Como ya ocurrió con la entrada en vigor definitiva del reglamento GDPR, llegó el momento de adaptarse a la directiva que regula los Servicios de Pago PSD2 (Directiva UE 2015/2366), que aunque data de 2015, pilla a la mayoría de usuarios sin conocer los detalles de esta normativa que precede a la anterior PSD1 (2007/64). Aunque el plazo acabó en septiembre, debido a la complejidad de su implantación el Banco de España ha concedido una nueva moratoria de entre 14 y 18 meses y finalmente los proveedores ya estarán obligados a aplicarla. ¿En qué consiste? ¿Cómo afecta a los usuarios de servicios financieros? ¿Qué debe hacer si dispone de eCommerce? ¿Cuál es el papel de las Fintech en este nuevo escenario? Son preguntas que trataremos de resolver en este artículo.
La PSD2 como garantía de seguridad en internet
La seguridad en los pagos electrónicos es la principal razón de ser de la nueva normativa PSD2, al prescribir la aplicación obligatoria de medidas y procedimientos de seguridad específicos en las operaciones de pago electrónicas, y en especial en las que tienen lugar a distancia.
Estas medidas y procedimientos se basan en el concepto de «autenticación reforzada del cliente» cuyas principales características son el uso de dos o más elementos de seguridad independientes:
1. Elementos de seguridad:
— Conocimiento (algo que solo conoce el usuario).
— Posesión (algo que solo posee el usuario).
— Inherencia (algo que es el usuario).
2. Independientes:
— La vulneración de uno no compromete la fiabilidad de los demás.
— No exigencia de dispositivos diferentes
3. Credenciales de seguridad personalizadas:
— Elementos de seguridad facilitados por el proveedor de servicios de pago (PSP) o vinculados por él al cliente.
La ARC (Autenticación Reforzada del Cliente) es Obligatoria cuando:
— Acceso cuenta pago online.
— Operación de pago electrónico.
— Acción remota que entrañe riesgo.
— Presencia de un TPP.
El elemento de seguridad ha de ser dinámico si:
— Operación de pago electrónico remota.
— Presencia de un PISP.
.
Hay posibilidad de exenciones en función de:
— Nivel de riesgo (TRA).
— Importe.
— Canal.
Debe ir acompañado de mecanismos de monitorización de transacciones.
Fuente: Banco de España.
Como ocurre cuando la legislación afecta a cuestiones tecnológicas que aún están en desarrollo, el concepto de autenticación reforzada del cliente no pudo definirse en detalle en la propia directiva por su complejidad técnica y por la gran diversidad de los casos. Por tanto se limita a establecer unos principios generales que deberán ser desarrollados en el marco jurídico posteriormente.
La PSD2 y los nuevos operadores financieros
En los últimos años el sector financiero tradicional se ha visto sorprendido por la aparición de una nueva tipología de proveedores de servicios de pago que actúan como “agregadores de información o como iniciadores de las operaciones de pago”. Este tipo de operadores ya fueron legitimados por la segunda directiva de servicios de pago del parlamento europeo y del consejo y ahora podrán establecer relaciones directas con los clientes. Es decir, que desaparece la obligación de un banco como intermediario en los pagos electrónicos. es más, los nuevos operadores podrán:
- Realizar transacciones en su nombre sin ser administradores de sus cuentas.
- Acceder a la valiosa información financiera del cliente o usuario.
A la banca y servicios financieros tradicionales se le abren también nuevas oportunidades de relación con sus clientes, además de quedar protegidas en algunas de sus actividades. Con la PSD1 las entidades de crédito que ofrecían sistemas de pago pasaron a denominarse, de forma genérica, «proveedores de servicios de pago» (PSP), con un régimen de supervisión proporcional a los riesgos que asumían en su actividad, limitada a intermediar pagos. Otros servicios quedaron fuera de esta normativa, como iniciar el pago en una cuenta de otra entidad (denominado con sus siglas en inglés PIS, Payment Initiation Service) o el intercambio de información sobre saldos y operaciones consolidadas (AIS, por sus siglas en inglés, Account Information Service).
Para realizar estos servicios no se exige administrar una cuenta de pago, sino que basta el consentimiento del cliente para operar u obtener información de las cuentas que posea en otras entidades.
Surgen los «proveedores terceros» o TPP, por sus siglas en inglés (Third Party Providers)
Dado que la PSD2 admite la posibilidad de que haya PSP que solo presten servicios de PIS o AIS, sin gestionar directamente cuentas de pago el tipo de entidades reconocidas como PSP se amplía y los PSP quedan divididos en dos grupos: los que gestionan cuentas de pago de sus clientes (denominados habitualmente «ASPSP», del inglés, Account Servicing Payment Service Provider) y los TPP, que prestan servicios de AIS o PIS sin gestionar cuentas de clientes.
Tipos de Entidades y Servicios de Pago
Fuente: European Payments Council y Banco de España. (Revista de Estabilidad Financiera, 35)
Cómo afecta la PSD2 a los usuarios
La principal novedad para el día a día de las personas la encontraremos cuando vayamos a comprar en una tienda electrónica y en lugar de tener que conectarnos con una pasarela de pago conectada a nuestro banco, o a la tarjeta de crédito, el comercio podrá ejecutar el cobro directamente en la cuenta bancaria del comprador. El proceso entre el comercio y el banco se realizará directamente mediante una API (Application Programm Interface).
Cómo afecta la PSD2 a los eCommerce
La principal consecuencia de permitir a los comercios electrónicos cobrar directamente de sus clientes es, una vez más, nuevas y mayores medidas de seguridad. Mientras que la Autenticación Reforzada era hasta ahora opcional, ahora es obligatoria.
Esta obligatoriedad de autenticación fuerte (SCA) podría repercutir en la tasa de conversión, ya que también obliga al comprador a realizar más pasos y ofrecer más garantías de identificación como hemos visto en el cuadro anterior.
Cómo afecta la PSD2 a la banca
Como es fácil de imaginar, si a la industria tradicional ya le estaban surgiendo nuevos competidores, ahora podrían ser eliminados de la cadena de pago en gran parte de sus funciones. Pero donde más afectará será en la necesidad de adaptarse y crear nuevas APIs y protocolos. Estas APIs tendrán que estar preparadas para compartir información con terceros para que sea posible iniciar pagos desde cualquier lugar y para compartir los datos tal y como obliga la directiva. En este nuevo entorno, sin que aún exista un estándar establecido, se presentan numerosas oportunidades de negocio para el sector y la posibilidad de ofrecer nuevos servicios añadidos.
Otra de las consecuencias, como apuntan desde el blog de Selfbank será que “el uso de una tarjeta como identificación y autorización de cargo en cuenta dejará de ser imprescindible. Sin embargo, su uso como medio de pago, seguirá siendo igualmente válido y la nueva normativa se actualiza al respecto, pues prohíbe los recargos en los pagos con tarjeta tanto en establecimientos físicos como en compras online que, según la Comisión Europea, venían afectando al 95% de las tarjetas.”
Y por supuesto, se verán obligadas a reforzar aún más las medidas de protección de los sistemas para garantizar los pagos sin afectar a los derechos de los clientes, mejorando la ciberseguridad, la detección de riesgos, etc,
El papel de las Fintech a partir de la PSD2
El nuevo escenario legal abre aún más las puertas del sector financiero a los nuevos operadores de servicios, que basen su estrategia en algunos drivers:
- Desarrollo de APIs
- Innovación en modelos de negocio
- Agilización de procesos
- Aplicación de Data Driven
- Tecnologías de seguridad
- Transparencia
- Estandarización de información
- Blockchain
- Banca Abierta
Maria Gabriela Pardos
Finance Innovation Manager
Segmento Corporate Vodafone
