CeCo | FTC acuerda con Mastercard enrutamiento pago débito
Newsletter

Estados Unidos: FTC y Mastercard acuerdan permitir que otras redes de pago enruten transacciones con tarjetas de débito

4.01.2023
CeCo Chile
8 minutos
Claves
  • Mastercard habría sido acusado de obligar a los comercios a usar sus propias redes de pago para enrutar las transacciones realizadas con tarjetas de débito de su marca, por medio de una política de tokenización (método que asocia un código de caracteres aleatorios (token) al número de una tarjeta (PAN)).
  • En Estados Unidos, las transacciones remotas representan una parte cada vez más importante de las compras realizadas con tarjetas de débito.
  • En Latinoamérica y el Caribe, el 33% del volumen de pagos de la región, en comercio electrónico, se encuentra tokenizado. Para esta región, los antecedentes de Estados Unidos podrían ser útiles para una eventual regulación a las marcas de tarjetas de pagos.
Keys
  • Mastercard would have been accused of forcing businesses to use their payment networks to route transactions made with debit cards of their brand, through a tokenization policy (a method that associates a random character code (token) to a card number (PAN)).
  • In the United States, remote transactions represent an increasingly important part of purchases made with debit cards.
  • In Latin America and the Caribbean, 33% of the volume of payments in the region, in electronic commerce, is tokenized. For this region, the history of the United States could be useful for the eventual regulation of payment card brands.

A fines del año 2022, la Comisión Federal de Comercio (“FTC”) de Estados Unidos propuso una orden que exige que Mastercard deje de bloquear el uso de las redes de pago de débito de su competencia.

Según el reclamo preparado por la FTC (en adelante, “Complaint”), Mastercard habría realizado prácticas comerciales ilegales que obligarían a los comercios a usar sus redes de pago para enrutar lo pagos realizados con tarjetas de débito de manera “remota” (“card-not-present transactions”). En este contexto, las transacciones “remotas” son aquellas que se realizan sin que el tarjetahabiente se encuentre físicamente en la tienda o comercio (a través de un sitio web o aplicación).

En esta misma instancia, Mastercard llegó a un acuerdo con la FTC sobre el enrutamiento de transacciones remotas. Por consiguiente, Mastercard deberá permitir que existan opciones competitivas para que los comerciantes procesen transacciones remotas realizadas a través de billeteras electrónicas. Actualmente, este acuerdo está a la espera de que se cumpla el plazo de 30 días para recibir comentarios de las partes interesadas, para luego ser revisado por última vez por la FTC.

En Estados Unidos, las transacciones remotas representan una parte cada vez más importante de las compras realizadas con tarjetas de débito. Además, el valor promedio de las transacciones del comercio electrónico suele ser sustancialmente más grande que el valor de las transacciones con tarjeta de débito efectuados físicamente en las tiendas (Complaint, párr. 38).

Este caso se relaciona con otro procedimiento iniciado en mayo del 2022 por la autoridad de competencia australiana (“ACCC”), donde se alega que Mastercard habría llevado conductas anticompetitivas con el fin de reducir la competencia en el suministro de servicios de aceptación de tarjetas de débito (ACCC/Mastercard Concise Statement).

El objetivo de esta nota es revisar el análisis que hace la FTC respecto de las presuntas prácticas exclusorias efectuadas por Mastercard en el enrutamiento de transacciones remotas hechas con tarjetas de débito. Este análisis es relevante en el contexto de un fuerte proceso de expansión que está impulsando Mastercard en Latinoamérica y el Caribe en tecnologías de comercio electrónico.

Contexto regulatorio

La FTC presentó argumentos para creer que Mastercard habría violado las disposiciones de la Sección 920 de la Ley de transferencia electrónica de fondos («EFTA») y su reglamento de aplicación (“Regulation II” o “Reglamento”). El Reglamento habría sido publicado en el año 2011, luego de que la EFTA fuera reformada mediante lo que se conoce (coloquialmente) como “Enmienda Durbin”.

La Enmienda Durbin y el Reglamento contienen dos tipos de prohibiciones que fueron diseñadas para obligar a que las redes de pago compitan en los servicios que ofrecen a los comercios, de manera que estos últimos enfrenten tarifas más bajas. Con estas reformas, las autoridades esperaban que parte del ahorro de los comercios fuera traspasado a los tarjetahabientes en la forma de precios más bajos.

El primer tipo de prohibiciones de la FTC están orientadas a evitar la exclusividad de las redes de pago a través de 3 exigencias: (i) prohibir que un emisor de una tarjeta de débito o que una red de tarjetas de pago pueda restringir (directa o indirectamente) el número de redes en las que se puede procesar una transacción de débito a menos de dos redes no afiliadas; (ii) exigir que el emisor de la tarjeta de débito habilite redes de pago que satisfagan ciertos estándares mínimos; (iii) prohibir que las redes de pago puedan limitar que el adquiriente pueda contratar servicios de cualquier otra red de pago (Complaint, párr.19).

El segundo tipo consiste en prohibir que un emisor o red de tarjetas de pago inhiba (directa o indirectamente) la capacidad que tienen los comercios para elegir cuál de las redes habilitadas para procesar pagos con tarjeta de débito es la que desean utilizar en sus transacciones.

En Estados Unidos, los emisores suelen habilitar varias redes de pago en sus tarjetas. Entre estas, se distingue la «red de marca», que se sitúa físicamente en la parte frontal de la tarjeta (“front-of-card network”), por medio de su marca o logotipo. Estas redes suelen ser Visa o Mastercard. Por otro lado, el resto de las redes de pago habilitadas para la tarjeta se identifican en el reverso de la tarjeta (“back-of-card networks”), y se conocen como «redes de la competencia».

Interesantemente, hasta antes de la promulgación del Reglamento, la mayoría de las redes de pago ubicadas en el reverso de las tarjetas solo podían procesar las transacciones que se efectuaran de forma presencial en los comercios (“card-present debit transactions”). Esto, porque las transacciones debían estar autenticadas por el PIN del titular, que es ingresado por el tarjetahabiente en un teclado. Desde ese entonces, muchas de estas redes desarrollaron la capacidad para procesar pagos con tarjetas de débito que fueran hechas de forma no presencial o “remota” a través de sitios web o aplicaciones (“card-not-present debit transactions”).

Mastercard y su política de tokenización

Una tarjeta de débito puede ser “tokenizada” cuando el número de la tarjeta (o “PAN”, por sus siglas en inglés) es remplazado por un número diferente (“token”) para proteger el PAN durante ciertas etapas de una transacción electrónica. En particular, las transacciones tokenizadas servirían como una señal sobre el nivel de seguridad de una transacción, haciendo que sea más probable que el emisor apruebe una transacción tokenizada.

En este contexto, según la FTC, Mastercard exige el uso de tokens cuando un tarjetahabiente ingresa una tarjeta de débito de su marca en una billetera electrónica. Básicamente, las tarjetas de débito de la marca Mastercard deben ser almacenadas en las billeteras electrónicas bajo un token que, a su vez, es generado por el emisor de la tarjeta. Casi la totalidad de los emisores de tarjetas de débito de marca Mastercard usan los mismos servicios provistos por Mastercard (“Mastercard Digital Enablement Service” o “MDES”) para convertir los PAN en token.

Ahora bien, cuando un tarjetahabiente utiliza una billetera electrónica para realizar una transacción, el comerciante solo recibe el token, no el PAN. Así, para que esta transacción pueda ser procesada, las redes de pago necesitan “destokenizar” la transacción (es decir, convertir el token a su PAN asociado), para poder enviarle el PAN al banco emisor. Como Mastercard es casi siempre el proveedor de servicios de token de sus tarjetas, este sería el único agente con acceso a la información necesaria para destokenizar una transacción hecha con una tarjeta de débito de su marca. Esta información se conoce como la “bóveda de tokens” (en inglés, “token vault”) que almacena la información sobre los PAN y sus tokens correspondientes.

Ante esta situación, los adquirentes de los comercios o las redes de pago que compiten con Mastercard no tendrían la información necesaria para enrutar una transacción tokenizada con la marca Mastercard.

Según la FTC, la política de tokenización de Mastercard permitiría a los comercios enrutar las transacciones tokenizadas de sus tarjetas de débito siempre y cuando las transacciones se hayan hecho de forma presencial en el comercio (es decir, un tarjetahabiente utiliza su billetera electrónica en una tienda). Sin embargo, Mastercard no prestaría estos servicios de destokenización para aquellas transacciones que se hagan con billeteras electrónicas fuera del comercio (de forma remota) (Complaint, párr. 34-35).

La FTC consideró que la política de tokens de Mastercard inhibiría la capacidad de los comerciantes de enrutar transacciones de débito para su procesamiento a través de cualquier red de tarjeta de pago disponible. Por ello, esta política sería una estrategia comercial para proteger y aumentar los ingresos que recibe por las transacciones hechas con sus tarjetas de débito, sin una justificación técnica en costos productivos para limitar la capacidad que tienen las otras redes de pago para enrutar dichas transacciones (Complaint, párr. 34-35).

Orden de cumplimiento y el acuerdo entre la FTC y Mastercard

Luego de años de investigación respecto a las políticas de Mastercard y Visa en el enrutamiento de transacciones con tarjetas, la FTC votó 4-0 para emitir una queja administrativa contra Mastercard y aprobar una orden de consentimiento.

Con ello, Mastercard y la FTC llegaron a un acuerdo, donde Mastercard se compromete a: (i) poner a disposición la información requerida para que cualquier red de pago pueda enrutar una transacción llevada a cabo por una tarjeta de débito; (ii) no tomar ninguna medida que prohíba o inhiba la provisión de servicios de tokenización por parte de terceros, o la proporción de tokens de pago a tarjetas de débito de marca Mastercard; (iii) no inhibir la capacidad de los comercios (u otros terceros) de escoger libremente en cuál de las redes de pago habilitadas desea enrutar una transacción hecha con una tarjeta de débito de forma remota.

Actualmente, el acuerdo de consentimiento se encuentra disponible en el registro público para recibir comentarios de las partes interesadas. Una vez que se cumpla el plazo de 30 días de esta etapa, la FTC deberá volver a revisar el acuerdo, a la luz de los comentarios recibidos, para decidir si debe retirarse el acuerdo, o bien, hacer que la orden propuesta sea definitiva. En esta línea, la FTC publicó un documento que analiza el acuerdo de consentimiento, con el fin de facilitar los comentarios públicos sobre la orden propuesta.

Latinoamérica

En diciembre del año 2019, Mastercard anunció que más de la mitad del volumen de transacciones en América Latina y el Caribe estaría listo para la tokenización. Lo anterior, a propósito de la firma de acuerdos firmados por Mastercard con actores clave de la industria, que permitirían expandir los servicios de tokenización a Brasil, México, Puerto Rico y Ecuador.

Adicionalmente, a finales del año 2022, el vicepresidente ejecutivo de producto e ingeniería de Mastercard para Latinoamérica y el Caribe sostuvo que el 33% del volumen de pagos de la región, en comercio electrónico, se encuentra tokenizado. Recientemente, Mastercard lanzó su herramienta de pago “Click to pay” (que sigue la tendencia de tokenización de transacciones) en México; este año, pretende lanzarla en Brasil, Argentina, Chile y Colombia (Prescott, 2022).

A propósito del caso revisado en Estados Unidos, uno de los aprendizajes que Latinoamérica podría incorporar respecto a una eventual regulación a las marcas de tarjetas de pago es el enfoque amplio y funcional que usa la Enmienda Durbin y el Reglamento para definir una tarjeta de débito. Según ambos, la tarjeta de débito es “cualquier tarjeta, u otro código o dispositivo de pago, emitido o aprobado para su uso a través de una red de tarjetas de pago para debitar una cuenta” (Compliant, párr. 41). La ventaja de esta definición es que permitiría incluir cualquier forma de iniciar una transacción hecha por una tarjeta de débito entre comerciantes.

Enlaces relacionados

Koenig, B. (2022). Mastercard Cuts Deal With FTC Over E-Wallet Routing. Law360.

Mastercard (2019). Mastercard acelera la adopción de tokenización en América Latina y el Caribe. Comunicado de prensa.

Prescott, R. (2022). Pagos minoristas en LatAm: ¿La tokenización y las criptomonedas nos llevarán al futuro? Iupana.

También te puede interesar:

 

 

Tania Domic B. | CeCo Chile