Vull deixar molt clar que avui dia Stripe i Redsys són idèntics en molts aspectes, incloent el poder pagar directament des del checkout sense abandonar el lloc com podeu provar a la meva botiga d’exemple mitjançant InSite, i encara que molta gent contínuament afirmi que Stripe és millor per als pagaments ja que hi ha una major finalització de pagament, no és cert. Bé, puntualitzem, és cert si es parla des del desconeixement real de com funciona Redsys (realment la PSD2) i Stripe, ja que amb Redsys podem igualar la mateixa baixa taxa d’abandonament que existeix en Stripe en el pagament (que és molt reduïda) i fins i tot reduir-la (sí, reduir-la), només cal conèixer la possibilitat i el que significa això per al comerç. I no, no té res a veure amb “la tecnologia superior” de Stripe, com moltes persones repeteixen constantment com si fos un mantra.
Però per entendre tot això cal començar des del principi. A finals de 2018 es va començar a aplicar de forma progressiva la nova normativa PSD2. Al setembre de 2019 va entrar en vigor i qui ho sol·licitava podia començar a utilitzar-la en les seves terminals, i el 31 de desembre de 2020 va ser d’obligat compliment, encara que en alguns casos van activar al llarg de 2021 el flux PSD2 en les terminals per sol·licituds d’empreses que no els “havia donat temps” a adequar el seu codi. Ho entrecomillo perquè havien tingut gairebé 3 anys per fer-ho, així que més que no haguessin tingut temps, havia estat deixadesa (segons la meva forma de veure-ho). Jo vaig estar adequant el meu plugin premium de Redsys al llarg de 4 mesos, sense moltes presses, aconseguint alliberar una versió beta donant ja suport a la PSD2 al setembre de 2020 per tenir feedback d’usuaris abans que fos obligatori 4 mesos abans que entrés en ús de forma obligatòria. De fet en aquell moment vaig ajudar a moltes empreses a adequar el codi dels seus llocs fets a mida a la PSD2 i vaig assessorar a diverses empreses conegudes de desenvolupament, ja que la veritat és que no és senzill i era més fàcil acudir a algú que ja havia estat “pelejant” per aplicar la nova normativa, que no començar de zero buscant informació.
En què consisteix exactament la PSD2? És bàsicament una doble autenticació de compra. Fins a la posada en marxa de la PSD2, l’autenticació consistia en el CVV/CVC i en alguns casos en l’enviament d’un SMS si sol·licitaves al banc que t’ho activessin (alguns bancs t’ho activaven encara que no ho sol·licitessis), molta gent no ho sabia o no ho volia activar “per comoditat”. Després de l’entrada en vigor de la PSD2, aquesta segona autenticació, que per regla general consisteix en autoritzar l’operació a través de l’aplicació del banc, era obligatòria a Europa. Això va augmentar enormement la seguretat, però també la complicació en el pagament per a moltes persones, tant que alguns encara avui dia no ho finalitzen per no saber-ho fer, o per exemple perquè no tenen el mòbil a mà.
I aquí comença el punt important, així que grava-t’ho a foc perquè ho tinguis molt en compte i clar. Aquesta seguretat és bidireccional. Què vol dir? Que dóna seguretat tant al client que compra en un comerç amb la seva targeta, com al comerç que qui compra és realment el propietari de la targeta i està garantit pel sistema bancari, és a dir, que qui compra té seguretat que al tenir la doble autenticació el comerç no podrà utilitzar la seva targeta per realitzar cobraments indeguts, i el comerç sap que si li han pagat la comanda ho cobrarà perquè el sistema bancari li ha garantit que la persona que ha comprat és la propietària de la targeta, per la qual cosa en cas de robatori de targeta (per exemple), vas a cobrar igual si aquesta operació ha estat autenticada.
Comences a veure una mica per on van els trets? Ahí està bàsicament la diferència entre Stripe i Redsys. Stripe demana moltíssimes menys autenticacions (en la pràctica gairebé nul·les) i Redsys sol·licita per defecte autenticar pràcticament en totes les operacions. Això és el que provoca que hi hagi moltes més finalitzacions de pagament en Stripe que en Redsys. Però com pot ser això si la PSD2 obliga a l’autenticació? I què passa amb totes aquelles operacions no autenticades en Stripe? Suposo que t’hauràs fet aquestes dues preguntes, i si no te les has fet hauries d’haver-te-les fet amb tot el que t’he explicat fins a aquest moment.
Dins de la directiva PSD2 existeixen les exempcions, que són conegudes com SCA (Strong Consumer Authentication o autenticació reforçada dels consumidors). Hi ha diversos SCA, però hi ha tres en particular importants en aquest àmbit. Una és el MIT, que no aplica en aquest cas ja que és exclusiu de subscripcions. Els que hem de conèixer i tenir en compte són el LWV i el TRA.
El LWV és un SCA que s’aplica quan la comanda és de baix cost. És a dir, quan l’import és menor a 30€ es pot enviar en la sol·licitud de cobrament i no se sol·licitarà l’autenticació. Stripe ho aplica directament si la comanda entra dins del rang de preu i en Redsys cal sol·licitar-ho perquè ho activin i enviar el SCA en el moment del cobrament d’una comanda si procedeix. Traslladat al món offline, és quan pagues en un comerç físic amb la targeta, i pel valor de la compra no se’t sol·licita el pin per pagar, òbviament això ja no es nota tant si pagues amb mòbil a través de NFC, perquè sempre sol·licita la impressió per seguretat d’accés al mètode de pagament, com a mínim amb l’aplicació que jo utilitzo (CaixaBank).
El TAR, que és el “perillós”, és com el LWV, però amb la diferència que és per imports molt més alts. TRA significa (Transaction Risk Analysis). L’aplicació màxima del SCA TRA sol dependre del banc en el cas de Redsys, però per regla general són molt reàcits a activar-ho/acceptar-ho per imports superiors a 250€. Si t’activation TRA en Redsys, podràs sol·licitar que s’apliqui i Redsys realitzarà una valoració si ho envia o no a l’emissor, però tingueu en compte que el risc l’assumireu vosaltres (com ja explicaré una mica més tard). Stripe ho té actiu directament i amb imports fins a 500€. El que farà Stripe és realitzar una anàlisi de risc, i si no veu res significatiu enviarà TRA a l’emissor de la targeta per la sol·licitud de pagament amb el que no es realitzarà l’autenticació (si l’emissor del client ho accepta). En la captura del següent quadre que pots trobar aquí, pots veure com apliquen l’anàlisi de risc per enviar o no TRA.
Això anterior pot semblar molt interessant i que un pensi, ¡Ah, fantàstic, envio sempre TRA! És un pensament que pot venir molt ràpid a la cap, veritat? Menys sol·licitud d’autenticacions, més conversions, més vendes ¡Fantàstic! «Ara entenc per què amb Stripe no hi ha tant abandonament en el pagament, perquè molt pocs s’han d’autenticar».
Si, tindríeu raó en que el motiu és aquest, envia LWV o TRA en gairebé la totalitat de les transaccions, i això fa que no se sol·liciti en pràcticament cap cas autenticació, si l’emissor/banc del client ho accepta, perquè igual l’emissor/banc no accepta el TRA per qualsevol motiu i sol·licita autenticació. I com he comentat anteriorment, podeu sol·licitar a Redsys que us ho activin. El LWV pràcticament seria immediat, i el TRA potser triguin una mica més. Però compte, t’informaran de quines conseqüències té que t’activin aquests SCA i potser ja no ho veus com una bona idea perquè el coneixement és poder, sobretot de decisió.
Si aprofundim més en els SCA, l’entitat que envia el SCA (ja sigui el comerç o el banc), sigui LWV o TRA, ha de fer-se càrrec en cas d’estafa/robatori. Si aprofundim en PSD2/SCA, podem veure que qui s’ha de fer càrrec en cas de frau, ha de ser qui envia conformitat de TRA (en aquesta entrada d’Adyen expliquen molt bé tot) Podem veure que gairebé al final, posa això:
2. Transaccions de baix risc – TRA (Transaction Risk Analysis)
Els bancs emissors poden considerar certes transaccions com de baix risc. Per a això, es basen en els nivells de frau mitjà de l’emissor, de l’adquirent o de tots dos al mateix temps. En aquests casos, l’exempció pot demanar-la tant el comerç com el banc emisor.
La responsabilitat en cas de contracàrrec recaurà sobre l’emissor si va ser aquest qui va demanar l’exempció o sobre el comerç si va ser qui la va demanar.
El més important és el darrer paràgraf. Així que ja tens una pista del que et dirà el teu banc. Et poden activar LWV o TRA en el terminal per sol·licitar no autenticar l’operació, però si aquesta targeta ha estat robada (per exemple) i el banc emisor accepta el TRA, et quedaràs sense el producte (si ja l’has enviat) i sense els diners, perquè ho hauràs de retornar. Si hi ha autenticació, encara que a la persona li hagin robat la targeta i el seu mòbil i hagin comprat al teu lloc, ningú podrà reclamar-te res. Continues amb els diners perquè és un problema del propietari de la targeta i del banc emisor, ja es aclariran entre ells qui és el culpable d’aquest càrrec, el banc per no anul·lar ràpidament la targeta a temps, o el propietari de la targeta per no haver denunciat immediatament el robatori. Però segur que tu no ho ets.
I ara estaràs pensant, «Ah, doncs és Stripe qui envia TRA, ¡Que espavili!». I seria el lògic en aquest cas perquè ho està enviant si que tu sàpigues res, però aquesta és l’única part pantanosa de tot això. Doncs no, està enviant TRA en el teu nom sense que tinguis coneixement d’això i sense conèixer les conseqüències que té en comandes d’uns 500€, i en cas d’estafa et passarà el problema a tu obrint una disputa, és a dir, està fent que la gent no autentiqui sense explicar les conseqüències d’això als comerciants, però si hi ha algun problema, que se’l mengi el comerç sense haver sol·licitat assumir aquest risc. Per això dic que és la part pantanosa de tot això. És a dir, si tens la desgràcia que una màfia de robatori/clonació de targetes passa per la teva web i et compra mitjançant diferents usuaris i targetes productes amb un valor per exemple de 10.000€, que no et passi res amb Stripe, perquè haurà enviat TRA, no s’hauran autenticat, i et passaran el marró mitjançant disputa quan apareguin totes les denúncies que les targetes havien estat robades o clonades i que les compres no havien estat autenticades. Però no només vas a haver de retornar els diners, també s’aplicarà una tarifa per el que es denomina contracàrrec, és a dir, que no només et quedaràs sense els diners i el producte, hauràs de pagar per això. En el cas de Stripe, per disputa que perdis seran a dia d’avui 15€ (pensa que dins d’aquests 10.000€ poden haver-hi centenars de comandes diferents) + 20€ per cada retorn de diners (el mateix, poden ser centenars de clients/comandes), i no sé si hi ha un % del valor de sanció. Però només amb els 15€ + els 20€ per transacció/client, fes números. Igual pagues més amb tots aquests càrrecs, que els 10.000€ que ja t’havien estafat, sense comptar la pèrdua del gènere/productes.
Tot això és un al·legat en contra de Stripe? No, només et conto el que ells no expliquen, perquè un dia no tinguis una sorpresa molt desagradable. Ara com a mínim saps com és el tauler de joc, i pots decidir amb tots les dades a la mà.
Stripe té coses bones en comparació amb Redsys, com la facilitat de contractació, el panell de gestió de transaccions, facturació, etc. Que pot ser un valor afegit que us inclini al seu ús. Però en contrapartida Redsys té molta seguretat i tarifes molt baixes.
En aquests moments igual estàs pensant, «A mi mai m’ha succeït res així», fins que un bon dia pot succeir i et trobes en una situació semblant a l’anterior. Però ara ja no podràs dir que no t’ho esperaves o no coneixies, però si així i tot estàs disposat a acceptar el risc de TRA i en molta menor mesura LWV, en Redsys pots tenir-ho igual i amb unes comissions molt més baixes de les que aplica Stripe (i encara més després de l’augment que van realitzar), i mitjançant el meu plugin de Redsys per WooCommerce podràs sol·licitar LWV i TRA (si estàs disposat a assumir el risc) a Redsys (si t’ho han activat en el terminal) i també tenir el formulari de la targeta de crèdit en el checkout sense abandonar la web, que també es pot amb Redsys com podreu comprovar a la meva botiga d’exemple.
Pot ser molt interessant l’activació de LWV en el terminal perquè tots els pagaments menors de 30€ no s’autenticin, però cal tenir cura amb TRA. Sense dubte, l’enviament TRA, que com comento pots fer-ho també amb Redsys, augmentarà gairebé segur les teves vendes al no sol·licitar tant l’autenticació, però també augmentarà molt la possibilitat que et estafin.
Ja tens de veritat tota la informació de com funciona la PSD2. Crec que no trobaràs moltes entrades tan clares com aquesta pel que fa al funcionament i riscos que existeixen amb els SCA. En aquests moments, sabent tot el que saps després de llegir l’entrada pots prendre de veritat una decisió del que vols per aconseguir un fi tenint en compte les conseqüències. Ara pots valorar com vas a enfocar la teva forma de pagament, més autenticacions al no utilitzar cap tipus de SCA per viure tranquil, aplicar LWV tenint un balanceig entre seguretat i risc baix al ser d’importos reduïts, o utilitzaràs TRA maximitzant les vendes al reduir les autenticacions però també maximitzant riscos.
Com pots veure, amb Redsys també pots reduir al mínim les autenticacions i maximitzar vendes per no abandonament de pagament com en Stripe gràcies a que sol·licitis i t’activin els SCA LWV i TRA, però la decisió d’acceptar el risc en Redsys és teva, i en Stripe ve imposada i amb el desconeixement de la majoria dels comerciants dels riscos que estan assumint. I el pitjor és que la majoria ho interpreta com que amb Stripe es tenen més vendes perquè té millor tecnologia.
Pues muy interesante y tiene sentido. También para explicar a los comerciantes el porqué de tantos pasos, autenticaciones,etc. que a veces se reclama para hacerles más fácil el camino a los compradores, pero no tienen en cuenta que los pasos de seguridad tienen su porqué…
Está claro que según el tipo de negocio se puede plantear más uno el tomar una u otra alternativa. Para tiendas de productos como comentas donde de pronto pudieran hacerte grandes cantidades de pedidos pues igual hay que andarse con más ojo.
Lo que creo que para poco volumen de ventas, es más económico Stripe y pagar por cada transacción que Redsys que creo que funciona por cuotas mensuales y adicionalmente algo por transacción, o según condiciones del banco ¿no? La verdad, esperaba ver incluido algo en cuanto a comparativa de costes.
Hola Taisa, gracias por comentar 🙂
Stripe funcina con un fijo por transacción (0,25€) más un porcentaje de esta (1,5%), mientras Redsys en solo un porcentaje por transacción que no suele superar el 0’45%, y mucha gente incluso ha conseguido mediante negociación con su banco rebajarlo hasta el 0’20%. No hay cuota de mantenimiento en Redsys siempre y cuando llegues a un mínimo facturado, que cada banco pone el suyo. Por regla general suele estar sobre los 300-400€ de facturación.
En esta entrada me he enfocado más al tema técnico que no al económico, porque creo que hay muchísmo más desconocimientom por no decir nulo de como funciona la PSD2 y de los «trucos» que hay para que haya más «frictionless» (sin autenticación) pero asumiendo sus posibles peligros y consecuencias.
Saludos
Buen artículo sin embargo hay una parte que probablemente no conozcas. El motor de riesgo de stripe está basado en cientos de variables sobre la transacción, machine Learning e inteligencia artificial. Y sabe cuando enviar la exención y cuando no. Ten en cuenta que todos pagamos varias veces al mes a través de stripe y nos conocen. Todo eso Redsys ni se lo huele. Bastante tienen con poner reglitas estáticas que para algunos comercios pueden valer y para otros no. Y no son sólo las exenciones a la psd2. También al dotar de mucha mayor información a las operaciones, el emisor no siempre pide el challenge y las operaciones tienen el mismo nivel de protección que si se hubiera producido.
Muy posiblemente, Martin.
Muchas gracias por tu aporte 🙂
Sí y no. Por ejemplo, CaixaBank con Redsys (Cyberpac) tiene un completo que cuesta entre 2cts y 0,5 cts por transacción (Addon Sales Conversion) donde la empresa global payments (bastante reputada a nivel mundial) es la encargada de hacer el análisis de riesgo. Yo, de las operaciones que van via tarjeta (no cuento Apple Pay y Google Pay) solo tengo que autenticar un 8% aproximadamente, y normalmente es debido a que es de un importante bastante grande la operación a la vez que es de un país de fuera de Europa, ha hecho muchas compras …
Si tu banco tiene algo parecido entonces es importante considerar si sale a cuenta un Stripe o mejor pelearse unas semanas con bancos, romperse un poco (bastante) la cabeza integrando todo y pagar comisiones de hasta el 0,05% o 0,01% cuando es entre comercio-tarjeta del mismo banco.
Stripe lo que mas me gusta es todas las opciones de pagos incluidas que tiene, ya que no tienes que abrirte cuentas en cada sistema de pagos, solo Paypal, tiene klarna, sepa, etc incluidos en tu cuenta de Stripe, ademas que solia obtener mas conversion dado que no falla tanto como redsys, que veo denegación todos los días, y de altas compras importantes en mi tienda, lo peor que tiene Stripe he incluso Paypal, en mi opinión y experiencia de comerciante por casi 5 años, es que puedes levantarte un día y te inhabilitaron la cuenta sin retorno, todo el dinero que tenias estará bloqueado por 4 meses y con el riesgo muy alto de que Stripe & Paypal lo reembolse a los clientes.