En español, in English, en français, em português.
La PSD2 s’acosta com un tsunami i, com va passar amb l’RGPD al maig del 2018, suposarà una revolució per al sector i un altre mal de cap per als hotels (o potser no tant, com més endavant veurem). Es tracta d’una normativa plena de sigles i tecnicismes, amb una data d’entrada en vigor propera i amb múltiples exempcions i excepcions. Per tant, tenim garantit un període de confusió, hores de debat i moltes presses per “adaptar-se”.
A Mirai portem mesos investigant sobre aquesta nova normativa i, en especial, sobre l’impacte que tindrà en els hotels i en la seva venda directa. Hem parlat amb molts experts en la matèria i en aquest apunt tractem de simplificar una normativa complexa, “traduir-la” al vocabulari hoteler i aclarir fins a quin grau afecta els hotels i la seva venda directa, així com les accions que cal dur a terme per “adaptar-se”.
Què és la normativa PSD2 i quan entra en vigor?
La PSD2 o la versió revisada de la PSD o directiva sobre serveis de pagament en el mercat interior (Payment Service Directive) és una normativa europea (In English) que entra en vigor el 14 de setembre del 2019 i, de manera molt resumida, ve a dir que en les transaccions en línia ja no n’hi haurà prou amb demanar la targeta de crèdit al client, sinó que per autoritzar una transacció caldrà una doble autenticació (coneguda en anglès per les sigles SCA o Strong Customer Authentication). Fet que es tradueix en què caldran, almenys, dos dels tres factors següents per poder fer la transacció:
- “El que el client té” com ara la targeta de crèdit o el telèfon mòbil.
- “El que el client sap” com ara una clau del banc o un PIN que li arriba al telèfon mòbil.
- “El que el client és” i l’identifica com ara una empremta dactilar o el reconeixement facial (identificació biomètrica).
Tot i que la data a oficial d’entrada en vigor és el 14 de setembre del 2019, hi ha múltiples rumors d’un possible ajornament davant el gran retard de tota la indústria (In English) (en especial, els emissors de targetes) a estar preparada per a aquesta data.
Què pretén la PSD2?
La PSD2 busca, entre altres objectius, fer el comerç electrònic més segur, i és que en els últims anys el frau amb targetes robades o duplicades s’ha disparat i ha generat una onada de retrocessions o chargebacks. Tot aquest frau suposa un problema cada vegada més gran per a tota la indústria: els comerços, els bancs, els emissors de targetes i les marques. Amb un sistema de doble autenticació (SCA), s’espera que el frau i, conseqüentment, els chargebacks es redueixin substancialment
La PSD2 busca també fer el comerç electrònic més amigable, facilitant els processos d’autenticació per acceptar els formats més nous com els biomètrics o els pagaments amb el mòbil en lloc de la targeta.
Finalment, busca reduir els costos de les transaccions en línia, liberalitzant l’accés a les interfícies bancàries (les API) i permetent que més empreses competeixin en aquest ecosistema de pagaments, cosa que comportarà més competència i menors costos.
Afecta la PSD2 a totes les transaccions?
No. Només estaran subjectes a la PSD2 les transaccions que compleixin aquestes dues condicions (les dues a la vegada).
- Que l’emissor (issuer) de la targeta sigui europeu (pertanyent als 28 països de la UE). Els emissors de les targetes no són les marques VISA, MasterCard o AMEX, sinó normalment els mateixos bancs o, en alguns casos, empreses que emeten targetes amb marques compartides (co-branded) com ara aerolínies (Iberia, Lufthansa) o grans magatzems (IKEA, Carrefour). No és, per tant, important la “nacionalitat” del client final, sinó la “nacionalitat” de l’emissor de la targeta.
- Que l’adquirent (acquirer) o la institució financera (normalment un banc), que processa la transacció en nom del comerç, sigui també europeu (en aquest cas, el teu banc).
Per tant, un client amb una targeta emesa pel Deutsche Bank que compra en una botiga en línia que cobra per CaixaBank a Espanya estaria sota l’àmbit de la PSD2 i el client hauria de passar per una doble autenticació per poder fer aquesta transacció.
Altrament, un client amb una targeta emesa pel Bank of America que compra en una botiga en línia que cobra aquesta transacció pel BBVA no estaria sota l’àmbit de la PSD2.
Hi haurà multes per a aquells que no “s’adaptin” a la PSD2?
A diferència de l’aplicació de l’RGPD, que era obligatòria per a tots els hotels (negocis en general), i en què hi poden haver inspeccions i multes, “l’adaptació” a la PSD2 es limita a un grup més reduït de negocis.
Principalment, són les passarel·les de pagament i el sector bancari o financer en general els que s’han d’adaptar. A qui el regulador vigilarà de prop és a ells i podria imposar-los sancions en cas d’incompliment.
Per tant, els hotels no seran objecte d’inspeccions ni per tant de sancions per l’aplicació de la normativa PSD2. La responsabilitat de tot comerç en línia (els hotels tenen la seva venda directa) es limitarà a l’elecció d’una plataforma de cobraments que estigui adaptada a la PSD2.
El Regne Unit forma part dels països sota l’àmbit de la PSD2?
Sí, mentre romangui dins de la UE.
Si finalment el Regne Unit surt de la UE (la nova data temptativa és el proper 31 d’octubre), quedarà per veure si hi ha un acord especial o és un país a tots els efectes fora de l’àmbit de la PSD2.
Quina relació té el 3DS2 amb la PSD2?
El 3DS2 és una evolució del sistema 3DS (fins ara anomenat 3DS o 3DS1) implantat fa anys especialment a Europa per aportar més seguretat a les transaccions en línia. A la pràctica, són aquelles compres en què ens demanen un PIN del mòbil o una clau addicional.
El 3DS2 és un nou estàndard d’un consorci de grans targetes anomenat EMVCo que intenta millorar l’experiència d’usuari de l’actual 3DS1 i aportar més seguretat. Es basa principalment en sol·licitar més dades al client sobre qui és o quin és el seu banc, així com acceptar la identificació amb tecnologies biomètriques (empremta o reconeixement facial) tant en terminals iOS com Android.
El 3DS2 serà el mètode de doble autenticació estàndard a Europa i vàlid per passar el test SCA que exigeix la PSD2 en les seves transaccions. Veurem, per tant, com els bancs van adaptant els seus estàndards passant de l’actual 3DS al 3DS2 en els propers anys. També s’espera que el 3DS2 no es quedi a l’àmbit europeu, sinó que es converteixi en un estàndard mundial.
A quines botigues o llocs web afecta la PSD2 i el 3DS2?
A tots els qui facin càrrecs electrònics (en línia) als seus clients, independentment del que venguin: roba o menjar, entrades (esports, cinema, etc.), viatges o hotels.
En el sector hoteler afectarà sobretot les empreses que treballen més en el model merchant (normalment, les agències de viatges en línia o les OTA) en què es cobra al client final a l’hora de fer la reserva. Totes aquestes empreses hauran d’adaptar-se ineludiblement a la PSD2.
En el cas dels hotels i de la seva venda directa, afectarà especialment les tarifes no reemborsables i el cobrament en el moment de la reserva. Totes les transaccions que estiguin sota l’àmbit de la PSD2 hauran de passar la doble autenticació (SCA).
Com afecta la meva venda telefònica o presencial?
De cap manera.
La venda telefònica i per correu electrònic (MO/TO o Mail Order and Telephone Order) és una de les exempcions de la PSD2 i es podrà continuar fent càrrecs de la mateixa manera, disposant només de la numeració de la targeta i sense la doble autenticació. Per fer-ho, s’ha de configurar el TPV per fer la transacció de tipus MO/TO i permetrà fer càrrecs sense cap problema.
La venda presencial tampoc canvia, perquè com que el client és davant, l’autorització de la compra té lloc en primera persona i físicament.
Com impacta la PSD2 en la meva venda directa?
A diferència de la majoria de les OTA (tret de Booking.com, per ara), els hotels no solen cobrar als clients a l’hora de fer una reserva. Per tant, la PSD2 no hauria de ser una obsessió ja que en la majoria de les reserves no és aplicable. Això no vol dir que no tingui cap impacte, perquè tampoc és així.
Diferenciarem entre reserves “pagament a l’hotel” (i normalment cancel·lació flexible) i reserves “pagament ara” (i normalment no reemborsables).
- Reserves flexibles i pagament del client a l’hotel.
- No hi ha cap transacció en línia de manera que la PSD2 no és aplicable.
- En cas de no presentar-se el client (no-show) o de cancel·lació fora del termini, disposaràs de la targeta que el client va deixar com a garantia. Veurem tot seguit que passarà amb aquests cobraments manuals.
- Reserves no reemborsables i pagament ara.
- El correcte seria utilitzar un terminal de pagament virtual o un TPV que verifiqui la doble autenticació del client en aquelles transaccions d’àmbit PSD2. El 14 de setembre totes les passarel·les bancàries han d’estar adaptades al 100 % a la nova normativa, de manera que no has de fer res, tret d’assegurar-te que la teva està adaptada. Plataformes com Redsys o Addon Payments asseguren que estaran adaptades per a aquesta data.
- Si actualment no utilitzes una passarel·la en línia per cobrar potser és el moment de plantejar-t’ho ja que cobrar manualment en el TPV físic amb una targeta procedent d’una reserva en línia cada vegada serà més complicat.
Podré cobrar amb el TPV físic amb targetes obtingudes de reserves en línia?
En l’operativa hotelera està molt assumit el cobrament manual en un TPV físic utilitzant la targeta de clients que han reservat pel web de l’hotel o per Booking.com. Els dos escenaris principals en què els hotels cobren així són:
- Per a reserves no reemborsables sense passarel·la en línia (el càrrec es fa manualment a l’hotel).
- Per cobrar no-shows o cancel·lacions fora de termini.
En tractar-se d’una targeta obtinguda electrònicament (per Internet), si la transacció està sota l’àmbit de la PSD2, s’hauria de requerir la doble autenticació per finalitzar la transacció. Vist així, amb només la numeració de la targeta NO podries fer un càrrec amb el TPV físic en aquests casos, ja que et faltaria la doble autenticació del client.
En canvi, hi ha un “calaix de sastre” que té tota la pinta de convertir-se en la taula de salvació dels hotels almenys a curt i a mig termini. Es tracta de l’exempció de la PSD2 en les reserves telefòniques (MO/TO). Com hem vist, les reserves fetes per telèfon o per correu electrònic estan exemptes d’aquesta doble autenticació i es cobrarien configurant el TPV en mode MO/TO en fer la transacció. Què o qui t’impedeix continuar gestionant aquestes reserves en línia i cobrar-les manualment (com fins ara) d’aquesta manera? Probablement ningú, almenys a curt i a mig termini. No és la solució ideal ni probablement sostenible a llarg termini (especialment si tens moltes retrocessions de clients, fet que no és l’escenari habitual), però sí per sortir del pas mentre es resol la gran confusió que hi ha actualment sobre el món de la PSD2.
Cal aclarir que cobrar amb targeta amb el TPV físic sense doble autenticació i sense presència del client continuarà sent un càrrec totalment reversible pel mateix client. I més amb l’entrada en vigor de la normativa PSD2.
Com complir al 100 % la PSD2 en la meva venda directa?
Hi ha dues alternatives que, tot i que et facin complir la PSD2, tenen inconvenients importants que en desaconsellen l’ús (almenys de moment):
- Incorporar una passarel·la bancària a totes les reserves (les flexibles i les no reemborsables). Així garantim que totes les transaccions dins de l’àmbit de la PSD2 passen la doble autenticació (SCA). En el cas de les reserves no reemborsables, es faria el càrrec al moment. En el cas de les reserves flexibles només es faria l’autenticació (no el cobrament) i es podria fer el càrrec més endavant (a la sortida, per exemple).
Per als qui vulguin més detalls, funciona tal com s’explica a continuació: després de l’autenticació de l’usuari, es genera un token o testimoni anomenat CAVV (Cardholder Authentication Verification Value) que, juntament amb la targeta, et permetria fer un càrrec a posteriori, separant el moment de la reserva del moment del pagament. Aquest CAVV només t’autoritzaria a cobrar el valor de la reserva i no un import superior.
El gran problema d’aquest plantejament és l’impacte previsible en la conversió que patirà la teva venda. Un fet natural ja que:
- Com més llarg sigui el procés de compra, més salts al web del banc o més camps sol·licitem (el 3DS2 inclouria obligatòriament els camps del correu electrònic i el telèfon per poder fer la transacció), més clients es quedaran pel camí.
- A més, encara no totes les targetes europees tenen sistemes de doble autenticació implantats, de manera que podríem deixar un percentatge dels nostres clients sense poder reservar.
- Finalment, tot i que les passarel·les bancàries s’adaptin a la PSD2, el problema de veritat vindrà per part dels emissors que no s’adaptaran a temps. Si un emissor de targeta denega o impossibilita la doble autenticació, és molt probable que aquesta transacció es perdi i, per tant, tu perdràs el client.
- Correu electrònic preestada amb enllaç a passarel·la de pagament. Una altra solució vàlida, tot i que de nou lluny de ser ideal, seria incorporar al PMS o CRS (i que té la informació de totes les reserves de pagament de l’hotel ja sigui del web propi o de Booking.com) un procés automàtic que 3-4 dies abans de l’arribada (de la data límit de cancel·lació, en realitat) enviï un correu electrònic al client amb un enllaç a una passarel·la de pagament convidant-lo a pagar en línia abans de la seva arribada. Seria en aquesta passarel·la on el client passaria la doble autenticació en cas d’estar la transacció dins de l’àmbit de la PSD2.
Els dubtes d’aquesta solució són:
- Incitaria a cancel·lar la reserva al client que no està del tot segur?
- Que passa si no finalitza el pagament? Li cancel·laràs la reserva? La hi mantindràs? La resposta pot variar segons la temporada, la teva ocupació, etc.
- El pitjor és que tot serà manual… i, per tant, un pas enrere.
- Tampoc resol molt bé la casuística dels clients que no es presentaran (no-shows) ja que molt probablement no contestarien, de manera que et quedaries amb la mateixa incertesa.
Que faran Booking.com i Expedia per adaptar-se a la nova normativa PSD2?
En el fons, el que facis tu amb la teva venda directa està molt relacionat amb el que facin els teus principals competidors, que són Expedia i Booking.com. Hem de pensar que és estrany el cas del client que reserva al teu web i que no ha visitat abans aquestes OTA.
Expedia treballa majoritàriament en el model merchant (cobra al client i després et paga a tu) de manera que Expedia haurà d’adaptar-se sí o sí a la PSD2. El dubte és què farà Expedia amb les reserves en el model agency (on el pagament del client és directe a l’hotel), que és el model majoritari de Booking.com (per ara). I és que les preguntes són: Passaran Expedia i Booking.com la doble autenticació al client en reserves de pagament a l’hotel? Si no ho fan… com cobraràs tu les no reemborsables o no-shows? Si ho fan, t’obligaran a utilitzar els seus mètodes de pagament via targeta virtual amb el consegüent augment de costos per a tu?
La realitat és que si decideixes adaptar-te a la PSD2 amb l’opció d’incorporar una passarel·la de pagament en la teva venda directa per a totes les reserves (no reemborsables i flexibles), i ni Booking.com ni Expedia (en el model agency) fan res per passar aquesta mateixa doble autenticació al client, pot ser un gran problema per a tu i que acabi amb un important transvasament de reserves del teu web cap a les OTA, perquè seria molt més fàcil reservar a les OTA que en el teu web.
En canvi, si són les OTA les que decideixen passar la doble autenticació fins i tot a les reserves de pagament a l’hotel i tu no ho exigeixes (o ho fas, però a posteriori i no en el moment de la reserva), pot donar-se el transvasament contrari de les OTA al teu canal directe.
No som ni Expedia ni Booking.com, però des de sempre la conversió ha estat capital per a les OTA i evitaran en la mesura del possible qualsevol canvi que comprometi la conversió. Per tant, és d’esperar que ni Expedia ni Booking.com (ambdues en el model agency) facin passos en fals. Recordem que poden al·legar que en les reserves de pagament a l’hotel no hi ha transacció en línia i, per tant, la doble autenticació no és necessària. Que la reserva és un no-show? No és un problema seu, sinó teu.
Des de Mirai creiem que les OTA, en especial Booking.com, tenen una ocasió única per fer una cosa que fa temps que persegueixen per passar d’un model agency a un model merchant. Amb l’excusa de la PSD2, podrien obligar a l’hotel a acceptar el model de cobrament per part de les OTA (almenys en les tarifes no reemborsables) i no oferir-lo com a opcional com fins ara. Ho farien, això sí, amb un discurs positivista en la línia de “deixa que ens encarreguem dels cobraments, inclosa aquesta complexa normativa i et deslliurem de qualsevol responsabilitat”.
Des d’un punt de vista hoteler la proposta és molt atractiva fins que t’adones que té dos grans inconvenients que la inhabiliten del tot:
- El cobrament per targetes virtuals augmenta el cost d’aquestes reserves entre un 1 % i un 3 % segons cada cas, que caldria sumar al ja elevat cost de les reserves de Booking.com.
- Permetre a Booking.com cobrar al client li obre la porta a fer disparitats, cosa que ja està fent des de fa temps amb els hotels que tenen aquests mitjans de pagament actius (un exemple seria el seu programa Early Payment Benefit). Permetre a Booking.com l’opció de fer disparitats és obrir una caixa de Pandora d’efectes insospitats.
I les Facilitated Bookings… què passarà amb aquestes?
Actualització setembre 2022: trivago tanca su opció de « Express Booking» per als hotels des del 1 de setembre de 2022
La PSD2 representa un nou repte per als assistents de reserves dels metacercadors. Parlem principalment d’Instant Booking de TripAdvisor, de trivago Express Booking (tEB) de trivago o de Book on Google (BoG).
En aquests assistents de reserva, el client introdueix la targeta de crèdit en les seves interfícies i, per tant, són ells els responsables de donar una solució tècnica amb garanties per complir la PSD2. Veurem quines solucions apliquen i quan estaran disponibles. Ens consta que hi estan treballant i aviat veurem els resultats.
Tret de trivago Express Booking (tEB), ara mateix cap d’aquests sistemes permetia la doble autenticació amb 3DS, així que no canviarà res el 14 de setembre. Els hotels podran continuar cobrant com fins ara sempre que les seves passarel·les bancàries els ho permetin. O cobrant manualment com feien molts.
Passarà alguna cosa el 14 de setembre del 2019 quan entri en vigor la PSD2?
No. Creiem que no passarà res.
Pocs estaran preparats aleshores: ni les passarel·les ni les TPV (tot i que els més importants asseguren que sí) ni els bancs, ni molts menys els emissors de targetes, que semblen ser la baula més lenta de la cadena.
En canvi, el 14 de setembre serà un punt d’inflexió en què tota la indústria haurà de reflexionar i començar a prendre decisions en línia amb l’essència de la PSD2. Una vegada més, ha d’entrar en vigor la regulació perquè ens la prenguem seriosament.
La nostra recomanació
Com hem vist, l’impacte de la PSD2 en la venda directa no és molt gran. Continuar operant com fins ara seria probablement la millor recomanació, almenys en una primera fase, fins que ens assegurem que el sector bancari s’adapta convenientment i controlem de prop els moviments de les OTA. I tot assumint que els TPV físics permetran cobrar manualment amb les targetes utilitzant el mode MO/TO, tal com diu la normativa.
No creiem que compensi introduir un TPV en línia per cobrar o autenticar totes les reserves. L’impacte en la conversió podria ser contraproduent, en especial si les OTA opten per no validar res.
Recomanaríem, si de cas, i a mig termini, un plantejament del tipus “validació del client a posteriori” enviant un correu electrònic al client des del PMS o CRM uns dies abans de l’arribada en totes les reserves amb pagament a l’hotel (venda directa i OTA model agency). Aquesta solució no és perfecta, però almenys t’acosta més al compliment estricte de la PSD2.
Quan vegem les decisions que prenen les principals OTA que funcionen en model agency (principalment Booking.com, tot i que també Expedia), serà el moment de replantejar la decisió presa sobre la teva venda directa.
Conclusió
La PSD2 suposarà un nou repte per al comerç en línia i el client guanyarà en seguretat i, amb el 3DS2, en comoditat i usabilitat. Però això serà a llarg termini. Avui dia, la confusió encara és gran i la indústria sembla no estar preparada. De fet, ja es parla de moratòries abans que hi hagi un caos generalitzat.
Els hotels no s’han de relaxar i s’han d’informar bé sobre aquesta normativa i sobre l’impacte que té en la indústria, en general, i en la seva venda directa, en particular. De fet, no està de més avançar feina i informar-se de les passarel·les de pagament en línia disponibles i de les seves condicions, ja que sembla que la indústria va en aquesta direcció, almenys per cobrar les tarifes no reemborsables.
Altrament, tampoc no s’han d’alarmar i prendre decisions equivocades que puguin penalitzar la seva venda directa. Amb la informació disponible avui dia, el més raonable sembla ser esperar que s’aclareixi tota la confusió existent, que s’adaptin adequadament tots els operadors de la indústria (bancs, passarel·les, emissors, etc.) i veure quina decisió prenen les principals OTA.
Buenos dias, que pasaría segun vosotros con los cobros de no-show (o cancelaciones fuera de plazo) de tarifas flexibles? Para que este cargo se pueda enviar como MIT y haya liability shift al banco en caso de chargeback sería necesaria la doble autenticacion del cliente en la primera transaccion que es algo inusual en el caso de que no se esté efectuando la reserva con tarifa prepago.
Es decir, se prevee un cambio del modelo actual y se pedirá doble autenticacion tambien en caso de tarifas flexibles?
Un saludo
Hola Mauro,
Como bien dices el cobro “manual” de una tarifa flexible (en caso de no show) no se podría con PSD2 en la mano y el TPV debería pedirte la doble autenticación (que no tienes). Esto no ocurrirá, al menos a corto plazo porque los TPV no están listos ni los bancos ni emisores tampoco.
Pero técnicamente será así y cuando ocurra no quedará otra que o bien doble-autenticar todas las reservas flexibles (algo que no recomendaríamos porque la conversión bajará sí o sí) o tratar de doble-autenticar al cliente antes de su llegada mediante un email pre-estancia o contactando con él de otra manera (algo que no hará porque si piensa hacer un no-show no contestará seguro).
Con el tiempo la doble autenticación será mucho más natural y no impactará en la conversión pero a corto y medio creemos que es una locura hacer pasar a los clientes por este camino para reservar tarifas flexibles y pago en el hotel.
Espero hayamos sido capaces de responder a tu pregunta.
Un saludo,
Vuestras sospechas se han cumplido:
Ayer recibimos un email y Booking.com no se hara cargo del PSD2 en modelo agency y como anticipasteis, recomiendan pasarnos al modelo merchant de las tarjetas virtuales.
Hay algo que se pueda hacer en este punto?
Gracias por vuestra ayuda y vuestro blog.
Llevo muchos días leyendo distintas informaciones sobre el tema y hablando con Booking, con el banco, con el servidor de mi web para poner una pasarela de pago, etc.
Quiero agradecer vuestra nota porque hasta ahora es lo único que he leído, entendido y que dan posibles soluciones para cada caso.
Felicidades y muchas gracias,
Fantástico post. Gracias Pablo y Daniel. Sois los maestros de la CLARIDAD!
Abrazos,
N.O.