La PSD2: un nuevo paradigma para los servicios de pago y la protección del consumidor en Europa

by on

La Directiva de la UE 2015/2366, de servicios de pago, conocida como la «PSD2», ha transformado el panorama de los pagos electrónicos en Europa. En España, esta normativa se implementó a través del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, publicado en el BOE del sábado 24 de noviembre. Esta directiva, que actualiza la «PSD1» de 2007 (transpuesta en España por la Ley 16/2009), busca mejorar la seguridad, la transparencia y la competitividad en el sector bancario y de pagos.

¿Qué es la PSD2 y cuáles son sus objetivos principales?

La PSD2, o Directiva de Servicios de Pago 2, es una normativa europea diseñada para mejorar la seguridad, la transparencia y la competitividad en el mundo de los pagos y la banca europeos. Entró en vigor en 2016 como una actualización de la DSP original de 2007.

Objetivos clave de la PSD2:

  • Competencia en el mercado: Al abrir el acceso a los datos de los clientes, la PSD2 anima a nuevos actores (como las empresas fintech) a entrar en el mercado y ofrecer servicios financieros innovadores. Esto promueve la competencia y genera mejores productos y servicios.
  • Seguridad: La PSD2 introduce requisitos de seguridad más estrictos para los pagos por Internet, como la autenticación reforzada de clientes (SCA). Esto ayuda a minimizar el fraude y a proteger los datos financieros de los clientes.
  • Protección al consumidor: La normativa PSD2 ofrece a los clientes más control sobre sus datos financieros y refuerza los procedimientos de tramitación de reclamaciones, lo que permite obtener resoluciones más rápidas y eficaces.
  • Mercado de pagos integrado: La normativa PSD2 crea un mercado europeo de pagos más integrado y eficiente al estandarizar las regulaciones de pagos en toda la UE.

La PSD2 es una directiva europea y solo afecta a los países de la Unión Europea y el Espacio Económico Europeo (EEE), además de Mónaco y el Reino Unido.

Componentes principales de la PSD2: Banca Abierta y Autenticación Reforzada de Clientes (SCA)

La PSD2 afecta a varios ámbitos clave y está transformando el funcionamiento de los servicios de pago en Europa.

Autenticación Reforzada de Clientes (SCA)

La SCA exige autenticación multifactor en la mayoría de las transacciones por Internet para minimizar el fraude en los pagos digitales. Esto podría implicar la verificación con algo que el cliente conoce (como una contraseña), algo que tiene (como un teléfono) y algo que es (como una huella digital). La SCA es una forma de MFA, o autenticación multifactorial, diseñada para vincular un pago a un usuario. Aunque las nuevas medidas de autenticación debían aplicarse a partir de septiembre de 2019, algunos países retrasaron o introdujeron gradualmente su aplicación, con un plazo de cumplimiento definitivo a finales de 2020. La aplicación de la normativa “SCA” brindará más seguridad en las transacciones comerciales y favorecerá las compras online.

Desde el 14 de Septiembre de 2019, se han implementado nuevas medidas de identificación (doble autenticación) que han hecho más seguros los pagos electrónicos y, además, han conseguido promover la innovación y la competencia entre países y proveedores. A partir de ahora, cada entidad bancaria decidirá cómo consigue identificarte de forma inequívoca utilizando como mínimo un doble factor de autenticación.

Exenciones a la SCA:

La nueva ley establece algunas exenciones o exclusiones a la SCA que serán de mucha utilidad a la hora de flexibilizar los procesos de autenticación de clientes:

  • Los pagos por debajo de 30€ no necesitan autenticación del cliente.
  • Los pagos que se realicen de manera recurrente o fijos quedarán exentos tras aplicarse la SCA para el primero de ellos.
  • Operaciones identificadas por la plataforma de pago como bajo riesgo.
  • Operaciones frecuentes o periódicas en las que coincida el importe y beneficiario.
  • Pagos realizados por teléfono o correo postal no se consideran pagos electrónicos según la directiva.

Banca Abierta (Open Banking)

Una de las consecuencias principales de la PSD2 es la apertura, por parte de los bancos, de sus servicios de pagos a terceros proveedores (TPPs), lo que se conoce como “banca abierta”. Esto se basa en las API abiertas, que permiten a los TPPs acceder a la información de las cuentas de los clientes con el consentimiento del cliente. La PSD2 ha acelerado la adopción de la banca abierta al exigir a los bancos que proporcionen interfaces de programación de aplicaciones (API) que permitan a los TPPs acceder a las cuentas de los clientes. Esto permite a los clientes utilizar una única interfaz para gestionar su dinero en varios bancos y plataformas.

Proveedores de Servicios de Pago (TPPs)

La PSD2 abre la puerta a dos tipos principales de TPPs:

  • Proveedores de Servicios de Información de Cuenta (AISP): Estos servicios recogen y almacenan la información de las distintas cuentas bancarias de un cliente en un solo lugar. Posibilitan a sus usuarios tener una visión global y más completa de su situación financiera unificada, y así poder analizar e informar sobre sus gastos, ingresos o necesidades financieras que permitan una ayuda a la planificación económica de los usuarios.
  • Proveedores de Servicios de Iniciación de Pagos (PISP): Estos servicios facilitan el uso de la banca online para realizar pagos por internet. Lo que hacen es iniciar un pago desde la cuenta del consumidor a la cuenta del comercio mediante el uso de un sistema de información que posibilita la gestión entre ambas cuentas directamente, proporcionando la información necesaria para la transferencia (cuantía de la transacción, número de cuenta, mensaje) e informando al comercio del inicio de la transacción y su confirmación.

En ambos casos, es obligatoria y necesaria la autorización de los clientes y su previa autenticación, tanto de particulares como de empresas.

Cómo afecta la PSD2 a los consumidores y microempresas

La PSD2 introduce nuevos e importantes derechos y beneficios para los usuarios de los servicios de pago, a la vez que impone desafíos para las empresas.

Ventajas para los clientes

  • Mayor protección antifraude: Los requisitos de SCA de la PSD2 protegen la información del cliente en las transacciones en línea.
  • Herramientas más inteligentes para la gestión del dinero: La PSD2 fomenta la creación de más herramientas y servicios financieros que pueden ayudar a los clientes a gestionar mejor su dinero con resúmenes completos y conocimientos basados en datos.
  • Menos comisiones ocultas: La PSD2 protege a los clientes de las comisiones ocultas, especialmente en los pagos internacionales, y prohíbe a las empresas aplicar recargos a los pagos con tarjeta de débito, tarjeta de crédito y adeudos directos SEPA.
  • Mayor control sobre los datos personales: Los clientes obtienen el derecho a controlar quién puede usar y acceder a sus datos financieros. Además, tienen la opción de revocar el acceso en cualquier momento.
  • Limitación de responsabilidad por fraude: Se limita la responsabilidad de los usuarios que sean víctimas de operaciones fraudulentas a un máximo de 50 euros.
  • Resolución de reclamaciones: Se establece que cualquier reclamación del usuario a su entidad se resuelva en un máximo de 15 días.

Ventajas para las empresas (incluyendo microempresas)

  • Innovación más rápida y nuevas fuentes de ingresos: La normativa PSD2 permite a las empresas aprovechar nuevas funciones y servicios que pueden ajustar los procesos internos, mejorar la experiencia del cliente y crear nuevas fuentes de ingresos.
  • Opciones de pago más flexibles y rentables: La normativa PSD2 aumenta el número de métodos de pago disponibles, lo que permite a las empresas ofrecer a sus clientes mayor flexibilidad y hacer que las transacciones sean más rápidas, baratas y seguras.
  • Mayor fidelidad de los clientes: Las empresas pueden desarrollar soluciones de pago modernas y utilizar nuevas tecnologías para crear relaciones más sólidas y reforzar la lealtad con los clientes.
  • Decisiones más inteligentes y basadas en datos: Las empresas obtienen acceso a datos financieros más detallados a través de los AISP, que pueden utilizar para crear servicios más personalizados para los clientes.
  • Reducción de los costes de procesamiento de datos: La normativa PSD2 puede ayudar a las empresas a ahorrar dinero al eliminar los recargos por tarjeta y las comisiones por transacciones de las redes de pagos tradicionales.

Desafíos para los clientes y las empresas

Desafíos para los clientes:

  • Abrumador número de opciones: Los usuarios pueden tener dificultades para encontrar TPPs fiables en un mercado saturado de nuevos servicios y aplicaciones.
  • Problemas con la privacidad de los datos: Con la PSD2, hay más proveedores con acceso a los datos de los usuarios. Esto puede generar preocupaciones sobre la seguridad de los datos.
  • Contratiempos en la experiencia del usuario: Los requisitos de SCA pueden frustrar a los usuarios, ya que pueden introducir pasos adicionales, como escribir un código y usar una huella digital.

Desafíos para las empresas:

  • Costes de cumplimiento normativo: Las empresas pueden enfrentar costes importantes a la hora de actualizar sus sistemas y proteger sus datos para cumplir con los estándares PSD2. Esto puede ser una carga pesada, especialmente para las empresas con recursos limitados.
  • Aumento de la competencia: Los bancos tradicionales y las entidades financieras consolidadas deben adaptarse rápidamente.
  • Carga regulatoria: La normativa PSD2 ha impuesto una importante carga regulatoria a las entidades financieras. Los bancos y los proveedores de servicios de pago deben tomar medidas como actualizar su infraestructura de TI e implementar nuevos protocolos de seguridad para garantizar el cumplimiento.

Cómo afecta la PSD2 al sector financiero

La normativa PSD2 ha introducido requisitos normativos adicionales, ha aumentado la competencia y ha empoderado a los clientes al proporcionarles un mayor control sobre sus datos. Así es como la PSD2 ha afectado al sector financiero europeo:

  • Aumento de la competencia: La PSD2 redujo las barreras de entrada para las empresas de tecnología financiera y les permitió ofrecer servicios que antes eran dominio exclusivo de los bancos tradicionales. Esto ha dado lugar a un aumento de productos y servicios financieros innovadores que satisfacen las necesidades específicas de los clientes.
  • Cambio a la banca abierta: La normativa PSD2 ha acelerado la adopción de la banca abierta al exigir a los bancos que proporcionen interfaces de programación de aplicaciones (API) que permitan a los TPPs acceder a las cuentas de los clientes.
  • Medidas de seguridad reforzadas: Los requisitos de SCA de la PSD2 han obligado al sector financiero a adoptar medidas de seguridad más estrictas para las transacciones en línea. Esto ha aumentado la adopción de la autenticación multifactor en Europa.
  • Carga regulatoria: La normativa PSD2 ha impuesto una importante carga regulatoria a las entidades financieras, quienes deben actualizar su infraestructura de TI e implementar nuevos protocolos de seguridad.
  • Empoderamiento del cliente: Los clientes pueden usar servicios de terceros para administrar sus finanzas y ya no están atados a un solo banco para todas sus necesidades financieras.
  • Reorientación estratégica: La PSD2 ha obligado a los bancos tradicionales a replantearse sus estrategias, colaborando con las empresas fintech o desarrollando sus propias soluciones.

Agregación bancaria: cómo hemos ido más allá de APIs PSD2

Guía para el cumplimiento de la PSD2

Cumplir con la PSD2 es un reto continuo y multifacético que exige una estrategia bien planificada. El cumplimiento es obligatorio en los 30 países miembros del Espacio Económico Europeo (EEE), así como en Mónaco y el Reino Unido.

Requisitos clave y soluciones:

Área de Cumplimiento Acciones para el Cumplimiento Descripción
Autenticación Reforzada de Clientes (SCA) Implementar autenticación basada en el riesgo Ajustar las medidas de seguridad según la transacción y añadir comprobaciones si algo es anormal.
Incorporar biometría del comportamiento Rastrear la interacción natural de los usuarios (escritura, navegación) para verificar la identidad sin molestias.
API y Seguridad Implementar pasarelas de API adaptables Utilizar pasarelas que ajusten la seguridad en tiempo real según el tipo de datos accedidos.
Adoptar un modelo de confianza cero Exigir autenticación y autorización para todas las solicitudes, incluso dentro de la red, con segmentación estricta.
Gobernanza de Datos Automatizar la supervisión del cumplimiento normativo Invertir en software que supervise las prácticas de manejo de datos y señale problemas potenciales.
Anonimizar y tokenizar los datos de los clientes Convertir datos reales en inútiles para proteger la información sensible, incluso si es interceptada.
Uso de la Tecnología Descubrir la tecnología regulatoria (RegTech) Buscar soluciones RegTech diseñadas para gestionar los requisitos de PSD2, como informes y gestión de riesgos.
Considerar el cumplimiento normativo como servicio (CaaS) Colaborar con proveedores de CaaS que ofrecen soluciones listas para usar y actualizadas con los cambios normativos.
Adaptación y Agilidad Establecer un marco de cumplimiento ágil Crear un marco que pueda responder rápidamente a cambios en la normativa o nuevas amenazas de seguridad.
Colaborar en la industria Participar en grupos y foros de la industria para mantenerse al día con las prácticas recomendadas y compartir tácticas.
Comunicación con el Cliente Informar a los clientes de forma proactiva Utilizar análisis de datos para segmentar audiencias y ofrecer propuestas formativas específicas.
Integrar la SCA en el diseño de la experiencia de usuario (UX) Ajustar la experiencia del cliente integrando los requisitos de la normativa PSD2 en el diseño de UX, buscando equilibrio entre seguridad y comodidad.
Gestión de Riesgos Utilizar una puntuación de riesgos dinámica y en tiempo real Desarrollar modelos de calificación de riesgos que se adapten en tiempo real y utilicen los datos más recientes para prevenir riesgos.
Evaluar continuamente a los proveedores externos (TPPs) Supervisar continuamente el cumplimiento y las prácticas de seguridad de los TPPs a lo largo del tiempo.

Perspectivas futuras

La normativa PSD2 simplifica el complejo ecosistema bancario y de pagos, pero no está exenta de problemas. Aún no se conoce con exactitud las condiciones en las que los bancos cumplirán el deber de acceso a las cuentas por terceros y el alcance de la información a proporcionar, o por ejemplo, las operaciones que estarán exentas de la obligación de implantar el pago por doble factor de autenticación. No cabe duda de que su definición concreta es de suma importancia para mantener modelos de pago ampliamente implantados en el comercio electrónico y el tradicional, como el pago en un click o los pagos contactless (NFC).

Así pues, el paso del tiempo irá configurando el funcionamiento del sistema, así como posibilitando un nuevo abanico de posibilidades, al igual que ocurrió con la PSD1. De hecho, el sector de las fintech se encuentra en España en una posición aventajada, pues a las posibilidades que conlleva la apertura de escenarios de esta norma, se ha de unir el anteproyecto de ley de medidas para la Transformación Digital del Sistema Financiero, que contiene la regulación de los “sandbox regulatorios” entre sus principales objetivos. Esto es, un entorno reglado que permite y ampara la realización de pruebas controladas y delimitadas dentro de un proyecto de innovación financiera de base tecnológica, estableciendo el régimen de garantías y protección de los participantes durante las pruebas, así como el sistema de salida y efectos posteriores a la realización de dichas pruebas.

tags: #microempresas #equiparación #consumidores #psd2

Publicaciones populares: