin embargo, existe una exención específica para los pagos Corporate cuando esos pagos están sujetos a procesos y protocolos específicos que garantizan un nivel de seguridad equivalente al que ofrece SCA. Estamos trabajando activamente con los reguladores con respecto a esta exención y cómo aplica en ciertos países en lo que se refiere a la mayoría de los productos de pago Corporate sin plástico.

9. ¿Hay transacciones electrónicas exentas de la normativa de SCA?

SCA aplica a los pagos electrónicos iniciados por el Titular cuando tanto el establecimiento como el emisor de la Tarjeta se encuentren dentro del EEE. Las transacciones que no son pagos electrónicos iniciados por el Titulare están "fuera del alcance". Esto incluye las transacciones por correo/pedido telefónico (MOTO) y el comerciante.

(También hay una serie de exenciones tales como transacciones con un beneficiario de confianza, transacciones de terminales de transporte y estacionamiento, y transacciones online por debajo de un umbral de análisis de riesgo de transacciones especificado impulsado por la tasa de fraude).

Express List es la herramienta en línea que permite a un miembro de la tarjeta American Express usar la exención de Beneficiario de confianza para sus compras en línea.

10. ¿Cómo se autentican actualmente las transacciones de los Titulares American Express?

La forma más común de autenticar un pago con Tarjeta online se basa en 3D Secure, un estándar de autenticación compatible con la gran mayoría de los emisores de Tarjetas europeas. Los Titulares American Express se inscriben automáticamente en American Express SafeKey, que utiliza la última tecnología 3D Secure para ayudar a proteger a nuestros clientes contra el fraude mientras compran online en los establecimientos SafeKey participantes.

Cuando los Titulares de la Tarjeta compren en ciertos sitios, SafeKey aparecerá como una caja durante el proceso de pago. Si el establecimiento no cumple los requisitos de SCA, estas transacciones se rechazarán. La mayoría de las veces, los miembros de la tarjeta no necesitan hacer nada, ya que SafeKey identificará la transacción como elegible basada en el historial de compras anterior del Titular. Para ciertas compras identificadas como de alto riesgo o que requieran autenticación de Cliente, podemos enviar a los Titulares una notificación push a su Aplicación Amex, o un código de verificación (OTC) por texto y/o correo electrónico, además es posible que se le pida información parcial o ciertos números del PIN de su Tarjeta. Una vez que se verifica el Titular, se procesa la transacción online.

11. ¿En qué se diferencia la autenticación SCA?

Pagos online: SafeKey continuará utilizándose durante la fase de pago. Cuando se requiera SCA, los miembros de la Tarjeta recibirán automáticamente solicitudes de verificación por SMS, correo electrónico o una notificación push.

Los Titulares de la Tarjeta American Express podrán usar Express List, nuestro nuevo servicio de beneficiarios de confianza. Cuando un establecimiento aparezca en la lista exprés de comerciantes de confianza del Titular de la Tarjeta (y cuando no hayamos identificado la transacción como inusual o sospechosa), SCA no se aplicará.

Pagos Contactless: Los pagos Contactless continuarán con normalidad, sin embargo, a veces se puede pedir a los Titulares de la Tarjeta que ingresen su PIN para completar SCA si han alcanzado ciertos umbrales de gasto desde la última vez que se realizó SCA. Con los monederos móviles, se pedirá a los Titulares que se autentiquen de forma normal cuando utilicen Amex Pay, Apple Pay, Google Pay para completar su compra.

12. ¿Puede un Titulares de la Tarjeta American Express verificar una transacción online si no tiene un teléfono móvil?

A los Titulares de la Tarjeta también se les enviará un código de verificación por correo electrónico. Esto significa que no necesitan un teléfono móvil, ya que pueden acceder al correo electrónico desde su escritorio. Por lo tanto, es importante que los Titulares de la Tarjeta se aseguren de que la información de su cuenta contenga su dirección de correo electrónico correcta.

13. ¿Qué es Express List?

Express List es una nueva característica que hemos desarrollado para los Titulares American Express, lo que les permite agregar establecimientos en los que han comprado con frecuencia online a una lista blanca de "beneficiarios de confianza". Cuando un establecimiento aparezca en la lista exprés de establecimientos de confianza del Titular de la Tarjeta (y cuando no hayamos identificado la transacción como inusual o sospechosa), SCA no se aplicará.

14. ¿Cómo configuro Express List?

Los Titulares de la Tarjeta pueden configurar Express List como parte del proceso SafeKey. Les permitirá seleccionar establecimientos individuales o elegir "seleccionar todos" los establecimientos que se les presenten (hasta 100 establecimientos donde el Titular de la Tarjeta haya gastado previamente aparecerá en el Express List). Los Titulares de la Tarjeta también pueden configurar su Express List en los Servicios Online* además de en SafeKey.

*Disponible en Austria, Bélgica, Francia, Alemania, CPI, Italia, Noruega, España, Suecia, Países Bajos y Reino Unido

15. ¿Podrán los Titulares de la Tarjeta administrar su lista de establecimientos preferentes en su Express List?

Los Titulares de la Tarjeta podrán administrar su lista de establecimientos en su Express List a través de los Servicios Online de American Express en Austria, Bélgica, Francia, Alemania, ICC, Italia, Noruega, España, Suecia, Países Bajos y Reino Unido.

Los Titulares de la Tarjeta registrados en cuentas online en la República Checa, Dinamarca, Finlandia, Hungría, Polonia, no podrán acceder a través de los Servicios Online, sin embargo, podrán realizar cambios en su Express List cuando estén completando una transacción online a través de SafeKey.

16. ¿Cómo me registro en los Servicios Online de American Express?

Puede crear una nueva cuenta online a través del sitio web de American Express en el país del Titular de la tarjeta, por ejemplo: www.americanexpress.com/es

17. Hay complejidades particulares que enfrentan a los establecimientos en las industrias de viajes y hoteles, por ejemplo, donde los clientes tienen tarjetas almacenadas con el establecimiento. ¿Cómo se plantea abordar esto?

La FCA ha reconocido que hay una cantidad significativa de cambios necesarios en la industria de viajes y hospitalidad para cumplir con SCA, y se han comprometido a examinar los escenarios de pago que enfrentan las industrias de viajes y hoteles en detalle con el fin de proporcionar claridad a su debido tiempo.

Hasta la fecha, la FCA en el Reino Unido ha reconocido que las tarjetas virtuales están exentas de las directrices de SCA (sujeto a ciertos criterios) y anticipamos que otros reguladores dentro del EEE tendrán la misma opinión. Como resultado, esperamos que la exención cubra la mayoría de los productos de pago Corporate sin plástico, como la Cuenta de Viaje Comercial (BTA), vPayment y Pagos Iniciados por el Comprador (BIP).

American Express está trabajando con reguladores de todo el EEE para validar esta posición y asegurarse de que no haya interrupciones para los comerciantes y los Titulares de la Tarjeta.

18. Por qué los Titulares de la Tarjeta necesitan actualizar sus datos de contacto?

Es muy importante que American Express tenga direcciones de correo electrónico y números de teléfono móvil actualizados de los Titulares de la Tarjeta para que el código de acceso de un solo uso (OTP) se pueda enviar a los Titulares como parte de los nuevos requisitos de doble factor de autenticación de SCA.

19. ¿Cómo actualizo mis datos de contacto?

Puede actualizar sus datos de contacto en los Servicios Online de su cuenta American Express o a través de americanexpress.es/datosdecontacto. Si lo prefiere, puede ponerse en contacto con el Servicio de Atención al cliente de American Express en el número que aparece al reverso de su Tarjeta.

20. ¿Cómo se usarán y almacenarán sus datos de contacto?

American Express se toma en serio su privacidad y no usaremos sus datos con fines de marketing sin su consentimiento. Sus datos se almacenarán de acuerdo con nuestra política de privacidad a la que puede acceder a través del sitio web de AmericanExpress: https://www.americanexpress.com/es/legal/politica-de-privacidad-online.html?inav=es_legalfooter_privacy

21. ¿Cómo cambiarán los pagos Contactless?

Los pagos Contactless continuarán con normalidad, sin embargo, las nuevas regulaciones requerirán que los Titulares realicen una transacción de Chip y Pin cada vez que se haya alcanzado un gasto acumulativo Contactless de 130 euros/150 euros. La mayoría de las veces los Titulares de la Tarjeta Corporate podrán utilizar su Tarjeta Contactless como de costumbre, sin embargo, una transacción Contactless puede ser rechazada porque se ha alcanzado el umbral de gasto Contactless. En caso de que se rechace una transacción de esta forma, debe intentar la transacción de nuevo utilizando Chip & Pin.

22. ¿Cómo cambiarán los pagos online?

A partir del 14 de septiembre de 2019, los Titulares de la Tarjeta Corporate verán SafeKey aparecer durante la etapa de pago con más frecuencia. SafeKey ayuda a proteger contra el fraude mientras realiza compras online, al confirmar que es realmente el Titular quien hace la compra. Los Titulares recibirán automáticamente solicitudes de verificación por SMS, correo electrónico o notificación push móvil con más frecuencia.

23. ¿Cómo cambiará el inicio de sesión de los Servicios Online de American Express?

Los Titulares, verán más solicitudes de verificación cuando accedan a su Cuenta Online. Cuando inicien sesión en su Cuenta Online de American Express, necesitarán su nombre de usuario y contraseña como de costumbre. A veces American Express podrá enviarles una solicitud de verificación adicional por SMS, correo electrónico o notificaciones móviles push cuando estén tratando de acceder a ciertas partes de su cuenta, como ver su PIN.

24. ¿Hay algún período de inactividad a tener en cuenta al acceder a las Cuentas Online?

El Reglamento específica «... un tiempo máximo sin actividad por parte del ordenante después de haber sido autenticado para acceder a su cuenta de pago online no excederá de cinco minutos...»

Esto aplica a todos los portales Online afectados, incluida los Servicios Online de American Express.

25. ¿Puede un Titular de la Tarjeta utilizar dos números de teléfono o direcciones de correo electrónico diferentes para recibir códigos y recibir otras consultas generales?

No, solo pueden proporcionar un conjunto de información de contacto. Es muy importante que American Express tenga direcciones de correo electrónico y números de teléfono móvil actualizados para los Titulares de Tarjeta para que los códigos de acceso de un solo uso (OTP) se puedan enviar a los Titulares como parte de los procesos de verificación de las transacciones.

26. ¿Cómo funcionan las notificaciones push cuando se tiene una Tarjeta American Express personal y otra Corporate?

Las notificaciones push móviles solo se enviarán a la cuenta específica de American Express que esté registrada en la aplicación móvil American Express, es decir, si el Titular de la Tarjeta ha configurado su Tarjeta Corporate en la Aplicación, podrá recibir las notificaciones push para esa Tarjeta específica. Sin embargo, si ha configurado su cuenta de Tarjeta personal en la aplicación en su lugar, no podrá recibir notificaciones push para su Tarjeta Corporate.

27. SCA aplica solo a los clientes que tienen facturación recurrente para pagar a sus proveedores?

SCA sólo se requiere en la transacción inicial. Las transacciones posteriores iniciadas por el establecimiento (es decir, las facturas periódicas) están fuera del alcance. No hay ningún impacto en las configuraciones existentes.

28. ¿En qué límite se activa SCA online ¿cuándo debe esperar un Titular para verlo?

Los Titulares de la Tarjeta deberán completar SCA para cualquier pago online que no esté cubierto por una exención. Dos exenciones clave para las transacciones online son la exención por análisis de riesgo de transacción y la exención de bajo valor.

La exención TRA permite a American Express no aplicar SCA si las transacciones se consideran de bajo riesgo, y cuando las tasas de fraude permanezcan por debajo de los umbrales especificados.

Las transacciones con Tarjeta inferiores a 30 euro también están sujetas a una exención de SCA.

29. ¿Qué es un código de verificación?

Es un código de 6 dígitos enviado a través de SMS y / o correo electrónico que los Titulares necesitan para entrar en la pantalla de inicio de sesión de SafeKey o acceso online para verificar que son ellos. Esta capa de seguridad nos permite saber que son ellos los que están realizando la compra, ya que estamos enviando el código a sus datos de contacto registrados.

30. Mi transacción ha fallado. ¿Qué tengo que hacer?

Diferentes razones podrían causar el error de una transacción. Cuando el código de verificación se ha introducido incorrectamente o algunas de las preguntas de seguridad no se han respondido correctamente, el acceso a SafeKey podría bloquearse. Si el código de verificación no se ha introducido correctamente después de tres intentos, la transacción caducará. Las cuestiones técnicas en el servicio de pago del establecimiento también podrían interrumpir la transacción. Si su transacción no se realiza correctamente, recibirá una notificación en pantalla.

31. ¿Puedo solicitar otro código de verificación?

Debe asegurarse de que su teléfono móvil y mensajes de correo electrónico sean fácilmente accesibles antes de iniciar una transacción en un establecimiento de SafeKey participante. Puede volver a solicitar su código de verificación tantas veces como desee durante el período de validez de diez minutos.

Debe eliminar su código de verificación una vez que haya completado correctamente la transacción con el establecimiento.

32. ¿Con qué rapidez obtendré mi código de acceso de un solo uso (OTP)?

Recibirá inmediatamente un código de verificación a la dirección de correo electrónico y/o número de teléfono móvil que American Express tiene registrado en sus sistemas (si tenemos esos registros). Su código de verificación solo es válido durante diez minutos desde el momento en que envía los datos de su Tarjeta al establecimiento. Si no completa la transacción durante los primeros diez minutos, deberá reiniciar la transacción con el comerciante.

33. Si mi PA (Administrador de Programa) realiza la reserva en mi nombre, ¿puedo compartir mis datos?

Al reservar online, el Titular de la Tarjeta es la única persona que puede utilizar la Tarjeta y es la responsable de la autorización de una transacción. El código de verificación se enviará los datos de contacto registrados del Titular de la Tarjeta.

Si un PA realiza una reserva a través de una gestión de viajes Corporate o un sistema de compras Corporate en nombre del Titular de la Tarjeta, puede aplicarse el escenario de la Tarjeta presentada (consulte la respuesta al escenario de la Tarjeta presentada a continuación).

34. ¿Cómo funciona SCA cuando mi tarjeta se utiliza con un TMC o con una herramienta de reserva de viaje?

Estamos trabajando activamente con los reguladores con respecto a una exención relacionada con la mayoría de los productos de pago Corporate sin plástico, como la cuenta de viaje comercial (BTA) vPayment y los pagos iniciados por el comprador (BIP).

Hasta la fecha, la FCA en el Reino Unido ha reconocido que las tarjetas virtuales y de representación están exentas de las directrices de SCA (sujeto a ciertos criterios) y anticipamos que otros reguladores dentro del EEE tendrán la misma opinión.

American Express está trabajando con reguladores de todo el EEE para validar esta posición y asegurarse de que no haya interrupciones para los establecimientos y los Titulares de la Tarjeta.

35. ¿La SCA erradicará el fraude?

SCA es una iniciativa importante para reducir el fraude y hacer que los pagos electrónicos sean más seguros y acogemos con beneplácito cualquier medida para reducir la incidencia de fraude en toda la industria.

Seguimos aconsejando a los establecimientos que continúen implementando las capacidades de fraude adecuadas para proteger sus negocios.

36. ¿Cómo informa American Express a sus Titulares sobre SCA?

American Express comenzó a informar a sus clientes sobre SCA en julio de 2019.

Hemos enviado correos electrónicos y/o cartas a los Titulares de la Tarjeta y hemos incluido información en los Servicios Online de los Titulares.

Nuestras comunicaciones también proporcionan a los Titulares información sobre Express List, un servicio de beneficiarios de confianza online desarrollado en respuesta a las reglas de SCA que requieren que las compañías de Tarjetas envíen códigos de verificación con más frecuencia cuando los clientes compran online.

Express List permite a los Titulares de la Tarjeta agregar sitios web de establecimientos donde previamente han comprado online con frecuencia con su AMEX. Cuando un establecimiento aparece en el Express List de establecimientos de confianza del Titular (y donde no hayamos identificado la transacción como inusual o sospechosa), SCA no se aplicará

También es muy importante que American Express tenga las direcciones de correo electrónico y números de teléfono móvil actualizados de los Titulares para que el código de acceso de un solo uso se pueda enviar correctamente como parte de los nuevos requisitos de doble factor de autenticación de las transacciones SCA.

37. Bajo los requisitos de SCA, ¿cuál es el proceso de compra online para los Titulares de la Tarjeta?

Pagos online: SafeKey aparecerá más a menudo durante el proceso de pago. Al comprar online, los Titulares recibirán solicitudes de verificación más a menudo por SMS, correo electrónico o una notificaciones push. Para minimizar las solicitudes de verificación, los Titulares de la Tarjeta podrán usar Express List, nuestro servicio de beneficiarios de confianza. SCA solo será necesario cuando un pago supere el umbral de análisis de riesgo transaccional y el establecimiento no esté en Express List (y donde no hayamos identificado la transacción como inusual o sospechosa).

Pagos Contactless: Los pagos Contactless continuarán con normalidad, sin embargo, las nuevas regulaciones requerirán que los Titulares realicen una transacción de Chip y Pin cada vez que se haya alcanzado un gasto acumulativo Contactless de 130 euros/150 euros. La mayoría de las veces los Titulares podrán usar su Tarjeta Contactless como de costumbre, sin embargo, una transacción Contactless puede ser rechazada porque se haya alcanzado el umbral de gasto. En caso de que se rechace una transacción Contactless, el Titulares debe intentar la transacción de nuevo utilizando Chip & Pin.

Acceso a la Cuenta Online: Al iniciar sesión en su Cuenta Online de American Express, los Titulares tendrán que usar su nombre de usuario y contraseña como de costumbre. También podremos enviar una solicitud de verificación adicional por SMS, correo electrónico o notificación push. Por lo tanto, es importante que los Titulares se aseguren de que la información de su cuenta Online contenga su dirección de correo electrónico correcto.

American Express Europe, S.A. NIF A-82628041. Número de registro 6.837 en el Banco de España. Entidad de pago autorizada de acuerdo a la normativa de servicios de pago vigente. www.americanexpress.es