Para evitar que los co­n­su­mi­do­res tengan que in­ter­ac­tuar con empresas poco fiables, la Comisión Europea adoptó en 2015 una versión revisada de la Directiva de servicios de pago. ¿Qué implica exac­ta­me­n­te la PSD2 (Payment Services Directive)?

¿Qué es la PSD2?

La PSD2 es una versión revisada de la Directiva de servicios de pago (Payment Services Directive o PSD), in­tro­du­ci­da en 2007. Fue adoptada por el Consejo de la Unión Europea el 16 de noviembre de 2015 y tra­n­s­pue­s­ta al derecho español mediante el Real Decreto-ley 19/2018, de 23 de noviembre, con su de­sa­rro­llo normativo co­m­ple­ta­do en 2019 y su plena apli­ca­ción desde julio de 2020. Regula los pagos a nivel europeo rea­li­za­dos por empresas que no se co­n­si­de­ran bancos tra­di­cio­na­les. Su objetivo es pe­r­mi­ti­r­les a otras empresas, además de los bancos, ofrecer servicios de pago a través de Internet al mismo tiempo que se regula y estimula la co­m­pe­te­n­cia en este ámbito del sector fi­na­n­cie­ro.

La primera y la segunda Directiva de servicios de pago cumplen con objetivos di­fe­re­n­tes:

  • Apertura a la co­m­pe­te­n­cia en los servicios de pago
  • Reducir los costes para los co­n­su­mi­do­res
  • Control y fo­r­ta­le­ci­mie­n­to de las nuevas empresas de te­c­no­lo­gía fi­na­n­cie­ra (Fintech)
  • Aumentar la seguridad al pagar en Internet
Imagen: Gráfica sobre la PSD2
La imagen resume los puntos clave de la PSD2.

La PSD2 en detalle

La segunda versión de la Directiva de servicios de pago se incorporó al derecho español en varias fases. Una de sus pri­n­ci­pa­les novedades es que obliga a los bancos a pro­po­r­cio­nar acceso a la in­fo­r­ma­ción de sus clientes a otras empresas, siempre y cuando la persona titular de la cuenta haya dado su co­n­se­n­ti­mie­n­to.

Los bancos deben facilitar a los pro­vee­do­res au­to­ri­za­dos una interfaz que les permita realizar tra­n­s­fe­re­n­cias di­re­c­ta­me­n­te y acceder a in­fo­r­ma­ción sobre saldos y otros detalles fi­na­n­cie­ros de los clientes. En el ámbito de las fintech, muchas empresas ofrecen software innovador que ayuda a los usuarios a gestionar su pa­tri­mo­nio. Apli­ca­cio­nes para ahorrar, contratar seguros o invertir en bolsa requieren acceso a los datos bancarios. Desde la entrada en vigor de la PSD2, los bancos están obligados a pro­po­r­cio­nar a las empresas con las ce­r­ti­fi­ca­cio­nes adecuadas una interfaz a través de la cual los pro­vee­do­res de servicios puedan obtener la in­fo­r­ma­ción necesaria y realizar pagos o tra­n­s­fe­re­n­cias.

Nota

Con la PSD2 las empresas no pueden acceder sin más y de forma ar­bi­tra­ria a los datos bancarios sensibles de los clientes. Además de una apro­ba­ción oficial, los pro­vee­do­res de servicios necesitan el co­n­se­n­ti­mie­n­to explícito del cliente para recibir dicha in­fo­r­ma­ción co­n­fi­de­n­cial.

¿Cómo funciona la PSD2?

Los pro­vee­do­res de servicios ya accedían an­te­rio­r­me­n­te a la in­fo­r­ma­ción de las cuentas bancarias, pero no disponían de un acceso unificado. Por normal general, las empresas dependían a nivel in­te­r­na­cio­nal de una te­c­no­lo­gía llamada web scraping, un pro­ce­di­mie­n­to, poco eficiente y propenso a errores, con el que el proveedor de servicios de pago extrae toda la in­fo­r­ma­ción de la web del banco online. La PSD2 obliga a los bancos a es­ta­ble­cer un Acceso a la Cuenta (XS2A) a través del cual los pro­vee­do­res pueden acceder.

La PSD2 también ofrece so­lu­cio­nes para ga­ra­n­ti­zar que la tra­n­s­fe­re­n­cia de datos sensibles a través de estas in­te­r­fa­ces se lleve a cabo sin riesgos para los co­n­su­mi­do­res. La seguridad de los datos se refuerza mediante dos me­ca­ni­s­mos pri­n­ci­pa­les:

  • QWAC: este ce­r­ti­fi­ca­do es utilizado por el proveedor y el banco para ide­n­ti­fi­car­se entre sí. QWAC también encripta la tra­n­s­mi­sión de datos entre ambas partes.

  • QSealC: el sello se adjunta a los datos y se asigna a una empresa. Esto permite realizar un se­gui­mie­n­to posterior de las empresas que ac­ce­die­ron a la cuenta bancaria y tra­n­s­fi­rie­ron datos mediante la API. Además, el sello garantiza que los datos no se puedan modificar.

Para solicitar estas licencias o sellos, los pro­vee­do­res necesitan la apro­ba­ción de una autoridad nacional de co­m­pe­te­n­te, como es en te­rri­to­rio español el Banco de España. La PSD2 establece que se pueden obtener dos permisos di­fe­re­n­tes:

  • Servicio de agre­ga­ción de in­fo­r­ma­ción (AIS): los pro­vee­do­res de servicios de esta categoría están in­te­re­sa­dos en recibir in­fo­r­ma­ción de la cuenta bancaria del cliente para poder uti­li­zar­la. En este caso, solo es necesario un registro y no es necesario obtener una licencia.

  • Servicio de ini­cia­ción de pagos (PIS): la empresa con esta licencia puede realizar pagos o tra­n­s­fe­re­n­cias en nombre del cliente.

¿Qué implica la Directiva de servicios de pago para las tiendas online?

La Directiva de servicios de pago afecta pri­n­ci­pa­l­me­n­te a los bancos y a otros pro­vee­do­res de servicios en el sector fi­na­n­cie­ro. Los usuarios ha­bi­tua­les apenas han notado los cambios im­ple­me­n­ta­dos en segundo plano. Del mismo modo, para los comercios online, las mo­di­fi­ca­cio­nes han sido mínimas desde su entrada en vigor.

La PSD2 desde el punto de vista del usuario

La segunda versión de la Directiva de servicios de pago ha mejorado la seguridad en los pagos. Desde su entrada en vigor, la concesión de licencias para las so­lu­cio­nes técnicas, así como la su­pe­r­vi­sión por parte de las au­to­ri­da­des co­m­pe­te­n­tes, ga­ra­n­ti­zan una pro­te­c­ción mayor de los datos sensibles. Un factor clave en este sentido es que los usuarios tendrán que efectuar la au­te­n­ti­ca­ción de dos factores. Un ejemplo de ello son los códigos que el cliente recibe por SMS y que debe in­tro­du­cir en alguna interfaz para completar el proceso de pago.

La Directiva PSD2 y el comercio ele­c­tró­ni­co

Muchos aspectos de la Directiva de servicios de pago 2 están re­la­cio­na­dos con su im­ple­me­n­ta­ción técnica, como la obli­ga­ción de la au­te­n­ti­ca­ción de dos factores y los me­ca­ni­s­mos asociados. Esta obli­ga­ción resulta de la au­te­n­ti­ca­ción reforzada (SCA, de sus siglas en inglés Strong-Customer-Au­the­n­ti­ca­tion) requerida en la PSD2. Para que la tra­n­s­fe­re­n­cia de dinero se realice, los clientes deben au­to­ri­zar­la al menos mediante dos factores: co­no­ci­mie­n­to (p. ej., co­n­tra­se­ña o PIN), posesión (p. ej., tarjeta o teléfono in­te­li­ge­n­te) o in­he­re­n­cia (p. ej., voz o huellas da­c­ti­la­res). Esto se aplica a todas las sumas su­pe­rio­res a 30 euros. Aunque si en un mismo día se realizan varias compras que superan los 100 euros, dicha au­te­n­ti­ca­ción será necesaria incluso si las ad­qui­si­cio­nes in­di­vi­dua­les no superan los 30 euros.

Para procesar pagos, los re­s­po­n­sa­bles de una tienda online suelen colaborar con un proveedor de servicios de pago. Este debe ase­gu­rar­se de que su sistema cumpla con los re­qui­si­tos de la PSD2. Las entidades emisoras de tarjetas de crédito, por ejemplo, ofrecen medidas de seguridad como el protocolo 3D Secure. Los co­me­r­cia­n­tes del comercio ele­c­tró­ni­co solo deben ase­gu­rar­se de que su tienda im­ple­me­n­te co­rre­c­ta­me­n­te estos sistemas de seguridad.

Los re­qui­si­tos de SCA se aplican a los pagos push, es decir, cuando el cliente inicia un pago di­re­c­ta­me­n­te. Sin embargo, los pagos do­mi­ci­lia­dos no se incluyen, dado que se trata de un pago pull, en los que es el vendedor el que solicita el dinero al banco.

Nota

En España, la au­te­n­ti­ca­ción de dos factores es obli­ga­to­ria para las tiendas online desde el 1 de enero de 2021.

Otras de las novedades que los co­me­r­cia­n­tes online deben tener en cuenta es que ya no se permite el “recargo”. Antes de la im­ple­me­n­ta­ción de la directiva, era común que cobraran una tarifa adicional sobre el precio de compra, por ejemplo, en los pagos con tarjeta de crédito, para compensar los costes adi­cio­na­les que esto generaba.

Historia de las políticas de servicios de pago: PSD1 y PSD2

Con la primera versión de la Directiva de servicios de pago, la Comisión Europea dio un impulso im­po­r­ta­n­te a la re­gu­la­ción de los pagos in­te­r­na­cio­na­les. En lo que respecta a la uni­fi­ca­ción de las tra­n­sac­cio­nes en Europa (destaca aquí la SEPA) la primera PSD sentó la base jurídica para los pro­vee­do­res de servicios de este ámbito. Entonces, como ahora, esto se refería también a los pro­vee­do­res que no procedían del sector bancario, es decir, la Directiva de servicios de pago rompía con el monopolio que las entidades de crédito tenían sobre las ope­ra­cio­nes de pago.

Sin embargo, no cualquier empresa puede actuar como proveedor de servicio de pago, sino que primero hay que cumplir con una serie de criterios es­ta­ble­ci­dos ya en la primera versión de la PSD. Con todo, a pesar de la exi­s­te­n­cia de normas claras, todavía quedaban algunas in­ce­r­ti­du­m­bres y márgenes de maniobra, e incluso algunos problemas surgieron con la propia directiva. Con la PSD2, estas de­fi­cie­n­cias se han corregido y se ha reforzado aún más la seguridad para los co­n­su­mi­do­res.

Esto se consigue, por ejemplo, mediante la concesión de ce­r­ti­fi­ca­dos y sellos oficiales, que solo pueden obtenerse a través de or­ga­ni­za­cio­nes re­co­no­ci­das. En España, estos ce­r­ti­fi­ca­dos deben ser emitidos por entidades acre­di­ta­das bajo la su­pe­r­vi­sión del Banco de España. Además, las empresas que deseen operar como pro­vee­do­res de servicios de pago necesitan una au­to­ri­za­ción de la autoridad fi­na­n­cie­ra nacional, que en España co­rre­s­po­n­de al Banco de España y, en algunos casos, también a la Comisión Nacional del Mercado de Valores (CNMV).

Nota

En España, el Mi­ni­s­te­rio de Economía y Empresa incluye en su página web pre­s­ta­do­res de ce­r­ti­fi­ca­dos cua­li­fi­ca­dos de sello ele­c­tró­ni­co PSD2 acre­di­ta­dos.

Por favor, ten en cuenta el aviso legal relativo a este artículo.

Ir al menú principal