In English, en español, en français.
A PSD2 aproxima-se como um tsunami e, como aconteceu com o RGPD em Maio de 2018, significará uma revolução para o setor e uma nova dor de cabeça para os hotéis (ou talvez nem tanto, como veremos mais adiante). Trata-se de uma norma repleta de siglas e termos técnicos, com uma data de entrada em vigor e com várias isenções e exceções. Portanto, está garantido um período de confusão, horas de debate e muita pressa para “se adaptar”.
Na Mirai investigámos esta nova diretiva durante meses e, particularmente, o impacto que terá nos hotéis e na sua venda direta. Abordámos muitos especialistas no assunto e tentámos simplificar uma diretiva complexa, “traduzi-la” para o vocabulário do hoteleiro e esclarecer em que medida afeta os hotéis e a sua venda direta, assim como as ações que devem ser tomadas para “se adaptar”.
O que é a diretiva PSD2 e quando entrará em vigor?
A PSD2 ou a versão revista da PSD (Payment Service Directive), é uma diretiva europeia (In English) que entra em vigor a 14 de setembro de 2019 e, muito resumidamente, refere que nas transações online já não será suficiente pedir o cartão de crédito ao cliente, para autorizar uma transação será necessária uma autenticação dupla (conhecida pelas siglas em Inglês, SCA, ou Strong Customer Authentication). Isto significa que precisará de, pelo menos, dois dos três fatores seguintes para poder realizar a transação:
- “O que o cliente tem”, como o cartão de crédito ou o telemóvel.
- “O que o cliente sabe” como uma palavra-passe do banco ou um PIN que recebe no telemóvel.
- “O que o cliente é” e o identifica como uma impressão digital ou o reconhecimento facial (identificação biométrica).
Embora a data oficial de entrada em vigor seja 14 de Setembro de 2019, existem muitos rumores de um possível atraso devido ao grande atraso de toda a indústria (In English) (particularmente os emissores de cartões) para cumprir com esta data.
O que pretende a PSD2?
A PSD2 pretende, entre outros objetivos, tornar o comércio eletrónico mais seguro, tendo em conta que, nos últimos anos, a fraude com cartões roubados ou duplicados disparou e gerou uma onda de retrocessos ou chargebacks. Toda esta fraude torna-se, cada vez mais, um grande problema para toda a indústria: as lojas, os bancos, os emissores de cartões e as marcas. Com um sistema de autenticação dupla (SCA), espera-se que tanto a fraude como, consequentemente, os chargebacks reduzam substancialmente.
A PSD2 também procura tornar o comércio eletrónico mais fácil de utilizar, facilitando os processos de autenticação para aceitar novos formatos, como os biométricos ou os pagamentos com o telemóvel em vez do cartão.
Por último, pretende reduzir os custos das transações online, liberalizando o acesso a interfaces bancárias (APIs) e permitindo que mais empresas concorram neste ecossistema de pagamentos, o que trará maior concorrência e menores custos.
A PSD2 afeta todas as transações?
Não. Apenas as transações que cumprirem estas duas condições (ambas simultaneamente) estarão sujeitas à PSD2.
- O emissor (issuer)do cartão é europeu (pertencente aos 28 países da UE). Os emissores dos cartões não são as marcas VISA, MasterCard ou AMEX, são, por norma, os próprios bancos ou, em alguns casos, empresas que emitem cartões de marca partilhada, como companhias aéreas (Iberia, Lufthansa) ou grandes armazéns (IKEA, Carrefour). Portanto, a “nacionalidade” do cliente final não é relevante, mas sim a “nacionalidade” do emissor do cartão.
- O adquirente (acquirer), ou a instituição financeira (por norma, um banco) que processa a transação em nome do negócio, também é europeu (neste caso, o seu banco).
Portanto, um cliente com um cartão emitido pelo Deutsche Bank ao comprar numa loja online que cobra no CaixaBank em Espanha, estaria inserido no âmbito da PSD2 e o cliente deveria passar por uma autenticação dupla para poder realizar essa transação.
Pelo contrário, um cliente com um cartão emitido pelo Bank of America, ao comprar numa loja online que cobra essa transação no BBVA, não estaria no âmbito da PSD2.
Existirão multas para os que não se “adaptem” à PSD2?
Ao contrário da aplicação do RGPD que era obrigatória para todos os hotéis (negócios em geral), e onde podem existir inspeções e multas, a “adaptação” à PSD2 é limitada a um grupo muito menor de empresas.
São principalmente os gateways de pagamento e o setor bancário ou financeiro em geral que se devem adaptar. É a eles que o regulador monitorizará de perto e poderá impor sanções em caso de incumprimento.
Assim sendo, os hotéis não estarão sujeitos a inspeções ou sanções pela aplicação da diretiva PSD2. A responsabilidade de todo o comércio online (a venda direta, no caso dos hotéis) será limitada à escolha de uma plataforma de cobrança adaptada à PSD2.
O Reino Unido faz parte dos países com o âmbito da PSD2?
Sim, desde que permaneça na UE.
Se entretanto o Reino Unido sair da UE (a data provisória é o próximo dia 31 de Outubro), veremos se existirá um acordo especial ou se será um país, para todos os efeitos, fora do âmbito da PSD2.
O que tem o 3DS2 a ver com a PSD2?
O 3DS2 é uma evolução do sistema 3DS (até agora intitulado 3DS ou 3DS1) implementado há uns anos, particularmente na Europa, para fornecer mais segurança nas transações online. Na prática, são compras nas quais nos é solicitado um PIN no telemóvel ou uma palavra-passe adicional.
O 3DS2 é um novo padrão para um consórcio de grandes cartões denominado EMVCo, que procura melhorar a experiência do utilizador do 3DS1 atual e oferecer uma maior segurança. Baseia-se, principalmente, em solicitar mais dados ao cliente relativamente a quem ele é ou qual é o seu banco, para além de aceitar a identificação com tecnologias biométricas (impressão digital ou reconhecimento facial) nos terminais iOS e Android.
O 3DS2 será o método padrão de autenticação dupla na Europa e válido para passar no teste do SCA, que requer a PSD2 nas suas transações. Portanto, nos próximos anos, veremos como é que os bancos estarão a adaptar os seus padrões do 3DS atual para o 3DS2. Espera-se também que o 3DS2 não seja apenas de âmbito europeu, mas que se torne num padrão global.
Quais as lojas ou sites afetados pela PSD2 e pelo 3DS2?
A todos os que realizam cobranças eletrónicas (online) aos seus clientes, independentemente do que vendem: roupas ou alimentos, bilhetes (desportos, cinema, etc.), viagens ou hotéis.
No setor hoteleiro, afetará principalmente as empresas (geralmente as Agências de Viagens Online) que trabalham mais no modelo merchant, no qual a cobrança ao cliente é efetuada no momento da reserva. Todas estas empresas terão, inevitavelmente, de se adaptar à PSD2.
No caso dos hotéis e das suas vendas diretas, afetará particularmente as tarifas não reembolsáveis e a cobrança no momento da reserva. Todas as transações abrangidas pelo âmbito da PSD2 devem passar pela autenticação dupla (SCA).
De que forma afeta a minha venda por telefone ou presencial?
De forma alguma.
A venda por telefone e por email (MOTO ou Mail Order and Telephone Order) é uma das isenções da PSD2 e as cobranças podem continuar a ser efetuadas da mesma forma, fornecendo apenas a numeração do cartão e sem autenticação dupla. Para tal, deve configurar o TPV para realizar a transação com o tipo MO-TO e conseguirá realizar cobranças sem qualquer problema.
A venda presencial também não sofre alterações, uma vez que, estando o cliente à nossa frente, a autorização da compra ocorre na primeira pessoa e fisicamente.
Que impacto terá a PSD2 na minha venda direta?
Ao contrário da maioria das Agências de Viagens Online (com exceção, para já, do Booking.com), os hotéis não cobram aos clientes no momento da reserva. Portanto, a PSD2 não deve ser uma obsessão, uma vez que não se aplica na maioria das reservas. Isto não significa que não tenha qualquer impacto, sendo que também não é o caso.
Iremos diferenciar as reservas com “pagamento no hotel” (e, geralmente, o cancelamento flexível) e as reservas com “pagamento imediato” (e, normalmente, não reembolsáveis).
- Reservas flexíveis e pagamento por parte do cliente no hotel.
- Não ocorre nenhuma transação online, portanto, a PSD2 não se aplica.
- No caso de não-comparência ou de cancelamento após o prazo, terá como garantia o cartão que o cliente facultou. De seguida veremos o que acontecerá com estas cobranças manuais.
- Reservas não reembolsáveis e pagamento imediato.
- O correto seria utilizar um terminal de pagamento virtual ou TPV que verifique a autenticação dupla do cliente nas transações no âmbito da PSD2. A partir de 14 de Setembro, todos os gateways bancários devem estar 100% adaptados à diretiva, para que não precise de fazer nada, exceto garantir que o seu está adaptado. Plataformas como a Redsys ou a Addon Payments garantem que estarão adaptadas para essa data.
- Se atualmente não utiliza um gateway online para efetuar as cobranças, talvez este seja o momento de pensar em fazê-lo, uma vez que a cobrança manual, no TPV físico, de um cartão proveniente de uma reserva online, irá tornar-se cada vez mais complicada.
Poderei cobrar os cartões obtidos em reservas online com o TPV físico?
Nas operações do hotel, assume-se que a cobrança será efetuada manualmente num TPV físico, utilizando o cartão dos clientes que tenham efetuado reserva no site do hotel ou através do Booking.com. Os dois cenários principais em que os hotéis cobram desta forma são:
- Reservas não reembolsáveis sem gateway de entrada online (a cobrança é efetuada manualmente no hotel).
- Cobrança de não-comparências ou de cancelamentos fora do prazo.
Tratando-se de um cartão obtido eletronicamente (através da internet), se a transação estiver no âmbito da PSD2, a autenticação dupla deverá ser necessária para concluir a transação. Assim sendo, nestes casos, NÃO poderia realizar uma cobrança com o TPV físico apenas com a numeração do cartão, uma vez que não teria a autenticação dupla do cliente.
Por outro lado, existe um “berbicacho” que deverá tornar-se na tábua de salvação dos hotéis, pelo menos a curto e médio prazo. Trata-se da isenção da PSD2 nas reservas por telefone (MO-TO). Como vimos, as reservas efetuadas por telefone ou por email estão isentas desta autenticação dupla e seriam cobradas configurando o TPV no modo MO-TO, ao efetuar a transação. O quê ou quem o impede de continuar a gerir estas reservas online e cobrá-las manualmente (como até agora) desta forma? Provavelmente nada nem ninguém, pelo menos a curto prazo. Não é a solução ideal nem, provavelmente, sustentável a longo prazo (particularmente se tiver muitos retrocessos por parte dos clientes, o que não é o cenário habitual), mas servirá para simplificar, enquanto resolve a grande confusão que existe atualmente acerca do mundo da PSD2.
É de salientar que a cobrança de um cartão com o TPV físico, sem autenticação dupla e sem a presença do cliente, continuará a ser uma cobrança com possibilidade total de retrocesso pelo mesmo. Principalmente com a entrada em vigor da diretiva PSD2.
Como cumprir a 100% a PSD2 nas minhas vendas diretas?
Existem duas alternativas que, embora lhe permitam cumprir a PSD2, têm desvantagens importantes que desaconselham a sua utilização (pelo menos por enquanto):
- Incorporar um gateway bancário em todas as reservas (as flexíveis e não reembolsáveis). Desta forma, garantimos que todas as transações no âmbito da PSD2 passam pela autenticação dupla (SCA). No caso das reservas não reembolsáveis, a cobrança seria realizada no momento. No caso das reservas flexíveis, apenas a autenticação (e não a cobrança) pode ser efetuada, podendo realizar-se a cobrança posteriormente (no check-out, por exemplo).
Para os que pretendem mais detalhes, isto funciona da seguinte forma: Após a autenticação do utilizador, é gerado um token chamado CAVV (Cardholder Authentication Verification Value) que, juntamente com o cartão, permite que efetue uma cobrança a posteriori, desassociando o momento da reserva do momento do pagamento. Este CAVV só o autorizaria a cobrar o valor da reserva e não um valor superior.
O grande problema desta abordagem é o impacto previsível na conversão que a sua venda sofrerá. É natural, uma vez que:
- Quanto mais longo for o processo de compra, maior o número de visitas ao site do banco ou de campos solicitados (o 3DS2 incluiria obrigatoriamente os campos de email e telefone para poder efetuar a transação), e mais clientes ficarão pelo caminho.
- Além disso, nem todos os cartões europeus possuem sistemas de autenticação dupla implementados, pelo que poderíamos ter uma percentagem dos nossos clientes sem poder reservar.
- Finalmente, mesmo que os gateways bancários se adaptem à PSD2, o verdadeiro problema estará nos emissores, que não se adaptarão a tempo. Se um emissor de cartão negar ou impossibilitar a autenticação dupla, é muito provável que essa transação seja perdida e, portanto, perca o seu cliente.
- Email pré-estadia com link para o gateway de pagamento. Outra solução válida, ainda que longe de ser a ideal, seria incorporar ao PMS ou CRS (que possui a informação de todas as reservas de pagamento no hotel, quer do próprio site, quer do Booking.com) um processo automático que, 3-4 dias antes da chegada (a partir da data limite de cancelamento), envie um email ao cliente com um link para um gateway de pagamento a convidá-lo a pagar online antes da sua chegada. Seria neste gateway que o cliente passaria pela autenticação dupla caso a transação estivesse no âmbito da PSD2.
As dúvidas desta solução são:
- Incentivaria um cliente que não está totalmente seguro a cancelar a reserva?
- O que acontece se não finalizar o pagamento? Irá cancelar-lhe a reserva? Irá mantê-la? A resposta pode variar conforme a estação do ano, a sua ocupação, etc.
- O pior é que tudo será manual… e, portanto, é um passo atrás.
- Isto também não resolve realmente a casuística dos clientes que não iriam comparecer, uma vez que provavelmente não responderiam, então ficaria com a mesma incerteza.
O que farão o Booking.com e a Expedia para se adaptar à nova diretiva PSD2?
No fundo, o que faz com as suas vendas diretas está intimamente relacionado com o que fazem os seus concorrentes principais, a Expedia e o Booking.com. Devemos pensar no quão raro é o cliente que reserva no seu site e que não visitou estas Agências de Viagens Online previamente.
A Expedia trabalha maioritariamente no modelo merchant (cobra ao cliente para lhe pagar a si), pelo que a Expedia terá de se adaptar definitivamente à PSD2. A dúvida é o que a Expedia fará com as reservas no modelo agency (em que o cliente paga diretamente ao hotel), que é o modelo principal do Booking.com (por enquanto). E as perguntas são: A Expedia e o Booking.com passarão para a autenticação dupla do cliente em reservas com pagamento no hotel? Se não o fizerem… Como irá cobrar as reservas não reembolsáveis ou as não-comparências? Se o fizerem, irão obrigá-lo a utilizar os seus métodos de pagamento via cartão virtual com o consequente aumento dos custos para si?
A realidade é que se decidir adaptar-se à PSD2 com a opção de incorporar um gateway de pagamento na sua venda direta para todas as reservas (não-reembolsáveis e flexíveis), e nem a Booking.com nem a Expedia (no modelo agency) fizerem nada para passar esta mesma autenticação dupla ao cliente, pode tornar-se num grande problema para si e acabar numa transferência significativa de reservas do seu site para a Agência de Viagens Online, já que seria muito mais fácil reservar nas mesmas do que no seu site.
Por outro lado, se forem as Agências de Viagens Online a decidir passar para a autenticação dupla mesmo para as reservas com pagamento no hotel e você não o exigir (ou o fizer posteriormente e não no momento da reserva), pode ocorrer a transferência oposta das Agências de Viagens Online para o seu canal direto.
Não somos a Expedia nem a Booking.com, mas a conversão sempre foi crucial para as Agências de Viagens Online e evitarão, na medida do possível, qualquer alteração causada pela conversão. Portanto, espera-se que nem a Expedia, nem a Booking.com (ambos no modelo agency), dêem passos em falso. Lembre-se de que podem alegar que não existe transação online nas reservas com pagamento no hotel e que, portanto, a autenticação dupla não é necessária. O que é uma reserva com não-comparência? Não é problema delas, mas sim seu.
Na Mirai acreditamos que as Agências de Viagens Online, especialmente a Booking.com, têm uma oportunidade única de fazer algo que procuram há algum tempo: passar de um modelo agency para um modelo merchant. Com o pretexto da PSD2, poderiam obrigar o hotel a aceitar o modelo de pagamento por parte da Agência de Viagens Online (pelo menos nas tarifas não reembolsáveis) e não o oferecer como uma opção, como tem sido até agora. Fá-lo-iam, com certeza, com um discurso positivo em torno de “nós próprios trataremos das cobranças, incluindo esta diretiva complexa e isentamo-lo de qualquer responsabilidade”.
Do ponto de vista do hotel, a proposta é muito atraente até perceber que existem duas grandes desvantagens que a descartam completamente:
- A cobrança através de cartões virtuais aumenta o custo destas reservas entre 1% e 3%, conforme o caso, o que deve ser adicionado ao já elevado custo das reservas da Booking.com
- Permitir que o Booking.com cobre ao cliente permite a existência de disparidades, algo que tem vindo a fazer há algum tempo com os hotéis que possuem estes meios de pagamento ativos (um exemplo seria o seu programa Early Payment Benefit). Permitir que a Booking.com utilize a opção que provoca disparidades é como abrir uma caixa de Pandora de efeitos inesperados.
E os Facilitated Bookings… o que irá acontecer-lhes?
Actualização de setembro 2022: trivago fecha a sua opção «Express Booking» para hotéis a partir de 1 de Outubro de 2022
A PSD2 representa um novo desafio para os assistentes de reserva dos mecanismos de metapesquisa. Falamos principalmente do Instant Booking do TripAdvisor, do trivago Express Booking (tEB) do trivago ou do Book on Google (BoG).
Nestes assistentes de reserva, o cliente introduz o cartão de crédito nos seus interfaces e, portanto, são responsáveis por fornecer uma solução técnica de garantias para cumprir com a PSD2. Veremos que soluções se aplicam e quando estarão disponíveis. Sabemos que estão a trabalhar nisso e veremos os resultados em breve.
Exceto o trivago Express Booking (tEB), atualmente nenhum destes sistemas permitia a autenticação dupla com o 3DS, portanto nada mudará no dia 14 de Setembro. Os hotéis poderão continuar a cobrar como fazem agora, desde que os seus gateways bancários o permitam. Ou cobrando manualmente, como muitos faziam.
Acontecerá algo a 14 de Setembro de 2019 quando a PSD2 entrar em vigor?
Não. Acreditamos que não irá acontecer nada.
Poucos estarão prontos até essa altura: Nem os gateways ou TPVs (embora os mais importantes afirmem que sim), nem os bancos e, muito menos, os emissores de cartões, que parecem ser o elo mais lento da cadeia.
Por outro lado, o dia 14 de Setembro será um ponto de viragem em que toda a indústria terá de refletir e começar a tomar decisões alinhadas com a essência da PSD2. Mais uma vez a normativa tem de entrar em vigor para que possamos levá-la a sério.
A nossa recomendação
Visto isto, o impacto da PSD2 nas vendas diretas não é muito elevado. Continuar a trabalhar como antes seria, provavelmente, a melhor recomendação, pelo menos numa primeira fase, até garantirmos que o setor bancário se adapte de forma adequada e monitorizarmos cuidadosamente os movimentos das Agências de Viagens Online. E tudo isto assumindo que os TPVs físicos permitirão cobrar os cartões manualmente utilizando a modalidade MO-TO, como indica a diretiva.
Não acreditamos que compense introduzir um TPV online para recolher ou autenticar todas as reservas. O impacto na conversão poderia ser contraproducente, especialmente se as Agências de Viagens Online optarem por não validar nada.
Recomendamos, em qualquer caso, e a médio prazo, uma abordagem do tipo “validação do cliente a posteriori” enviando um email ao cliente a partir do PMS ou CRM alguns dias antes da chegada em todas as reservas pagas no hotel (vendas diretas e Agência de Viagens Online com modelo agency). Esta solução não é perfeita, mas pelo menos aproxima-o de uma conformidade rigorosa com a PSD2.
Quando observamos as decisões tomadas pelas Agências de Viagens Online principais que operam no modelo agency (principalmente o Booking.com, mas também a Expedia), estará na altura de repensar a decisão tomada sobre as suas vendas diretas.
Conclusão
A PSD2 significará uma nova reviravolta no comércio online e o cliente ganhará segurança e, com o 3DS2, conforto e usabilidade. Mas isto será a longo prazo. Atualmente, ainda existe muita confusão e a indústria não parece estar preparada. De facto, já se fala em moratórias antes que ocorra o caos generalizado.
Os hotéis não devem desleixar-se e devem informar-se corretamente acerca desta diretiva e o impacto que terá na indústria em geral, e nas suas vendas diretas em particular. Na verdade, não é demais adiantar trabalho e conhecer os gateways de pagamento online disponíveis e as suas condições, uma vez que parece que a indústria está a mover-se nessa direção, pelo menos na cobrança das taxas não reembolsáveis.
Por outro lado, não devem ficar alarmados e tomar decisões erradas que poderiam prejudicar as suas vendas diretas. Com a informação disponível atualmente, o mais razoável parece ser esperar até que toda a confusão existente seja esclarecida, todos os intervenientes da indústria (bancos, gateways, emissores, etc.) se adaptem devidamente, assim como ver que decisão tomam as Agências de Viagens Online principais.