In English, en français, en catalá, em português.
PSD2 se acerca como un tsunami y, al igual que ocurrió con GDPR en mayo de 2018, supondrá una revolución para el sector y un nuevo dolor de cabeza para los hoteles (o quizá no tanto, como luego veremos). Se trata de una norma llena de siglas y tecnicismos, con una fecha cercana de entrada en vigor y con múltiples exenciones y excepciones. Por tanto, tenemos garantizado un periodo de confusión, horas de debate y muchas prisas por “adaptarse”.
En Mirai llevamos meses investigando sobre esta nueva normativa y, en especial, sobre el impacto que tendrá en los hoteles y su venta directa. Hemos hablado con muchos expertos en la materia y tratamos en este post de simplificar una normativa compleja, “traducirla” al vocabulario hotelero y aclarar en qué grado afecta a los hoteles y a su venta directa, así como las acciones a llevar a cabo para “adaptarse”.
¿Qué es la normativa PSD2 y cuándo entra en vigor?
PSD2 o la versión revisada de PSD (Payment Service Directive), es una normativa europea (In English) que entra en vigor el 14 de septiembre de 2019 y, de manera muy resumida, viene a decir que en las transacciones online ya no será suficiente con pedir la tarjeta de crédito al cliente, sino que para autorizar una transacción hará falta una doble autenticación (conocida en inglés por las siglas SCA o Strong Customer Authentication). Esto se traduce en que harán falta, al menos, dos de los tres factores siguientes para poder hacer la transacción:
- “Lo que el cliente tiene” como la tarjeta de crédito o el teléfono móvil.
- “Lo que el cliente sabe” como una clave del banco o un PIN que le llega al teléfono móvil.
- “Lo que el cliente es” y te identifica como una huella dactilar o el reconocimiento facial (identificación biométrica).
Aunque la fecha oficial de entrada en vigor es el 14 de septiembre de 2019, hay múltiples rumores de un posible retraso ante el gran retraso de toda la industria ( In English) (en especial los emisores de tarjetas) en estar listo para esta fecha.
¿Qué persigue PSD2?
PSD2 busca, entre otros objetivos, hacer el comercio electrónico más seguro, y es que en los últimos años el fraude con tarjetas robadas o duplicadas se ha disparado y generado una oleada de retrocesos o chargebacks. Todo este fraude supone cada vez un mayor problema para toda la industria: los comercios, los bancos, los emisores de tarjetas y las marcas. Con un sistema de doble autenticación (SCA), es de esperar que tanto el fraude, y por consiguiente los chargebacks, se reduzcan sustancialmente.
PSD2 busca también hacer el comercio electrónico más amigable, facilitando los procesos de autenticación para aceptar formatos novedosos como los biométricos o pagos con el móvil en lugar de la tarjeta.
Por último, busca reducir los costes de las transacciones online, liberalizando el acceso a las interfaces bancarias (APIs) y permitiendo a más empresas competir en este ecosistema de pagos, lo cual traerá mayor competencia y menores costes.
¿Afecta PSD2 a todas las transacciones?
No. Solo estarán sujetas a PSD2 las transacciones que cumplan estas dos condiciones (las dos a la vez).
- El emisor (issuer) de la tarjeta sea europeo (perteneciente a los 25 países de la UE). Los emisores de las tarjetas no son las marcas VISA, MasterCard o AMEX sino normalmente los propios bancos o en algunos casos, empresas que emiten tarjetas co-branded como aerolíneas (Iberia, Lufthansa) o grandes almacenes (IKEA, Carrefour). No es, por tanto, relevante la “nacionalidad” del cliente final sino la “nacionalidad” del emisor de la tarjeta.
- El adquirente (acquirer), o la institución financiera (normalmente un banco) que procesa la transacción en nombre del comercio, sea también europeo (en este caso, tu banco).
Por tanto, un cliente con una tarjeta emitida por Deutsche Bank comprando en una tienda online que cobra en el CaixaBank en España estaría bajo el ámbito PSD2 y el cliente debería pasar por una doble autenticación para poder realizar esa transacción.
Por el contrario, un cliente con una tarjeta emitida por Bank of America comprando en una tienda online cobrando dicha transacción en el BBVA no estaría bajo el ámbito PSD2.
¿Habrá multas a aquellos que no se “adapten” a PSD2?
A diferencia de la aplicación de la GDPR que era obligatoria para todos los hoteles (negocios en general), y donde sí puede haber inspecciones y multas, la “adaptación” a PSD2 se limita a un grupo mucho más reducido de negocios.
Son principalmente las pasarelas de pago y el sector bancario o financiero en general los que se deben adaptar. Es a ellos a los que el regulador vigilará de cerca y podría imponer sanciones en caso de incumplimiento.
Por tanto, los hoteles no serán objeto de inspecciones ni por tanto sanciones por la aplicación de la normativa PSD2. La responsabilidad de todo comercio online (los hoteles lo tienen en su venta directa) se limitará a la elección de una plataforma de cobros que sí esté adaptada a PSD2.
¿Reino Unido forma parte de los países con ámbito PSD2?
Sí, mientras que permanezca dentro de la UE.
Si finalmente Reino Unido sale de la UE (siguiente fecha tentativa es el próximo 31 de octubre), estará todo por ver si hay un acuerdo especial o es un país a todos los efectos fuera de ámbito PSD2.
¿Qué tiene que ver 3DS2 con PSD2?
3DS2 es una evolución del sistema 3DS (hasta ahora llamado 3DS o 3DS1) implantado hace años especialmente en Europa para aportar más seguridad en las transacciones online. En la práctica, son aquellas compras donde nos piden un PIN en el teléfono o una clave adicional.
3DS2 es un nuevo estándar de un consorcio de grandes tarjetas llamado EMVCo que trata de mejorar la experiencia de usuario del actual 3DS1 y aportar mayor seguridad. Se apoya principalmente en solicitar más datos al cliente sobre quién es o cuál es su banco, así como aceptar identificación con tecnologías biométricas (huella o reconocimiento facial) tanto en terminales iOS como Android.
3DS2 será el método de doble autenticación estándar en Europa y válido para pasar el test SCA que exige PSD2 en sus transacciones. Veremos, por tanto, cómo los bancos van adaptando sus estándares pasando del actual 3DS a 3DS2 en próximos años. También se espera que 3DS2 no se quede en ámbito europeo sino que se convierta en un estándar mundial.
¿A qué tiendas o sitios web afecta PSD2 y 3DS2?
A todo aquel que haga cargos electrónicos (online) a sus clientes, independientemente de lo que vendan: ropa o comida, entradas (deportes, cines, etc.), viajes u hoteles.
En el sector hotelero afectará sobre todo a las empresas (normalmente OTAs) que trabajan más en el modelo merchant donde se cobra al cliente final a la hora de hacer la reserva. Todas estas empresas tendrán que adaptarse ineludiblemente a PSD2.
En el caso de los hoteles y su venta directa, afectará especialmente en las tarifas no reembolsables y cobro en el momento de la reserva. Todas las transacciones que se encuentren bajo el ámbito PSD2 deberán pasar la doble autenticación (SCA).
¿Cómo afecta a mi venta telefónica o presencial?
De ninguna manera.
La venta telefónica y por email (MOTO o Mail Order and Telephone Order) es una de las exenciones de PSD2 y se podrá seguir haciendo cargos de la misma manera disponiendo sólo de la numeración de la tarjeta y sin doble autenticación. Para hacerlo, se deberá configurar el TPV para hacer la transacción con el tipo MO-TO y permitirá hacer cargos sin problema alguno.
La venta presencial tampoco cambia ya que estando el cliente delante, la autorización de la compra ocurre en primera persona y físicamente.
¿Cómo impacta PSD2 en mi venta directa?
A diferencia de la mayoría de las OTA (salvo Booking.com … por ahora), los hoteles no suelen cobrar a los clientes a la hora de hacer una reserva. Por tanto, PSD2 no debería ser una obsesión ya que en la mayoría de las reservas no aplica. Esto no quiere decir que no tenga impacto alguno ya que no es así tampoco.
Diferenciaremos entre reservas “pago en el hotel” (y normalmente cancelación flexible) y reservas “pago ahora” (y normalmente no reembolsables).
- Reservas flexibles y pago del cliente en el hotel.
- No hay transacción online alguna por lo que PSD2 no aplica.
- En caso de no-show o cancelación fuera de plazo, dispondrás de la tarjeta que el cliente dejó como garantía. Veremos a continuación qué pasará con estos cobros manuales.
- Reservas no reembolsables y pago ahora.
- Lo correcto sería usar un terminal de pagos virtual o TPV que verifique la doble autenticación del cliente en aquellas transacciones de ámbito PSD2. A fecha 14 de septiembre, todas las pasarelas bancarias deben estar 100% adaptadas a la normativa por lo que tú no tienes que hacer nada salvo asegurarte que la tuya está adaptada. Plataformas como Redsys o Addon Payments aseguran estarán adaptadas para esta fecha.
- Si no usas en la actualidad una pasarela online para cobrar quizá sea el momento de pensártelo ya que cobrar a mano en el TPV físico una tarjeta proveniente de una reserva online se pondrá cada vez más complicado.
¿Podré cobrar con el TPV físico a tarjetas obtenidas de reservas online?
En la operativa hotelera está muy asumido el cobrar a mano en un TPV físico usando la tarjeta de clientes que han reservado por la web del hotel o por Booking.com. Los dos escenarios principales que los hoteles cobran así son:
- Reservas no reembolsables sin pasarela online (el cargo se hace a mano en el hotel).
- Cobrar no-shows o cancelaciones fuera de plazo.
Al tratarse de una tarjeta obtenida electrónicamente (por internet), si la transacción está en el ámbito PSD2, la doble autenticación debería ser requerida para terminar la transacción. Visto así, con sólo la numeración de la tarjeta NO podrías hacer un cargo con el TPV físico en estos casos, ya que te faltaría la doble autenticación al cliente.
En cambio, hay un “cajón de sastre” que tiene toda la pinta de convertirse en la tabla de salvación de los hoteles al menos a corto y medio plazo. Se trata de la exención de PSD2 en las reservas telefónicas (MO-TO). Como hemos visto, las reservas hechas por teléfono o por email están exentas de esta doble autenticación y se cobrarían configurando el TPV en modo MO-TO al hacer la transacción. ¿Qué o quién te impide seguir gestionado estas reservas online y cobrarlas a mano (como hasta ahora) de esta manera? Probablemente nadie, al menos a corto plazo. No es la solución ideal ni probablemente sostenible a largo plazo (especialmente si tienes muchos retrocesos por parte de clientes que no es el escenario habitual) pero sí para salir del paso mientras se resuelve la gran confusión que existe actualmente sobre el mundo PSD2.
Aclarar que el cobrar una tarjeta con el TPV físico sin doble autenticación y sin presencia del cliente seguirá siendo un cargo totalmente retrocedible por el mismo. Y más con la entrada en vigor de la normativa PSD2.
¿Cómo cumplir al 100% PSD2 en mi venta directa?
Existen dos alternativas que, aunque te hagan cumplir PSD2, tienen importantes inconvenientes que desaconsejan su uso (al menos de momento):
- Incorporar una pasarela bancaria a todas las reservas (las flexibles y las no reembolsables). Así garantizamos que todas las transacciones dentro del ámbito PSD2 pasan la doble autenticación (SCA). En el caso de las reservas no reembolsables, se haría el cargo en el momento. En el caso de las reservas flexibles sólo se haría la autenticación (no el cobro) pudiendo hacer el cargo más adelante (en checkout por ejemplo).
Para los que quieran más detalles, esto funciona como sigue: Tras la autenticación del usuario, se genera un token llamado CAVV (Cardholder Authentication Verification Value) que, junto a la tarjeta, te permitiría hacer un cargo a posteriori desacoplando el momento de la reserva del momento del pago. Este CAVV sólo te autorizaría a cobrar el valor de la reserva y no un importe superior.
El gran problema de este approach es el previsible impacto en la conversión que sufrirá tu venta. Algo natural ya que:
- Cuanto más largo sea el proceso de compra, más saltos a la web del banco o más campos solicitemos (3DS2 incluiría obligatoriamente los campos del email y el teléfono para poder hacer la transacción), más clientes se quedarán por el camino.
- Además, no todas las tarjetas europeas tienen sistemas de doble autenticación implantados todavía, por lo que podríamos dejar un porcentaje de nuestros clientes sin poder reservar.
- Por último, aunque las pasarelas bancarias se adapten a PSD2, el problema de verdad vendrá por el lado de los emisores que no se adaptarán a tiempo. Si un emisor de tarjeta deniega o imposibilita la doble autenticación, es muy probable que esa transacción se pierda y por tanto tú pierdas el cliente.
- Email pre-estancia con link a pasarela de pagos. Otra solución válida, aunque de nuevo lejos de ser ideal, sería incorporar al PMS o CRS (y que tiene la información de todas las reservas de pago en el hotel ya sea de la web propia o de Booking.com) un proceso automático que 3-4 días antes de la llegada (de la fecha límite de cancelación, realmente) envíe un email al cliente con un link a una pasarela de pagos invitándole a pagar online antes de su llegada. Sería en esta pasarela donde el cliente pasaría la doble autenticación en caso de estar la transacción dentro del ámbito PSD2.
Las dudas de esta solución son:
- ¿Incitaría a cancelar la reserva al cliente que no está del todo seguro?
- ¿Qué pasa si no termina el pago? ¿Le cancelarás la reserva? ¿La mantendrás? La respuesta puede variar según la temporada, tu ocupación, etc.
- Lo peor es que todo será manual… y, por tanto, un paso atrás.
- Que tampoco resuelve muy bien la casuística de los clientes que iban a hacer un no-show ya que muy probablemente no contestarían, por lo que estarías con la misma incertidumbre.
¿Qué harán Booking.com y Expedia para adaptarse a la nueva normativa PSD2?
En el fondo, lo que hagas tú con tu venta directa está muy relacionado con lo que hagan tus principales competidores que son Expedia y Booking.com. Debemos pensar que raro es el cliente que reserva en tu web y que antes no ha visitado estas OTAs.
Expedia trabaja mayoritariamente en el modelo merchant (cobra al cliente para luego pagarte a ti) por lo que Expedia tendrá que adaptarse sí o sí a PSD2. La duda es qué hará Expedia con las reservas en el modelo agency (donde el pago del cliente es directo al hotel), que es el modelo mayoritario de Booking.com (por ahora). Y es que las preguntas son ¿Pasarán Expedia y Booking.com la doble autenticación al cliente en reservas de pago en el hotel? Si no lo hacen … ¿cómo cobrarás tú las no reembolsables o no-shows? Si sí lo hacen, ¿te obligarán a usar sus métodos de pago vía tarjeta virtual con el consiguiente aumento de costes para ti?
La realidad es que si decides adaptarte a PSD2 con la opción de incorporar una pasarela de pago en tu venta directa para todas las reservas (no reembolsables y flexibles), y ni Booking.com ni Expedia (en el modelo agency) hacen nada para pasar esta misma doble autenticación al cliente, puede ser un gran problema para ti y acabar en un importante trasvase de reservas de tu web hacia la OTA, ya que sería mucho más fácil reservar en las OTA que en tu web.
En cambio, si son las OTA las que deciden pasar la doble autenticación incluso a las reservas de pago en el hotel y tú no lo exiges (o lo haces pero a posteriori y no en el momento de la reserva), puede ocurrir el trasvase contrario de las OTA a tu canal directo.
No somos ni Expedia ni Booking.com, pero de siempre la conversión ha sido capital para las OTA y evitarán en la medida de lo posible todo cambio que haga sufrir a la conversión. Por tanto, es de esperar que ni Expedia ni Booking.com (ambas en el modelo agency) den pasos en falso. Recordemos que pueden alegar en las reservas de pago en el hotel no hay transacción online y por tanto la doble autenticación no es necesaria. ¿Que la reserva es un no-show? No es un problema suyo sino tuyo.
Desde Mirai creemos que las OTA, en especial Booking.com, se encuentran con una ocasión única para hacer algo que viene persiguiendo desde hace tiempo para pasar de un modelo agency a un modelo merchant. Con la excusa de PSD2, podrían obligar al hotel a aceptar el modelo de cobro por parte de la OTA (al menos en las tarifas no reembolsables) y no ofrecerlo como opcional como hasta ahora. Lo harían, eso sí, con un discurso positivado en la línea de “deja que nos encarguemos de los cobros, incluida esta compleja normativa y quitándote a ti de cualquier responsabilidad”.
Desde un punto de vista hotelero la propuesta es muy atractiva hasta que te das cuenta de que tiene dos grandes inconvenientes que la inhabilitan por completo:
- El cobro por tarjetas virtuales eleva el coste de estas reservas entre un 1% y un 3% según cada caso, que habría que sumar al ya elevado coste de las reservas de Booking.com
- Permitir a Booking.com cobrar al cliente le abre las puertas a hacer disparidades, algo que ya viene haciendo desde hace tiempo con los hoteles que tienen estos medios de pago activos (un ejemplo sería su programa Early Payment Benefit). Permitir a Booking.com la opción de hacer disparidades es abrir una caja de Pandora de efectos insospechados.
Y las Facilitated Bookings… ¿qué pasará con ellas?
Actualización septiembre 2022: trivago cierra su opción de «Express Booking» para los hoteles desde el 1 de octubre de 2022
PSD2 representa un nuevo reto a los asistentes de reservas de los metabuscadores. Hablamos principalmente de Instant Booking de TripAdvisor, de trivago Express Booking (tEB) de trivago o de Book on Google (BoG).
En estos asistentes de reserva, el cliente introduce la tarjeta de crédito en sus interfaces y por tanto son ellos los responsables de dar una solución técnica de garantías para cumplir PSD2. Veremos qué soluciones aplican y para cuándo estarán disponibles. Nos consta que están trabajando en ello y pronto veremos los resultados.
Salvo trivago Express Booking (tEB), ninguno de estos sistemas permitía la doble autenticación con 3DS ahora mismo por lo que nada cambiará el 14 de septiembre. Los hoteles podrán seguir cobrando como hasta ahora siempre que sus pasarelas bancarias se lo permitan. O cobrando a mano la como hacían muchos.
¿Ocurrirá algo el 14 de septiembre de 2019 cuando entre en vigor PSD2?
No. Creemos que no pasará nada.
Pocos estarán listos para entonces: Las pasarelas o TPVs (aunque los más importantes aseguran que sí) ni los bancos y, ni mucho menos, los emisores de tarjetas, que parece ser será el eslabón más lento de la cadena.
En cambio, el 14 de septiembre será un punto de inflexión en el que toda la industria tendrá que reflexionar y empezar a tomar decisiones en línea con la esencia de PSD2. Una vez más, tiene que entrar en vigor la regulación para que nos lo tomemos en serio.
Nuestra recomendación
Visto lo visto, el impacto de PSD2 en la venta directa no es muy elevado. Seguir operando como hasta ahora sería probablemente la mejor recomendación, al menos en una primera fase, hasta que nos aseguremos que el sector bancario se adapte convenientemente y monitoricemos de cerca los movimientos de las OTA. Y todo asumiendo que los TPV físicos permitirán cobrar a mano a las tarjetas usando el modo MO-TO, como así dice la normativa.
No creemos que compense introducir un TPV online para cobrar o autenticar todas las reservas. El impacto en la conversión podría ser contraproducente, en especial si las OTA optan por no validar nada.
Recomendaríamos, si acaso, y a medio plazo, un approach del tipo “validación del cliente a posteriori” enviando un email al cliente desde el PMS o CRM unos días antes de la llegada en todas las reservas pago en el hotel (venta directa y OTA modelo agency). Esta solución no es perfecta, pero al menos te acerca más al cumplimiento estricto de PSD2.
Cuando veamos las decisiones que toman las principales OTA que funcionan en modelo agency (principalmente Booking.com, aunque también Expedia), será momento de replantear la decisión tomada sobre tu venta directa.
Conclusión
PSD2 supondrá una nueva vuelta de tuerca en el comercio online y el cliente ganará en seguridad y, con 3DS2, en comodidad y usabilidad. Pero eso será en el largo plazo. A día de hoy, la confusión todavía es elevada y la industria no parece estar lista. De hecho ya se habla de moratorias antes de que ocurra un caos generalizado.
Los hoteles no deben relajarse y deben informarse bien de esta normativa y del impacto que tiene en la industria en general y en su venta directa en particular. De hecho, no está de más adelantar trabajo y conocer las pasarelas de pago online disponibles y sus condiciones, ya que parece que la industria va en esta dirección, al menos para cobrar las tarifas no reembolsables.
En cambio, tampoco deben alarmarse y tomar decisiones equivocadas que puedan penalizar su venta directa. Con la información disponible hoy en día, lo más razonable parece ser esperar a que se aclare toda la confusión existente, que se adapten adecuadamente todos los players de la industria (bancos, pasarelas, emisores, etc.), así como ver qué decisión toman las principales OTAs.
Buenos dias, que pasaría segun vosotros con los cobros de no-show (o cancelaciones fuera de plazo) de tarifas flexibles? Para que este cargo se pueda enviar como MIT y haya liability shift al banco en caso de chargeback sería necesaria la doble autenticacion del cliente en la primera transaccion que es algo inusual en el caso de que no se esté efectuando la reserva con tarifa prepago.
Es decir, se prevee un cambio del modelo actual y se pedirá doble autenticacion tambien en caso de tarifas flexibles?
Un saludo
Hola Mauro,
Como bien dices el cobro “manual” de una tarifa flexible (en caso de no show) no se podría con PSD2 en la mano y el TPV debería pedirte la doble autenticación (que no tienes). Esto no ocurrirá, al menos a corto plazo porque los TPV no están listos ni los bancos ni emisores tampoco.
Pero técnicamente será así y cuando ocurra no quedará otra que o bien doble-autenticar todas las reservas flexibles (algo que no recomendaríamos porque la conversión bajará sí o sí) o tratar de doble-autenticar al cliente antes de su llegada mediante un email pre-estancia o contactando con él de otra manera (algo que no hará porque si piensa hacer un no-show no contestará seguro).
Con el tiempo la doble autenticación será mucho más natural y no impactará en la conversión pero a corto y medio creemos que es una locura hacer pasar a los clientes por este camino para reservar tarifas flexibles y pago en el hotel.
Espero hayamos sido capaces de responder a tu pregunta.
Un saludo,
Vuestras sospechas se han cumplido:
Ayer recibimos un email y Booking.com no se hara cargo del PSD2 en modelo agency y como anticipasteis, recomiendan pasarnos al modelo merchant de las tarjetas virtuales.
Hay algo que se pueda hacer en este punto?
Gracias por vuestra ayuda y vuestro blog.
Llevo muchos días leyendo distintas informaciones sobre el tema y hablando con Booking, con el banco, con el servidor de mi web para poner una pasarela de pago, etc.
Quiero agradecer vuestra nota porque hasta ahora es lo único que he leído, entendido y que dan posibles soluciones para cada caso.
Felicidades y muchas gracias,
Fantástico post. Gracias Pablo y Daniel. Sois los maestros de la CLARIDAD!
Abrazos,
N.O.