La directiva PSD2 y como nos afecta
El pasado 14 de septiembre entro en vigor en España la versión 2 de la directiva europea Payment Services Directive (en adelante PSD2) si eres usuario de banca online a través de internet o bien a través de la aplicación móvil, ya habrás recibido las notificaciones correspondientes con los cambios. La aplicación de esta directiva afecta a todos aquellos servicios en los que hay de por medio una transacción bancaria, luego las tiendas online o las aplicaciones tipo fintonic también se ven afectadas por esta directiva PSD2 es una norma europea equiparable a la GDPR en materia de datos que viene a actualizar la legislación anterior, la PSD y que afecta a todo aquello en la que aparece una transacción en línea). La Directiva PSD fue publicada por la Unión Europea en 2007 para regular el mercado de los pagos electrónicos en la zona euro. Esa norma fue impulsada por Comisión Europea y proporcionó un marco legal dentro del cual debían operar todos los proveedores de servicios de pago digitales.
Su objetivo era aumentar los derechos y la seguridad de los consumidores al comprar por internet y garantizar la agilidad del proceso. Y sus reglas son las que hemos seguido durante estos años a la hora de adquirir cualquier producto por internet: redirección a una pasarela de pagos desde el comercio electrónico, uso de tarjetas de crédito y de distintos mecanismos de seguridad, como el envío de un SMS con un código, para certificar la compra.El problema es que en pocos años esa normativa quedó obsoleta ante el vertiginoso aumento del comercio electrónico y la entrada en el sector de nuevos actores, como las compañías fintech. Así, en 2015 la Comisión Europea consideró necesario publicar una nueva norma, la Directiva 2015/2366, por la que se actualizaba la de 2007, la cual se conoce como: PSD2.
¿Cómo nos afecta?
Con esta nueva norma, Europa obliga a las entidades bancarias y los comercios electrónicos a usar la autentificación en dos pasos (two factor authentification – 2FA por sus siglas en inglés), por la que se procede a comprobar la identidad del consumidor mediante al menos dos métodos de tres posibles.
Se introduce la Strong Customer Authebtication (SCA) que obliga al usuario que realiza el pago a identificarse de tres maneras posibles de las cuales se tienen que asegurar de ellas. Esto ya lo sabemos de otras entradas en este blog y tenemos que grabarlas a fuego en todas nuestras operaciones con datos sensibles: algo que tienes ( un teléfono móvil), algo que sabes ( una contraseña) algo que eres (algún dato biométrico)
Además de estas medidas de seguridad previas a la ejecución de la transacción, la nueva normativa también prevé una mayor protección de los consumidores en caso de fraude. Así, el usuario sólo será responsable de pagos no autorizados de hasta 50 euros, y a partir de esa cifra será el proveedor el que tendrá que hacerse cargo del importe defraudado. Con la directiva anterior esa cantidad era de hasta 150 euros.
Asimismo, el proveedor tendrá que devolver el importe defraudado el mismo día en que se haya cometido el fraude siempre que el usuario niegue haber autorizado la operación, o indique que es incorrecta, y la empresa no pueda demostrar lo contrario.
Sencillez.
Creo que todos aquellos que hemos utilizado los servicios bancarios on-line nos acordamos de esa tarjeta de claves que nos daba el banco al contratar el servicio on-line con el que tenias que firmar la operación introduciendo el número de la casilla que se indicaba. A parte de la seguridad favorece que el trámite se haga de forma sencilla en donde intervienen solo como el banco y el comercio, implicados ya que la directiva obliga a que todo deba hacerse sin salir de la web en la que se realiza la transacción ( y no como ocurre actualmente en algunos comercios que se nos envía a la pasarela de pago que usa el comercio electrónico para realizar el pago) Se trata de que el proceso sea menos complejo y más seguro para el usuario. A la larga, como ocurre en algunos países ese trozo de plástico que llevamos en la cartera será un simple trozo de plástico inútil, al igual que ocurrió con nuestra tarjeta de claves para operaciones online. Y es que según datos aportados por Mitek en la actualidad se producen un 52% de abandonos en el proceso de compra por la complejidad del mismo y las derivaciones a páginas externas para realizar los pagos. Algo que socava la confianza de los usuarios que no conocen las particularidades de las compras online y los lleva a no finalizar la transacción.
Liberalización, Openbanking.
Otro aspecto novedoso que introduce esta legislación es la apertura del acceso a las cuentas de los clientes de un banco por parte de terceros, siempre que estos cuenten con la autorización del usuario. Conocido como OpenBanking, permitirá un acceso directo a la información bancaria del usuario para agilizar las transacciones y hará posible agrupar toda la información financiera de una persona en una misma plataforma. Para hacer posible ese contacto directo entre comercios y bancos sin menoscabar la seguridad de la información del usuario, las entidades financieras ofrecerán el acceso a terceros mediante canales técnicos conocidos como APIs (Application Programming Interface), más seguros y rápidos que los métodos actuales. “Para abrir el acceso con APIs de forma segura, y conforme con la PSD2, hace falta un portal para el acceso a terceros que permita a éste llamar al banco, identificarse para mostrar que es una entidad autorizada y pedir y recibir pagos de forma segura. Para los bancos españoles este proceso lo va a facilitar una herramienta desarrollada por la pasarela de pagos Redsys
Los expertos esperan que la directiva PSD2 haga más competitivo el sector, igualando los sistemas de pago online y facilitando la entrada de nuevos actores, lo que favorecerá la innovación en el sector y beneficiará al consumidor. Al crear una estandarización de los métodos de pago permitirá que los procesos para las tiendas grandes como para las pequeñas sean iguales teniendo el mismo nivel de competitividad en ese aspecto.
Entidades PISP y AISD ¿Qué son?.
Las novedades que introduce la directiva PSD2 hacen necesaria la aparición de nuevos actores para ofrecer los servicios que se derivarán de su aplicación. En este contexto aparecen dos nuevas entidades, las payment iniciation service provider (PISP) y las account information service provider (AISP). Las PISP son empresas que ofrecerán softwares que actúen de intermediarios entre las entidades financieras y los comercios. Permitirán transferencias directas entre los bancos y la tienda digital previa autorización y verificación de la identidad del cliente mediante la autentificación en dos pasos. Con este servicio se materializará la reducción de intermediarios. Las AISP, por su parte, son compañías que acceden y almacenan información de las cuentas del usuario, previa autorización de éste. De esa forma, la persona puede acceder a los datos de las diferentes plataformas financieras con la que tenga productos contratados en una única interfaz. Fintonic, por ejemplo, ya ofrece este tipo de servicios. Con las AISP, además de ordenar en una misma plataforma todos los productos financieros del usuario, también se abre la posibilidad de personalizar los servicios que se le pueden ofrecer, como préstamos o seguros, en función de la información de sus distintas cuentas.
¿Problemas de implementación?
Como toda normativa europea ( y algo experiencia tengo la implantación de la GPDR) ente moratorias y que todo se hace a ultima hora casi siempre se llega tarde. Esta nueva directiva europea va a conllevar una serie de cambios tan importantes que revolucionarán el sector financiero. La reducción de intermediarios, con la eliminación del principal actor de las transacciones económicas digitales hasta la fecha, la tarjeta bancaria, o el aumento de los procesos de verificación de la identidad conllevan un importante desarrollo tecnológico que, probablemente, no llegará a tiempo.. pero es necesario que se implante cuanto antes si queremos ser igual de competitivos como en China en este aspecto.
