Para evitar que los consumidores tengan que interactuar con empresas poco fiables, la Comisión Europea adoptó en 2015 una versión revisada de la Directiva de servicios de pago. ¿Qué implica exactamente la PSD2 (Payment Services Directive)?

¿Qué es la PSD2?

La PSD2 es una versión revisada de la Directiva de servicios de pago (Payment Services Directive o PSD), introducida en 2007. Fue adoptada por el Consejo de la Unión Europea el 16 de noviembre de 2015 y transpuesta al derecho español mediante el Real Decreto-ley 19/2018, de 23 de noviembre, con su desarrollo normativo completado en 2019 y su plena aplicación desde julio de 2020. Regula los pagos a nivel europeo realizados por empresas que no se consideran bancos tradicionales. Su objetivo es permitirles a otras empresas, además de los bancos, ofrecer servicios de pago a través de Internet al mismo tiempo que se regula y estimula la competencia en este ámbito del sector financiero.

La primera y la segunda Directiva de servicios de pago cumplen con objetivos diferentes:

  • Apertura a la competencia en los servicios de pago
  • Reducir los costes para los consumidores
  • Control y fortalecimiento de las nuevas empresas de tecnología financiera (Fintech)
  • Aumentar la seguridad al pagar en Internet
Imagen: Gráfica sobre la PSD2
La imagen resume los puntos clave de la PSD2.

La PSD2 en detalle

La segunda versión de la Directiva de servicios de pago se incorporó al derecho español en varias fases. Una de sus principales novedades es que obliga a los bancos a proporcionar acceso a la información de sus clientes a otras empresas, siempre y cuando la persona titular de la cuenta haya dado su consentimiento.

Los bancos deben facilitar a los proveedores autorizados una interfaz que les permita realizar transferencias directamente y acceder a información sobre saldos y otros detalles financieros de los clientes. En el ámbito de las fintech, muchas empresas ofrecen software innovador que ayuda a los usuarios a gestionar su patrimonio. Aplicaciones para ahorrar, contratar seguros o invertir en bolsa requieren acceso a los datos bancarios. Desde la entrada en vigor de la PSD2, los bancos están obligados a proporcionar a las empresas con las certificaciones adecuadas una interfaz a través de la cual los proveedores de servicios puedan obtener la información necesaria y realizar pagos o transferencias.

Nota

Con la PSD2 las empresas no pueden acceder sin más y de forma arbitraria a los datos bancarios sensibles de los clientes. Además de una aprobación oficial, los proveedores de servicios necesitan el consentimiento explícito del cliente para recibir dicha información confidencial.

¿Cómo funciona la PSD2?

Los proveedores de servicios ya accedían anteriormente a la información de las cuentas bancarias, pero no disponían de un acceso unificado. Por normal general, las empresas dependían a nivel internacional de una tecnología llamada web scraping, un procedimiento, poco eficiente y propenso a errores, con el que el proveedor de servicios de pago extrae toda la información de la web del banco online. La PSD2 obliga a los bancos a establecer un Acceso a la Cuenta (XS2A) a través del cual los proveedores pueden acceder.

La PSD2 también ofrece soluciones para garantizar que la transferencia de datos sensibles a través de estas interfaces se lleve a cabo sin riesgos para los consumidores. La seguridad de los datos se refuerza mediante dos mecanismos principales:

  • QWAC: este certificado es utilizado por el proveedor y el banco para identificarse entre sí. QWAC también encripta la transmisión de datos entre ambas partes.

  • QSealC: el sello se adjunta a los datos y se asigna a una empresa. Esto permite realizar un seguimiento posterior de las empresas que accedieron a la cuenta bancaria y transfirieron datos mediante la API. Además, el sello garantiza que los datos no se puedan modificar.

Para solicitar estas licencias o sellos, los proveedores necesitan la aprobación de una autoridad nacional de competente, como es en territorio español el Banco de España. La PSD2 establece que se pueden obtener dos permisos diferentes:

  • Servicio de agregación de información (AIS): los proveedores de servicios de esta categoría están interesados en recibir información de la cuenta bancaria del cliente para poder utilizarla. En este caso, solo es necesario un registro y no es necesario obtener una licencia.

  • Servicio de iniciación de pagos (PIS): la empresa con esta licencia puede realizar pagos o transferencias en nombre del cliente.

¿Qué implica la Directiva de servicios de pago para las tiendas online?

La Directiva de servicios de pago afecta principalmente a los bancos y a otros proveedores de servicios en el sector financiero. Los usuarios habituales apenas han notado los cambios implementados en segundo plano. Del mismo modo, para los comercios online, las modificaciones han sido mínimas desde su entrada en vigor.

La PSD2 desde el punto de vista del usuario

La segunda versión de la Directiva de servicios de pago ha mejorado la seguridad en los pagos. Desde su entrada en vigor, la concesión de licencias para las soluciones técnicas, así como la supervisión por parte de las autoridades competentes, garantizan una protección mayor de los datos sensibles. Un factor clave en este sentido es que los usuarios tendrán que efectuar la autenticación de dos factores. Un ejemplo de ello son los códigos que el cliente recibe por SMS y que debe introducir en alguna interfaz para completar el proceso de pago.

La Directiva PSD2 y el comercio electrónico

Muchos aspectos de la Directiva de servicios de pago 2 están relacionados con su implementación técnica, como la obligación de la autenticación de dos factores y los mecanismos asociados. Esta obligación resulta de la autenticación reforzada (SCA, de sus siglas en inglés Strong-Customer-Authentication) requerida en la PSD2. Para que la transferencia de dinero se realice, los clientes deben autorizarla al menos mediante dos factores: conocimiento (p. ej., contraseña o PIN), posesión (p. ej., tarjeta o teléfono inteligente) o inherencia (p. ej., voz o huellas dactilares). Esto se aplica a todas las sumas superiores a 30 euros. Aunque si en un mismo día se realizan varias compras que superan los 100 euros, dicha autenticación será necesaria incluso si las adquisiciones individuales no superan los 30 euros.

Para procesar pagos, los responsables de una tienda online suelen colaborar con un proveedor de servicios de pago. Este debe asegurarse de que su sistema cumpla con los requisitos de la PSD2. Las entidades emisoras de tarjetas de crédito, por ejemplo, ofrecen medidas de seguridad como el protocolo 3D Secure. Los comerciantes del comercio electrónico solo deben asegurarse de que su tienda implemente correctamente estos sistemas de seguridad.

Los requisitos de SCA se aplican a los pagos push, es decir, cuando el cliente inicia un pago directamente. Sin embargo, los pagos domiciliados no se incluyen, dado que se trata de un pago pull, en los que es el vendedor el que solicita el dinero al banco.

Nota

En España, la autenticación de dos factores es obligatoria para las tiendas online desde el 1 de enero de 2021.

Otras de las novedades que los comerciantes online deben tener en cuenta es que ya no se permite el “recargo”. Antes de la implementación de la directiva, era común que cobraran una tarifa adicional sobre el precio de compra, por ejemplo, en los pagos con tarjeta de crédito, para compensar los costes adicionales que esto generaba.

Historia de las políticas de servicios de pago: PSD1 y PSD2

Con la primera versión de la Directiva de servicios de pago, la Comisión Europea dio un impulso importante a la regulación de los pagos internacionales. En lo que respecta a la unificación de las transacciones en Europa (destaca aquí la SEPA) la primera PSD sentó la base jurídica para los proveedores de servicios de este ámbito. Entonces, como ahora, esto se refería también a los proveedores que no procedían del sector bancario, es decir, la Directiva de servicios de pago rompía con el monopolio que las entidades de crédito tenían sobre las operaciones de pago.

Sin embargo, no cualquier empresa puede actuar como proveedor de servicio de pago, sino que primero hay que cumplir con una serie de criterios establecidos ya en la primera versión de la PSD. Con todo, a pesar de la existencia de normas claras, todavía quedaban algunas incertidumbres y márgenes de maniobra, e incluso algunos problemas surgieron con la propia directiva. Con la PSD2, estas deficiencias se han corregido y se ha reforzado aún más la seguridad para los consumidores.

Esto se consigue, por ejemplo, mediante la concesión de certificados y sellos oficiales, que solo pueden obtenerse a través de organizaciones reconocidas. En España, estos certificados deben ser emitidos por entidades acreditadas bajo la supervisión del Banco de España. Además, las empresas que deseen operar como proveedores de servicios de pago necesitan una autorización de la autoridad financiera nacional, que en España corresponde al Banco de España y, en algunos casos, también a la Comisión Nacional del Mercado de Valores (CNMV).

Nota

En España, el Ministerio de Economía y Empresa incluye en su página web prestadores de certificados cualificados de sello electrónico PSD2 acreditados.

Por favor, ten en cuenta el aviso legal relativo a este artículo.

¿Le ha resultado útil este artículo?
Ir al menú principal