COMIENZA LA ERA DE LA «PSD2» EN LA EUROPA DEL COMERCIO ELECTRÓNICO

Hoy, 14 de septiembre de 2019, comienza la última fase de implementación en Europa de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interiorPSD2» por sus siglas en inglés); etapa que se corresponde con la puesta en marcha del nuevo sistema de autenticación reforzada en base al sistema de «verificación de doble factor» y que pone fin al de su predecesora, la PSD de 2007.

El nuevo modelo europeo de servicios de pago está basado, en lo que ha España se refiere, en tres normas fundamentales: (i) la PSD2; (ii) el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en lo sucesivo el «RDL de servicios de pago») y (iii) el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la PSD2 en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y segurosReglamento PSD2»).

Como ocurriera con otras normas a nivel europeo—como el RGPD—la implementación de la normativa referida se ha ido acometiendo mediante tramos o periodos de ejecución. Así, la PSD2 está en vigor desde el 12 de enero de 2016 si bien, por su naturaleza jurídica—Directiva europea—no se aplica en nuestro país hasta que ha sido transpuesta a la normativa interna, lo que ha ocurrido a través del RDL de servicios de pago (en vigor desde el 25 de noviembre de 2018, salvo dos títulos de ésta—relativos a la transparencia y derechos/obligaciones de los prestadores de servicios de pago—que lo hicieron en el 25 de febrero de 2019). Por tanto, en España, la PSD2—a través de su transposición en derecho nacional gracias al RDL de servicios de pago—está en vigor, de manera plena, desde el pasado 25 de febrero de 2019. Con una única excepción:las cuestiones relativas a las medidas relativas al acceso a cuentas de pago, etc., y el sistema de autenticación; cuestiones que se han acometido mediante el Reglamento PSD2.

El Reglamento PSD2, cuya misión fundamental es complementar a la Directiva, está en vigor desde el 14 de marzo de 2019 pero no es de aplicación hasta el 14 de septiembre de 2019, con la salvedad de los apartados tercero y quinto del artículo treinta—sobre garantía de las APIs—que se aplican desde la fecha de su entrada en vigor. Al ser un Reglamento de la Unión Europea—si bien en este caso delegado en la Comisión—es directamente aplicable sin necesidad de ulterior transposición.  

El modelo de la PSD2 se basa en cuatro aspectos clave: (i) aumentar la transparencia; (ii) aumentar la seguridad de las transacciones electrónicas; (iii) eliminar intermediarios; y (iv) dar entrada a nuevos operadores de servicios de pago.

AUMENTAR LA TRANSPARENCIA

Se trata de que las partes implicadas—comprador-consumidor y vendedor—tengan acceso a toda la información. Que ésta fluya y sea bidireccional. Por esta razón, la normativa exige al prestador de servicios de pago («PSP») que ponga a disposición del consumidor, sin demora, información sobre la operación, el beneficiario de la misma, el importe, los gastos (todo ello desglosado), el tipo de cambio aplicable (en su caso), la fecha del adeudo o la recepción de la orden de pago.

ELIMINAR INTERMEDIARIOS

Esto es propio de Internet. Sin embargo, en el mercado de los pagos electrónicos todavía había un número alto de intervinientes en la cadena de valor del modelo de negocio del ePayment.

Cadena de valor simplificada del mercado de los servicios de pago electrónicos antes de la llegada de la PSD2

Con la PSD2 se eliminan las plataformas de pago y la intervención de las compañías de tarjeta de pago (la clásica pantalla en la que se te pedía introducir tu número de tarjeta y el famoso código «CVV» de la misma y se reduce a tratar con el eCommerce y el Banco cuyos sistemas de pago estarán conectados mediante una «API» (Application Programming Interface, es un protocolo para integrar software, una especie de «conector» o «enchufe» virtual entre diferentes tipos de software). 

Para ello, nuestros datos bancarios serán cedidos a los eCommerce—como Amazon, por ejemplo—, previo consentimiento del comprador en los términos del RGPD. Este hecho es todo un hito en Europa ya que por primera vez las entidades financieras están obligadas a abrir sus sistemas a terceros y se conoce como el «Open Banking». La razón fundamental es el interés de la Unión Europea en fomentar la competencia en el mercado de los servicios de pago, permitiendo la entrada de más operadores y en aras de consolidar un mercado único europeo de pagos electrónicos.

Quizá el riesgo asociado a ello y que muchos ya apuntamos, pasa por empoderar a las grandes compañías de Internet que anhelan desde hace tiempo convertirse en entidades de crédito—también—. Apple, Amazon o Facebook trabajan en este sentido. Así vemos la gran apuesta de la compañía de Cupertino por consolidar su sistema de pagos—«Apple Pay»—o el intento frustrado de Facebook por crear una moneda electrónica—«Libra»—. 

ENTRADA DE NUEVOS OPERADORES DE SERVICIOS DE PAGO 

El Open Banking está directamente relacionado con la entrada de nuevos operadores en el mercado de servicios de pago. Así la PSD2 introduce dos nuevas figuras en el mundo eCommerce: (i) por un lado, los proveedores de servicios de iniciación de pagosPISP» por sus siglas en inglés) y que básicamente consisten en plataformas que conectan con el banco para realizar un cobro—sin tarjeta—, certificando que se acepta la operación. Un ejemplo es PAYPAL; y (ii), por otro, los proveedores de servicios de información de cuentaAISP» por sus siglas en inglés), también conocidos como «agregadores financieros». Éstos agrupan la información financiera de un cliente para que, desde una única plataforma, gestione todos sus movimientos financieros. Un ejemplo es FINTONIC.

SISTEMA REFORZADO DE AUTENTICACIÓN

Es, sin duda, el punto estrella del nuevo sistema de pagos que trae la PSD2. Se trata de la puesta en marcha del sistema conocido como «Strong Customer Authentication» («SCA») y que se acomete mediante el Reglamento PSD2.

De forma resumida, el SCA consiste en que, a la hora de realizar una transacción de pagos mediante sistemas electrónicos, se deben emplear, al menos, dos de los tres elementos regulados en el Reglamento PSD2. Estos elementos están categorizados en tres bloques:   

1º.- Requisitos de los elementos categorizados como conocimiento(art. 6): emplear algo que sólo conoce el usuario, como una contraseña o un PIN.

2º.- Requisitos de los elementos categorizados como posesión(art. 7): utilizar algo que solo posee el usuario, como un teléfono móvil o un DNI.

3º.- Requisitos aplicables a los dispositivos y programas informáticos vinculados a los elementos categorizados como inherencia(art. 8): algo que es inherente al usuario, esto es, que es el propio usuario, como la identificación mediante sistemas biométricos (lectura de la huella de la mano, del iris del ojo, FaceID, etc.). 

Otra ventaja de este sistema es que, al ser independientes las vulnerabilidades de los elementos de cada bloque, el hecho de que un elemento de un bloque se vea comprometido no compromete la de los demás; por lo que es «una arquitectura más segura».

Como regla general, el SCA o verificación de doble factor debe entrar en juego siempre que se quiera realizar un pago electrónico desde el 14 de septiembre de 2019. Ahora bien, el propio Reglamento PSD2 recoge una serie de excepciones en los que no es necesaria la verificación de doble factor y que, como excepciones que son, deben interpretarse de manera restrictiva. De manera resumida, éstas son: 

EXCEPCIONES AL SISTEMA DE VERIFICACIÓN DE DOBLE FACTOR 

1ª.- El acceso a cuentas corrientes a través de dispositivos electrónicos y las operaciones con cuentas corrientes (art. 10). 

En realidad, la primera vez que accedamos a nuestro banco a través de Internet para operar con el móvil nos pedirá que nos autentiquemos mediante el sistema de doble factor. La excepción consiste en que una vez autenticados no se nos volverá a ejecutar el SCA en un periodo de noventa días desde que lo hicimos por primera vez, y así deberemos renovar la autenticación por periodos del mismo tiempo.

2ª.- Los pagos realizados mediante contactlessen tienda física (art. 11).

Los pagos que realicemos mediante contactless (pasar por el datafono la tarjeta, el móvil, el Apple Watch, etc.) y que funciona mediante tecnología «NFC», no requerirán autenticación mediante verificación de doble factor cuando los pagos sean inferiores a 50€, con el límite de 150€ y/o cinco operaciones de menos de 50€ en el mismo día (si queremos hacer más deberemos volvernos a identificar).

3º.- Los pagos realizados en terminales no atendidos (art. 12). 

Los pagos realizados en peajes, bien mediante tarjeta, Smartphone, o VIA-T, no requerirán la autenticación mediante verificación en dos pagos. Algo bastante lógico para evitar aglomeraciones y colas, datos los importes que suelen abonarse en estos casos.

4º.- Las denominadas «operaciones de escasa cuantía» (art. 16). 

Se trata de operaciones que el Reglamento denomina como «remotas» y que son aquellas que realizamos a distancia o por Internet. Las comprasonline. En este caso el importe de la operación deberá ser inferior a 30€, con la limitación de 100€ al día y cinco operaciones en el día. Igualmente, si queremos realizar más, habrá que autenticarse nuevamente.

5º.- Las operaciones con «riesgo bajo de fraude» en virtud de un análisis de riesgos (art. 18).

Aquellas operaciones que, tras realizar una evaluación de riesgos adecuada, arrojen un riesgo bajo de fraude, están exentas de aplicar el sistema de verificación mediante doble autenticación. En todo caso, el importe de la operación deberá ser inferior a 500€. El umbral de riesgo de fraude permitido está recogido en el Anexo del Reglamento PSD2.

Las principales entidades bancarias de nuestro país, como Santander (y OpenBank), BBVA o Bankia, ya han configurado sus sistemas para que la verificación de doble factor se haga mediante una contraseña más la recepción de un SMS con un código único. Otras, como Caixabank o ING apuestan porque el usuario se descargue en su terminal una App. A la espera del uso más frecuente de sistemas de seguridad biométricos.

La llegada de la PSD2 supondrá la desaparición de las clásicas tarjetas de coordenadas que compañías como ING o Caixabank empleaban para operar por Internet (con la excepción de las compras realizadas por teléfono mediante teleoperadora). También conllevará que no tengamos que volver a introducir datos de nuestra tarjeta.

Pero, sobre todo, el cambio más importante, es que ahora tendremos que tener junto a nosotros nuestro móvil en todo momento para cualquier compra que queramos realizar. El Smartphone se está convirtiendo en la «Piedra Roseta» del mercado único digital—en este caso de pagos—de la Unión Europea y ello tiene importantes implicaciones, sobre todo desde el punto de vista de la CyberSecurity. También es relevante la conexión a Internet—ya que sin ella nada podemos hacer—por lo que el esperado 5G tiene mucho que decir en el mercado de los servicios de pagoy su capacidad para asegurar la continuidad de la conexión.

En los países nórdicos casi el 90% de los pagos se realizan a través de Internet. La PSD2 quiere potenciar el sistema de pagos masivos online y que las operaciones sean más rápidas y seguras, empoderando al consumidor. Ahora bien, se estima que, en nuestro páis, cerca de un 20% de los consumidores no acceden a la banca online, así que veremos como resultan estos cambios en España. Por lo pronto, asociaciones de consumidores ya han solicitado una moratoria de la PSD2 hasta marzo de 2021.

Por Miguel Ortego Ruiz

 

 Imagen: ADSLZone

Deja un comentario