Métodos de pago

En el comercio electrónico, el botón de “Realizar pedido” del carrito de la compra es el objetivo de todo nuestro trabajo. Llegados a este punto, el potencial cliente pasa a ser un cliente activo que formaliza su conformidad con el pago del producto o servicio.

Por lo tanto los medios de pago en este escenario son uno de los elementos críticos de la venta de productos y servicios a través de la red, siendo la resolución de problemas ligados a los medios de pago y a la gestión de fraude un área ha estudiar.

La desconfianza sobre la seguridad en los medios de pago sigue siendo el principal factor de preocupación por los usuarios en sus experiencias de compras online.

La regla básica en el mundo de los medios de pago online es “cuantos más, mejor”, lo que responde a la realidad del mundo físico: digamos que si voy a una tienda y me obligan a pagar sólo en metálico cuando estoy acostumbrado a pagar con tarjeta ya tengo un motivo para no volver a esa tienda. Lo mismo sucede en Internet, especialmente si la venta es internacional: la empresa deberá adaptarse a las preferencias de sus compradores, que pueden estar acostumbrados a pagar a través de un medio de pago local, como el holandés I-Deal, el brasileño Boleto Bancario o el chino Alipay (que, por ejemplo, supone el 60% de un mercado en el que Visa tiene sólo un 2% de cuota).

Tipología de los medios de pago online

Los métodos de pago offline (contra reembolso, transferencia) suelen estar considerados por los compradores más seguros que los métodos online, ya que la transmisión de datos bancarios no se realiza a través de la red, lo que disminuye el riesgo de apropiación de estos datos.

En cualquier caso, la fiabilidad y seguridad de los métodos de pago online (pago con tarjeta de crédito/débito, PayPal, etc.) hacen que el nivel de seguridad sea más una percepción de usuario que una realidad.

Desde la óptica de los comerciantes online, los principales criterios de selección de los medios de pago online son la seguridad en las transacciones, eliminando la posibilidad de repudio de la operación por parte del comprador, la facilidad de uso necesaria demandada por los usuarios online y, por supuesto, y los costes implicados en el medio de pago. Veremos que no es un equilibrio fácil y que estos criterios son contradictorios (en general, a mayor seguridad, mayor coste y menor facilidad de uso para el comprador, por ejemplo).

En el mercado español, ésta es la distribución actual de los medios de pago online:

Ejercicio: Comparar estos datos con el nuevo estudio ONTSI para ver la tendencia o evolución del mercado.

Vamos a introducir los principales métodos de pago existentes teniendo en cuenta las preferencias de los consumidores.

Contrareembolso

Es el sistema más seguro para el comprador, que no pagará el producto hasta haberlo recibido en su domicilio y haber comprobado que está correcto. En este esquema, la empresa de mensajería se encarga de cobrar y después abonar el importe al vendedor restando una comisión. La principal ventaja es la confianza que infunde este método en el cliente que desconfía de internet y prefiere pagar el producto al recibirlo. Ha sido un método tradicionalmente muy utilizado en comercio electrónico, aunque observamos una acusada tendencia a la baja en los últimos años, según va aumentando la confianza de los usuarios en el medio online. 

El principal inconveniente para el vendedor es el aumento de los costes del producto, la demora en el pago y el aumento del porcentaje de devoluciones ligado al cambio de opinión del cliente en el momento de la recepción del pedido.

Transferencia bancaria

En este método de pago el comercio notifica al usuario una cuenta bancaria donde el cliente debe realizar una transferencia indicando su orden de pedido para que se tramite el envío. Es el caso inverso al anterior, ya que el comprador envía el dinero antes de recibir el pedido, lo que supone una total confianza en el vendedor. Sus principales ventajas son su bajo coste y sus principales inconvenientes es el retraso en la ejecución del pedido al estar obligado el vendedor a esperar la recepción del importe antes de proceder al envío del producto.

Domiciliación bancaria

Este método se utiliza habitualmente en compras habituales y repetidas, o servicios de suscripción periódica, así como en entornos B2B (comercio entre empresas). Consiste en que el cliente facilita al comercio un número de cuenta bancaria para que éste le gire un recibo con una periodicidad determinada. La principal ventaja es la automatización del proceso de cobro periódico para el vendedor y esta misma ventaja es el principal inconveniente para el comprador, que en ocasiones pierde el control de sus pagos, al no requerir su intervención.

Ejemplos.- Telefonía, ADSL, empresa de calcetines que cada 3 meses envía pedido.

En la actualidad optar por este sistema requiere una orden de adeudo SEPA que puedes consultar en la siguiente página. www.sepaesp.es

Tarjeta de crédito / débito (TPV virtual)

Es el sistema de pago electrónico más común y aceptado hoy en día dado el uso generalizado de las tarjetas de crédito/débito. Es el medio más habitual tanto nacional como internacionalmente, debido a la universalidad de las tarjetas que acepta (Visa, Mastercard, American Express, etc.).

El servicio de TPV virtual lo prestan las entidades bancarias, con una comisión aproximada media del 1%, si el cliente es aceptado por el departamento de riesgos de la entidad financiera. Asimismo, algunas entidades cobran diversos conceptos fijos como el alta del servicio o una comisión de mantenimiento mensual.

En el esquema de pago online por tarjeta de débito/crédito, existen dos bancos implicados, el llamado banco adquirente o del vendedor (entidad financiera responsable del servicio de TPV virtual) y el banco emisor o del comprador (entidad financiera que ha emitido la tarjeta con la que se realiza la operación de pago). Una parte de la comisión cobrada al vendedor (el sistema es gratuito para el comprador) por el banco adquirente es enviada al banco emisor, concepto denominado “tasa de intercambio” y principal componente de coste de la comisión que finalmente paga el vendedor (llamada “tasa de descuento”).

En cuanto a su proceso operativo, en este sistema el vendedor instala un programa, módulo o plugin en su servidor que permite que el usuario pueda introducir sus datos de tarjeta y proceder al pago online.

Anexo: TPV - BBVA

El escenario descrito sólo exige al comprador los datos de identificación de la tarjeta, la fecha de caducidad y del código de validación de la tarjeta situado en el reverso de la misma(CCV), lo que resulta en un proceso relativamente ágil y sencillo. En ningún momento, los datos de la tarjeta bancaria los conoce el vendedor, sino que todo el proceso se realiza en los servidores seguros del banco (SSL, httpS), dotando de seguridad al sistema.

Sin embargo, tiene como principal inconveniente que el vendedor ha de aceptar que algunas de sus transacciones pueden ser repudiadas por el comprador, en casos, por ejemplo, de fraude por robo de los datos del legítimo titular de la tarjeta, al no disponerse de la firma del comprobante de la tarjeta de crédito como sí sucede en las ventas presenciales. 

La evolución de este esquema de funcionamiento ha sido el desarrollo de una línea clave de actuación en materia de pagos online por parte del sector bancario: el sistema 3D Secure, “CES” o de “pago seguro”, en sus dos versiones de las marcas más conocidas (“Verified by Visa” y “Mastercard Secure Code”).

3D Secure es un sistema de pago seguro con tarjeta porque se consigue autenticar al titular de la tarjeta, es decir, garantiza que el cliente que está usando un número de tarjeta es realmente el titular de la misma. Se trata de poner en contacto al cliente con el banco emisor de su tarjeta en el momento del pago. Al conectar al cliente con su banco, éste puede identificarlo mediante uno de los siguientes mecanismos de autenticación:

• PIN adicional de validación de la transacción, preferiblemente que coincida con el PIN asociado a la tarjeta para su uso en cajeros automáticos, facilitando que el usuario no tenga que recordar PIN adicionales.
• Uso de autenticación vía SMS de código único para la validación de una transacción determinada.
• Uso de tarjetas físicas de coordenadas para la validación de una transacción determinada.

La principal ventaja para el vendedor es que con este esquema el banco emisor de la tarjeta del
comprador es quien asumiría el posible fraude.

PayPal

Es el sistema “alternativo” de pago online más avanzado y más utilizado a nivel internacional, presente en más de 190 países y con más de 200 millones de usuarios. Fue adquirido por eBay en el año 2002 y aunque inicialmente era obligatorio disponer de una cuenta “PayPal” para poder efectuar pagos, en la actualidad funciona como un auténtico TPV virtual, en el que se puede pagar con tarjeta de crédito o débito sin necesidad de dicha cuenta.

Las principales ventajas de PayPal son su alcance internacional, la alta seguridad que ofrecen tanto al comprador como al vendedor mediante su avanzado sistema de gestión de fraude, que permite reducir los niveles de pérdida de sus clientes hasta niveles muy bajos (por debajo del 0,3%). Su sistema de resolución de disputas permite asimismo mediar en caso de reclamaciones entre compradores y vendedores, lo que ofrece un servicio adicional de gran valor para sus usuarios. Asimismo, la rapidez y facilidad que supone el proceso de pago online para el comprador es otro de los argumentos que alegan los proveedores de medios de pago alternativos como PayPal en su propuesta de valor para los vendedores online.

Sus costes son variables, siguiendo un esquema de comisiones que oscila entre el 1,9% y el 3,4% de coste variable (más 0,35 euros de coste fijo por transacción), en función del importe.

Anexo: web de Paypal
Garantías de proveedor y vendedor
Crear botón Paypal

Ejemplo Uniforme MasWeb

Opciones

Sin mangas €5,00 EUR Manga corta €10,00 EUR Manga larga €15,00 EUR

Talla

S M L XL

¡¡No terminar la compra pues es real!!

Nuevas tendencias

Con un desigual nivel de desarrollo en España, destacamos asimismo las siguientes opciones: SafetyPay, Allopass, Moneybookers.com, Pagantis, Paysafecard, así como la progresiva llegada de los servicios de pago de las grandes empresas de Internet: Amazon Payments, Google Wallet, Facebook Credits, Pay with Square o las propias empresas de telecomunicaciones, que irán progresivamente extendiendo en el mercado su servicio de pagos móviles basado en cargo directo a la cuenta de teléfono(“carrier billing”), en una gran apuesta estratégica por el mercado de pagos como gran generador de negocio y como elemento crítico de aportación de valor al usuario.

Sin embargo, estas opciones no están aún presentes como métodos de pago generalizados y llegado el momento serán caso de estudio implantarlas por parte del vendedor.

Sistemas de gestión de fraude

Como complemento necesario para la adecuada gestión de los pagos online, las compañías de comercio electrónico pueden desarrollar (o contratar a una empresa especializada, Cybersource, Global Collect, SagePay, Adyen, PayCo o TefPay) sus propios sistemas de gestión de fraude, cuya misión es evaluar la probabilidad de que una determinada transacción sea fraudulenta.

Los sistemas de gestión de riesgo permiten mediante múltiples combinaciones de reglas de comparación en la que se cruzan determinados datos de la transacción (su dirección IP, datos de la tarjeta, datos del usuario, etc.) determinar un umbral que permite aceptar la transacción, rechazarla o pasarla a un proceso de revisión manual en el que se efectúan comprobaciones adicionales de la identidad del usuario. El incumplimiento de estas reglas de comportamiento “normal” del usuario determina la señal de alarma de fraude.

La gestión de fraude es una responsabilidad ineludible del comerciante online y una tarea crítica para la rentabilidad de su modelo de negocio online, especialmente en aquellos sectores con mayor nivel de transacciones y más proclives al fraude online. Como hemos comentado anteriormente y debido al modelo de negocio de las entidades bancarias esta recayendo en ellas las principales tareas de gestión de fraude.

A continuación describimos algunos ejemplos de transacciones que serían consideradas "sospechosas” por un sistema de gestión de fraude:

• Misma dirección IP o usuario usando diferentes tarjetas de crédito en un período de tiempo determinado.
• No coincidencia entre datos de usuario y receptor del servicio (ejemplo aplicable en agencias de viaje)
• No coincidencia de la geolocalización de la IP de la tarjeta con el IP del usuario o el país de registro.
• Múltiples pedidos procedentes del mismo ordenador y en el mismo día.
• Pedidos con múltiples unidades del mismo producto.
• Pedidos por un importe superior al estándar.
• No confirmación de la existencia de la dirección de entrega.
• Pedidos a países no habituales.
• Creación de cuentas de correo electrónico en sistemas desechables.

Las empresas con cierto nivel de madurez desarrollan sus propias “listas blancas”, es decir, bases de datos de transacciones/clientes con un historial de compras impecable y que ayuda a relajar los controles antifraude para este tipo de clientes. En contraposición a las listas blancas, también se
gestionan las “listas negras”, esto es, bases de datos de usuarios con historial inaceptable de incidencias relacionadas con el fraude (fraude confirmado, devoluciones de cargo, denegaciones del emisor de la tarjeta, denegación por el sistema antifraude, etc).

Seguridad en el pago

Los datos que viajan por Internet no suelen estar codificados y se dividen en pequeños paquetes de información que navegan por la red hasta su destino, por lo que cualquier ataque durante el transporte puede suponer una vulnerabilidad de la seguridad. Tengamos en cuenta que cuando nació Internet suministrar una seguridad en la comunicación no era prioritario y casi impensable.

Por ello y dado que podemos utilizar información muy sensible es necesario añadir una capa de seguridad adicional en la comunicación cuando se trabaja en comercio electrónico.

El protocolo SSL (Secure Sockets Layer) se une a multitud de protocolos para incluir un sistema de seguridad y no fue hasta la tercera versión cuando alcanzó su madurez, y se consiguió superar los problemas de seguridad y las limitaciones de sus predecesores. En su estado actual, proporciona cifrado de datos, autenticación de servidores, integridad de mensajes y, opcionalmente, autenticación de cliente para conexiones TCP/IP.

El sistema HTTPS se encuentra ampliamente extendido en Internet, y prácticamente, puede decirse que se trata de un estándar soportado por los principales navegadores del mercado, Firefox, Explorer, Opera, Chrome, etc. No se necesita realizar ninguna acción especial para invocar el protocolo SSL, ya que basta con seguir un enlace o abrir una página cuya dirección empieza por https://. El proceso de configuración del canal de comunicaciones seguro se realiza entonces, y de forma trasparente al usuario, por parte del navegador, siempre y cuando el browser tenga habilitada el protocolo SSL.

Para el establecimiento de una conexión SSL entre un cliente y un servidor, es necesario que ambas partes negocien los parámetros de seguridad del canal, de acuerdo a un protocolo que, básicamente, sigue las siguientes fases:

1. La fase de saludo (handshaking), usada para ponerse de acuerdo sobre el conjunto de algoritmos empleados para mantener la confidencialidad y proporcionar autenticación. El navegador le informa al servidor de los algoritmos que posee disponibles y, normalmente, se utilizarán los algoritmos criptográficamente más fuertes que sea posible.
2. La fase de autenticación, en la que el servidor envía al navegador su certificado digital (según la norma X.509) que contiene su clave pública y solicita a su vez al cliente su certificado X.509 (sólo si la aplicación exige la autenticación de cliente).
3. La fase de creación de clave secreta de sesión, en la que el cliente envía al servidor una clave maestra a partir de la cual se generará la clave de sesión para cifrar los datos intercambiados posteriormente haciendo uso del algoritmo de cifrado simétrico acordado en la fase 1. El navegador envía cifrada esta clave maestra usando la clave pública del servidor que extrajo de su certificado en la fase 2. Posteriormente, ambos generarán idénticas claves de sesión a partir de la clave maestra generada por el navegador.
4. La fase Fin, en la que se verifica mutuamente la autenticidad de las partes implicadas y que el canal seguro ha sido correctamente establecido. Una vez finalizada esta fase, ya se puede comenzar la sesión segura.

De ahí en adelante, y mientras siga abierta la conexión SSL, se dispone de un canal de comunicaciones seguro entre los servidores Web y los clientes (los navegadores) a través del cual se intercambiará cifrada toda la información.