PSD2: ¿cómo te afecta la nueva directiva de servicios de pago?

Las organizaciones en defensa de los consumidores y muchos políticos en el ámbito de la UE están intentando aumentar la protección de usuarios en la compra y el pago por Internet. En la actualidad, junto a las entidades de crédito hay otros proveedores de servicios de pago que desempeñan un papel importante en el eCommerce. Proveedores como PayPal ofrecen tanto a los operadores de tiendas como a los usuarios soluciones prácticas que facilitan los procesos de pago. Lo importante es que la comodidad no prime sobre la seguridad.

La Comisión Europea ya definió una serie de disposiciones de obligado cumplimiento para evitar que los consumidores estén en contacto con empresas poco serias y ahora han sido actualizadas. ¿Qué deben hacer proveedores y usuarios de las tiendas online al respecto?

¿Qué es la PSD2?

En 2007 la UE ya había adoptado la primera versión de la directiva de servicios de pago (PSD de Payment Services Directive). Dicha directiva debería, incluso a día de hoy, regular las operaciones de pago a escala europea de las empresas que no se consideran bancos tradicionales. El objetivo de ello es permitirles a otras empresas, junto a los bancos, ofrecer servicios de pago a través de Internet al mismo tiempo que se regula y estimula la competencia en este ámbito del sector financiero.

La primera y la segunda directiva de servicios de pago cumplen con objetivos diferentes:

  • Apertura a la competencia en los servicios de pago
     
  • Reducir los costes para los consumidores
     
  • Control y fortalecimiento de las nuevas empresas de tecnología financiera (Fintech)
     
  • Aumentar la seguridad al pagar en Internet

Historia de las políticas de servicios de pago: PSD1 y PSD2

Con la primera versión de la directiva de servicios de pago, la Comisión Europea dio un impulso importante a la regulación de los pagos internacionales. En lo que respecta a la unificación de las transacciones en Europa (destacar aquí la SEPA) la primera PSD sentó la base jurídica para los proveedores de servicios de este ámbito. Entonces, como ahora, esto se refería también a los proveedores que no procedían del sector bancario, es decir, la directiva de servicios de pago rompía con el monopolio que las entidades de crédito tenían sobre las operaciones de pago.

Sin embargo, no cualquier empresa puede actuar como proveedor de servicio de pago, sino que primero hay que cumplir con una serie de criterios establecidos ya en la primera versión de la PSD. Con todo, a pesar de la existencia de normas claras, persisten incertidumbres y márgenes de maniobra, algunos de los cuales aparecieron incluso con la propia directiva.

Es por eso que, con la nueva directiva PSD2, la UE intenta hacer desaparecer las lagunas existentes y garantizar a los consumidores aún más seguridad mediante, por ejemplo, certificados y sellos vinculantes que solo pueden obtenerse en organizaciones reconocidas. En España, el Ministerio de Economía y Empresa incluye en su página web prestadores de certificados cualificados de sello electrónico PSD2 acreditados.

Además, las empresas necesitan la aprobación de la autoridad nacional competente de supervisión financiera, que en España es el Banco de España.

La PSD2 en detalle

La directiva PSD2 se adoptó ya en 2017 y se incorporó a la legislación española en noviembre de 2018, siendo el 14 de septiembre de 2019 la fecha límite para su implantación. Una de las innovaciones más importantes, que algunos ven como una revolución, es el hecho de que los bancos ahora tienen que proporcionar a otras empresas acceso a la información de sus clientes, siempre que, claro está, el usuario en cuestión haya dado su consentimiento previo.

Los bancos han de ofrecer una API a los proveedores autorizados para que puedan iniciar las transferencias así como acceder, entre otros datos financieros, a información sobre los saldos de las cuentas de los usuarios. Pero ¿por qué es tan importante? y ¿por qué habría que concederles a las empresas estos permisos?

En el pasado, muchos consumidores ya han utilizado estos servicios, sin normas universales y vinculantes. Sobre todo, en el sector Fintech, hay empresas que ofrecen software con el que los usuarios pueden gestionar sus activos: aplicaciones para ahorrar, contratar seguros o especular en bolsa necesitan acceder a información bancaria para funcionar. Como consecuencia de la PSD2, los bancos están obligados a proporcionar una API a las empresas con los certificados pertinentes mediante la que los proveedores de servicios puedan recuperar la información requerida y realizar pagos o transferencias.

Nota

Con la PSD2 las empresas no pueden acceder sin más y de forma arbitraria a los datos bancarios sensibles de los clientes. Además de una aprobación oficial, los proveedores de servicios necesitan el consentimiento explícito del cliente para recibir dicha información confidencial.

Antes, por lo tanto, ya existían proveedores de servicios con acceso a la información de la cuenta bancaria, solo que dicho acceso no estaba regulado. Por normal general, las empresas dependían a nivel de internacional de una tecnología llamada Screen Scraping, un procedimiento, poco eficiente y propenso a errores, con el que el proveedor de servicios de pago extrae toda la información de la web del banco online. Desde la PSD2, los bancos se han visto obligados a establecer un Acceso a la Cuenta (XS2A) a través del cual les los proveedores pueden acceder.

La PSD2 también ofrece soluciones para garantizar que la transferencia de datos sensibles a través de las API se lleve a cabo sin ningún riesgo para el consumidor. La protección de los datos debe garantizarse con dos medios diferentes:

  • QWAC: este certificado es utilizado por el proveedor y el banco para identificarse entre sí. QWAC también encripta la transmisión de datos entre ambas partes.
     
  • QSealC: el sello se adjunta a los datos y se asigna a una empresa. Esto permite realizar un seguimiento posterior de las empresas que accedieron a la cuenta bancaria y transfirieron datos mediante la API. Además, el sello garantiza que los datos no se puedan modificar.

Para solicitar estas licencias o sellos, los proveedores necesitan la aprobación de una autoridad nacional de competente, como es en territorio español el Banco de España. PSD2 establece que se pueden obtener dos permisos diferentes:

  • Servicio de agregación de información (AIS): los proveedores de servicios de esta categoría están interesados en recibir información de la cuenta bancaria del cliente para poder utilizarla. En este caso, solo es necesario un registro y no es necesario obtener una licencia.
     
  • Servicio de iniciación de pagos (PIS): la empresa con esta licencia puede realizar pagos o transferencias en nombre del cliente.

A diferencia de lo que ocurría en el pasado, las autoridades nacionales de supervisión están examinando muy de cerca a los terceros proveedores antes de que se les permita recibir información de los usuarios. La autoridad supervisora examina toda la estructura de la empresa, presta atención a los controles internos que existen, cómo se abordan las crisis y cómo se asegura la empresa. Se trata principalmente de un obstáculo para las pequeñas empresas de nueva creación, pero favorece la protección del consumidor.

¿Qué cambia para los clientes y los operadores de las tiendas online?

La directiva PSD2 afecta principalmente a los bancos y a otros proveedores de servicios financieros. Para usuarios y tiendas online apenas hay cambios.

PSD2 desde el punto de vista del usuario

La normativa PSD2 garantiza a los compradores en tiendas online más seguridad en el pago. La concesión de licencias para las soluciones técnicas, así como la supervisión por parte de las autoridades competentes, garantizan una protección mayor de los datos sensibles. Con todo, los usuarios tendrán que efectuar la autenticación de dos factores, es decir, tendrán que confirmar un pago utilizando un segundo método para identificarse en el sitio web. Un ejemplo de ello son los códigos que el cliente recibe por SMS y que debe introducir en alguna interfaz para completar el proceso de pago. En principio, también se puede usar como método la identificación por huella dactilar.

Además, con la nueva directiva los compradores se benefician de precios más bajos, ya que los comerciantes de negocios online no pueden añadir recargos a ciertas operaciones de pago (como las tarjetas de crédito).

Por todo esto es de suponer que, en el futuro, con la PSD2, muchas más empresas empezarán su andadura en el sector financiero. Ya se especula sobre si grandes empresas como Amazon o eBay terminarán entrando a formar parte también del citado sector, pues en caso de hacerlo los costes de las compras en sus mercados se descontarían directamente de la cuenta del cliente.

PSD2 y eCommerce: ¿a qué hay que prestar atención?

Dado que son muchos aspectos que en la PSD2 tratan la implementación técnica, muchos comerciantes online se preguntan qué cambios deben introducir en su propio sistema. Los pagos realizados a través de una tienda online ahora han de estar protegidos por la autenticación de dos factores.

Esta obligación resulta de la autenticación reforzada (SCA, de sus siglas en inglés Strong-Customer-Authentication) requerida en la PSD2. Para que la transferencia de dinero se realice, los clientes deben autorizarla al menos mediante dos factores: conocimiento (por ejemplo, contraseña o PIN), posesión (por ejemplo, tarjeta o teléfono inteligente) o inherencia (por ejemplo, voz o huellas dactilares). Esto se aplica a todas las sumas superiores a 30 euros. Aunque si en un mismo día se realizan varias compras que superen el valor de los 100 euros, dicha autenticación será necesaria incluso si las adquisiciones individuales no superan los 30 euros.

Lo cierto es que los operadores de las tiendas online suelen trabajar junto con un socio para efectuar los pagos, siendo este el que debe implementar los requisitos de la PSD2 en su sistema. Por ejemplo, los emisores de tarjetas de crédito han desarrollado una nueva versión de 3D Secure. Es por eso que los comerciantes en eCommerce solo tienen que asegurarse de que su tienda también instala correctamente el procedimiento de seguridad correspondiente.

Los requisitos de SCA se aplican a los pagos push, es decir, cuando el cliente inicia un pago directamente. Sin embargo, los pagos domiciliados no se incluyen, dado que se trata de un pago pull, es decir, es el vendedor el que solicita el dinero al banco.

Nota

La autenticación de dos factores debe ser implementada en las tiendas online antes del 14 de septiembre de 2019.

Otras de las novedades que los comerciantes online deben tener en cuenta es que ya no se permite el “recargo”. En el pasado, era común que cobraran una tarifa adicional sobre el precio de compra, por ejemplo, en los pagos con tarjeta de crédito, ya que estos les suponían costes extra. Tampoco se permite el recargo en los pagos a través de PayPal.

Por favor, ten en cuenta el aviso legal relativo a este artículo.