La nueva normativa PSD2 para servicios de pago electrónico

Hace dos meses, era inminente la aplicación de la nueva normativa PSD2, la Directiva Europea para Servicios de Pago. Sin embargo, la moratoria concedida por la Autoridad Bancaria Europea (EBA) en Octubre, amplió el plazo para aplicar esta normativa hasta el 31/12/2020, en lo que respecta a los pagos electrónicos, siendo totalmente obligatoria para lo que respecta a la banca online.

La filosofía de la nueva normativa PSD2 era ampliar el marco regulatorio para permitir la entrada de nuevos actores en los sistemas de pago (open banking). También, se trataba de permitir pagos fáciles, efectivos y seguros entre los países de la Unión Europea. Por último, reforzaba los derechos de los consumidores y su seguridad en los pagos online y banca online mediante el mecanismo de la doble autenticación.

¿En qué se traduce en la práctica la nueva normativa PSD2?

La PSD2 supondrá una verdadera transformación para nuestra práctica diaria de pagos por Internet o con tarjeta. Afecta tanto a la intervención de nuevos agentes para los pagos electrónicos, como a los mecanismos de seguridad para los mismos y el acceso a la banca online. Debido a la moratoria concedida por la EBA, no lo hemos notado tanto, porque la normativa para pagos electrónicos no será obligatoria hasta el 31/12/2020. Sin embargo, sí hemos empezado a notar sus efectos en el acceso a la banca online.

Comencemos por tanto con este cambio, que sí es actualmente obligatorio:

Acceso a la banca online

Hasta ahora, bastaba para acceder a la banca online con un usuario y una contraseña desde un ordenador, o una huella desde una App en el móvil.

Ahora, además de esto, es necesario una segunda validación. Dado que el primer mecanismo de seguridad es algo que solo conoce el usuario (contraseña o PIN) o algo que tiene inherentemente (huella o iris), el segundo elemento debe provenir de algo que solo posee el usuario (un smartphone). Las entidades bancarias han optado por dos soluciones: La primera es un código recibido por sms y la segunda una notificación integrada en la App del banco instalada en el móvil. La primera solución es menos intrusiva, pero podría resultar menos segura, dado que existen hackers que son capaces de intervenir en el envío de sms. La segunda solución (notificación en App) es más segura, pero ha resultado la menos popular por ser más intrusiva.

Entre los bancos que han optado por la solución del SMS en España, tenemos al Banco Santander, Bankia, Bankinter o BBVA. Entre los bancos que han optado por ofrecer ambas soluciones, tenemos a Abanca, Caixabank o Cajamar. Solo ING y Targobank han optado por ofrecer como único mecanismo de segunda autenticación las notificaciones de la App, obligando por tanto al usuario a instalarse la misma.

Posibilidad de acceso por terceros a nuestros datos bancarios

La nueva normativa PSD2 potencia el open banking, la filosofía que facilita que los bancos abran su información a terceros para facilitar el control del usuario. Así, un usuario podrá organizar a la vez las cuentas que tiene en diferentes bancos. Los agentes que realizan esta unificación de cuentas son los AISP (Account Information Service Provider). En la práctica, los llamamos agregadores financieros, y permiten visualizar cuentas de varios bancos y ordenar pagos, aunque no pasemos por la autenticación del banco que realiza el pago. Ejemplos de agregadores financieros son Fintonic, Money Plan de Banco Santander o Family Now de Caixa Bank.

En España, la app de BBVA es una de las primeras que ha aprovechado la nueva regulación y ha convertido a este banco en un iniciador de pagos, al permitir pagar electrónicamente desde cualquier otro banco. Eso sí, el usuario debe previamente introducir en el sistema las claves online de la entidad con la que realice el pago, y la operación no puede superar los 5.000 euros.

Cambios en los pagos electrónicos

La nueva normativa PSD2 de los pagos electrónicos (p.e. TPV virtual, monederos electrónicos o banca electrónica), no será obligatoria hasta el 31/12/2020. Pero trae importantes cambios:

El primero de ellos es la Autentificación Reforzada o SCA (Strong Customer Authentication). Como ya adelantamos en nuestro blog de Extra Software, este tipo de autenticación, que también se usa para el acceso a banca online, supone usar 3 sistemas de autenticación. El primero es utilizar algo que solo sepamos nosotros (contraseña o código PIN). El segundo algo que solo poseamos nosotros (p.e. un Smartphone que habrá de ser validado por la recepción de un SMS). Por último, algo que sea inherente a nosotros (iris o huella dactilar). Para que la autenticación sea válida, debemos usar al menos 2 de estos tres sistemas cada vez que autentiquemos. Este sistema dejará fuera a los pagos realizados simplemente con los datos de la tarjeta y también a las tarjetas de coordenadas.

Sin embargo, este sistema no será necesario para operaciones sencillas como las consultas de saldos y movimientos de los últimos 90 días, o los pagos electrónicos remotos de hasta 30 euros, si no se ha llegado a sumar un total de 100 euros con varias operaciones de este tipo. Tampoco se obligará al SCA en los pagos de terminales no atendidos, como los de peajes o parking, ni en los pagos recurrentes de cuotas. Otra excepción son los pagos a beneficiarios de listas de confianza, cuando el emisor y el receptor son la misma persona o los pagos remotos con bajo nivel de riesgo.

Beneficios para el usuario

Otra aplicación de la norma en los pagos electrónicos es que, si nos sustraen los datos de un sistema de pago como la tarjeta, la responsabilidad del poseedor de la misma se reduciría de 150 a 50 euros. Por supuesto, aunque en España ya no se aplicaban, se elimina cualquier extra posible por pagar con tarjeta.

La nueva normativa PSD2 también implica el “reembolso incondicional para débitos directos en euros”. Esto quiere decir que, si el importe no se ha especificado o ha superado el autorizado, tenemos derecho a que el proveedor de servicios de pago nos devuelva el dinero íntegramente.

Como ya hemos mencionado anteriormente, la gestión permitirá la intervención de iniciadores de pagos o PISP (Payment Initiation Services Provider), como el del BBVA. Ya no será necesaria la autorización de varios agentes, sino que un iniciador de pagos podrá solicitar directamente a un banco un pago, siempre y cuando el usuario le haya autorizado previamente a hacerlo.

Por último, habrá obligatoriedad de un registro público de instituciones de pago. Esto implica que, si desconfiamos de alguna entidad, podemos comprobar su solvencia consultando este registro.

En definitiva, aunque aún queda más de un año para su aplicación obligatoria en el campo de las formas de pago electrónico (no así en la banca online), la nueva normativa PSD2 supondrá un importante cambio. A nivel de consumidores, implicará más capacidad de elección y más derechos. Para los comercios electrónicos y la banca, será una obligación más a la que deben adaptarse. Y para los agentes de servicios financieros, una verdadera oportunidad para los que sepan aprovecharla.