El 14 de septiembre de 2019 llega una de las novedades legales del año: se hace aplicable la Autenticación Reforzada del Cliente (Strong Customer Authentication, o SCA en inglés) en pagos online.
Pero comencemos por el principio, ¿de dónde sale la Autenticación Reforzada del Cliente o SCA?
El 16 de noviembre de 2015 el Consejo Europeo dio el visto bueno a la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior, más conocida como PSD2. Se trata de la nueva normativa para proveedores de servicios de pago europeos, y busca hacerlos más seguros y comunes.
El Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera traspone la nueva ley europea de pagos digitales, más conocida como PSD2, que busca mejorar y ajustar la forma en la que compramos y gestionamos nuestras cuentas en el mundo digital.
En los últimos tiempos, los bancos y entidades financieras han empezado a compartir con sus clientes toda la información sobre PSD2 y lo que viene a partir de ahora. Los comercios, por su parte, están a la espera de conseguir una prórroga por parte del Banco de España, que será de entre 12 y 14 meses. La UE quiere unas relaciones más seguras, rápidas y liberalizadas, y eso es lo que se busca con la normativa. No todo será fácil y también habrá que afrontar alguna barrera y gestionar los pagos de una forma diferente.
¿Qué es PSD2?
El PSD2 (Payment Service Directive 2) es una directiva europea que tiene como objetivo mejorar la seguridad y reforzar la protección contra fraudes en las operaciones bancarias hechas a través de internet. Además, también regula el acceso, con consentimiento, de los datos de nuestras cuentas bancarias a terceros (Facebook, Amazon, etc.) Esta resolución supone para el consumidor la eliminación de intermediarios en operaciones de pagos electrónicos.
El objetivo de esta norma es dar un paso más en la regulación de las compras y de la gestión del dinero en el cada vez más pujante e importante mundo digital. Con el primer PSD (publicado en 2007) se dio un gran paso a la hora de reglar este tipo de transacciones, pero muchos se quejaron de que la situación no quedaba tan clara como debía y que se necesitaba una mayor profundización, así que en 2015 se aprobó el PSD2 (en España, para variar, se añadió a nuestra legislación en 2018, entrando en vigor en 2019).
Se buscaron los puntos más débiles del anterior reglamento y por ello esta actualización se centra en el concepto del ‘open banking’ (banco abierto), que no viene a ser otra cosa que el incentivo de la liberalización real de los datos bancarios y del sector en general; que se pueda compartir esta información con terceros actores y que se haga de la forma más segura posible. ¿Qué significa esto para el usuario? Pues que con esta norma se posibilitará algo inédito en el sector de la banca y es que podremos compartir con todos los actores nuestros datos bancarios y, obviamente, también podremos negarles el paso cuando deseemos.
Pero sus posibilidades no se quedan en dar acceso o no a otros actores a nuestros datos (con los debates que esto puede generar). La ley ayuda a regular algo que aún estaba en cierto limbo legal como es el sector de las ‘fintech’ y de los agregadores, mientras que en el terreno de las compras supone un paso importante y es que se eliminarán intermediarios entre el consumidor, el banco y el comercio en cuestión en el que adquirimos un bien o un servicio. Además, será mucho más sencillo instaurar nuevos métodos de pago como los que se realizan por teléfono o a través de ‘apps’, ya que los bancos o los proveedores de medios de pago (Mastercard o Visa) no tendrán un control tan férreo de la situación.
Cambios que se materializan, por ejemplo, en la posibilidad de agrupar toda la información bancaria en un único lugar.
Esta es una de las principales novedades que trae la nueva normativa, dado que por ella las entidades financieras deben abrir sus sistemas a terceros, movimiento conocido como open banking.
Con todo, es imprescindible que este proceso se haga de forma segura, por lo que se requiere una adecuada gestión que no suponga problemas de ciberseguridad.
Y a mí, ¿cómo me afecta PSD2?
Hasta ahora los pagos se hacían vía API, lo que implicaba 4 pasos para completar el proceso de compra:
- Comercio
- Proveedor de pagos electrónicos
- Compañía de la tarjeta
- Banco
Con el sistema PSD2, el proceso queda recortado a dos simples pasos:
- Comercio
- Banco
Como consumidor, la directiva te permitirá realizar tus gestiones financieras a través de terceros. Es decir, podrás comprar directamente un producto sin tener que hacer la operación a través de tu banco.
Esto significa mayor rapidez a la hora de comprar online, ya que podrás autorizar expresamente a cualquier comercio el cobro de una compra de forma inmediata y sin utilizar la tarjeta, como si fuera una simple transferencia.
Por ejemplo, comprar un móvil y la tienda donde lo haces necesita de varios intermediarios para procesar el pago (comercio – proveedor de pagos electrónicos – compañía de la tarjeta – banco). Con PSD2 el proceso se acorta: comercio – banco. Un solo paso en vez de cuatro que se produce a través de una estructura de datos (conocida como API).
La PSD2 habilita el acceso a terceros -como pueden ser Google, Facebook, Amazon o AliPay-, acorta los procesos en el comercio electrónico y aumenta la oferta a nivel financiero. Evidentemente, este acceso dependerá de la aprobación del propio cliente.
Esta nueva normativa incluye mejoras en los derechos para los usuarios de los servicios de pago, entre los que destacan:
- Transparencia e información. El acceso a la información no tendrá coste alguno para los usuarios que deberán conocer gratuitamente los gastos asociados a cada operación, las condiciones de la misma y el plazo de ejecución en que se llevará a cabo.
- Facultad de rescisión. En todo momento, salvo que se pacte lo contrario, el usuario de los servicios PSD2 podrá rescindir su contrato marco sin aviso previo. En caso de existir pacto en contra, este no podrá superar el mes. La rescisión de un contrato, además de contar con la libertad de acción que acabamos de mencionar, también será gratuita. Es más, la rescisión sólo pierde su carácter gratuito si el contrato ha tenido una duración inferior a seis meses.
- Rectificación de operaciones no autorizadas. En caso de realizarse operaciones no autorizadas, la nueva directiva europea obliga a su corrección inmediata. El usuario deberá notificar a su proveedor tan pronto se dé cuenta de la operación. Si la autorización de la operación no especifica un importe exacto o si el importe supera lo esperado, el usuario podrá solicitar la devolución del mismo. Algo que también favorece al usuario y al consumidor es que, en caso de disputa, será el suministrador del servicio de pago el que tendrá que demostrar que la operación se ha realizado contando con la pertinente autorización y que su ejecución ha sido la correcta.
- Responsabilidad por operaciones no autorizadas. Se limita la responsabilidad de los usuarios que sean víctimas de operaciones fraudulentas. La cantidad máxima que se tendrá que soportar será de 50 euros, frente a los 150 euros anteriores.
- Autenticación reforzada. Una de las medidas de la directiva PSD2 es la de emplear medidas de autenticación reforzada o doble autenticación. Uno de los objetivos es reducir el fraude y aumentar la seguridad. Esto significa que para autorizar una operación será necesario emplear al menos dos de estos métodos:
- Elemento inherente: huella dactilar, iris o reconocimiento facial, sistemas habituales en los dispositivos móviles.
- Elemento poseído: algo físico como una tarjeta, un certificado digital o un teléfono móvil.
- Elemento conocido: un número PIN o contraseña.Como estas medidas de control son independientes entre sí, en el caso de que una de ellas esté comprometida a efectos de ciberseguridad, el riesgo de amenaza disminuye dado que va a ser necesario pasar un doble filtro de control. Esto, sin duda, suma un motivo de tranquilidad para los usuarios en cuanto a la protección de sus datos y actividades financieras.
- Compras online más rápidas. Con la nueva Directiva el intercambio monetario se hace de forma instantánea, al estilo de una transferencia. Una vez que se ha autorizado la operación, no existirán retrasos motivados por procesos de confirmación de pago que alarguen la disponibilidad de los fondos implicados en la operación. Se apuesta por la agilidad de las operaciones y por la rapidez sí, pero respaldada por una mayor seguridad.
¿Cuándo entra en vigor la PSD2?
La fecha ya está marcada en el calendario. El 14 de septiembre de 2019 entró en vigor la nueva normativa europea de servicios de pagos digitales, que se aprobó en 2015.
La mayoría de las disposiciones de esta Directiva europea entraron en vigor el 25 de noviembre de 2018, sin embargo, los derechos y obligaciones sobre la utilización de servicios de pago son efectivos desde el pasado 25 de febrero de 2019; y las medidas de seguridad en relación a los artículos 37-39 y 68 del R.D. son vigentes desde el 14 de septiembre de 2019.
Entre las normas que complementan a PSD2 se encuentra el Reglamento Delegado 2018/389, relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros. El mismo establece la Autenticación Reforzada (autenticación multifactor) del Cliente o SCA, es decir, el nuevo marco regulatorio europeo para reducir el fraude y realizar pagos online de forma más segura.
Esa obligación de Autenticación Reforzada del Cliente o SCA entró en vigor el 14 de septiembre de 2019, y supone que desde esa fecha cualquier pago online que requiera SCA y no cumpla sus criterios, será rechazado por el banco.
Por tanto, cualquier prestador de servicios de pago, pero también cualquier servicio online que los use (un e-commerce, servicios de suscripción, para alquilar vehículo, compartir un viaje o hacer crowdfunding, entre otros) deberá haber revisado sus procesos de pago para asegurar que todo está en orden.
De lo contrario, a partir de esa fecha pueden verse rechazados muchos pagos online por parte de los bancos.
¿Qué medidas de actuación son recomendables por parte de los usuarios?
Actuar de forma responsable y tomar medidas de seguridad para verificar la legitimidad de los proveedores de servicios con los que actuamos es una tarea que no debes descuidar. nos compete a los usuarios de este tipo de servicios de pago electrónico.
Nuevos operadores de la PSD2: ¿qué son los AISP y los PISP?
Hace un momento hablábamos de “terceros” y es que con la nueva normativa surgen dos nuevos tipos de entidades:
- Los PISP, Proveedores de Servicios de Iniciación de Pagos. Los PISP son proveedores de servicios de pago que conectan al cliente con el banco para realizar una operación.En este caso, el proveedor se mantiene en parte al margen de la información y acceso a las finanzas del usuario, ya que el dinero del usuario no pasa por el PISP.Te encuentras antes un PISP cuando realizas una compra o pagas un servicio con una tarjeta de crédito y, antes de aceptar la operación y sin salir de la plataforma o web en la que estabas, te redirigen a una pasarela de pago donde certificas que aceptas la operación.Pero este no es el único ejemplo representativo de servicio PISP. Este sistema también permite comprar en internet sin necesidad de contar con una tarjeta de crédito o incluso poder realizar transferencias entre particulares desde una aplicación que no es la del banco de origen de la transferencia.
- Los AISP, Proveedores de Servicios de Información de Cuenta. Los AISP (Proveedores de Servicios de Información de Cuenta) integran y agrupan la información financiera de un cliente, que puede corresponder a uno o varios bancos, y se la ofrecen al cliente de forma conjunta para que desde una sola plataforma acceda y gestione todas sus cuentas, independientemente de que estén en varias entidades bancarias.Evidentemente, se requiere la autorización del usuario y su principal ventaja es ofrecer una variedad de servicios a partir de la obtención de la información financiera del usuario.Como quizás ya estés pensando, esta ventaja también puede ser una desventaja si el proveedor de este servicio no ofrece una serie de garantías en cuanto a ciberseguridad y protección de datos.