Hace 12 años, la Unión Europea aprobó la Directiva 2007/64/CE de Servicios de Pago (Payment Services Directive o PSD), la cual constituía el marco legal dentro del cual debían operar todos los proveedores de servicios de pago digitales. El problema es que, en poco tiempo, esa normativa quedó obsoleta ante el rápido aumento del comercio electrónico y la entrada en el sector de nuevos actores, como las fintech.
De esta forma, en 2015, la Comisión Europea consideró necesario revisarla y publicar una nueva norma, la Directiva 2015/2366, conocida como PSD2, por la que se actualizaba la de 2007. Su objetivo principal es mejorar la seguridad y reforzar la protección contra fraudes en las operaciones bancarias realizadas a través de Internet mediante, principalmente, un doble sistema de autentificación que explicaremos más adelante.
Además, liberaliza el ecosistema de los medios de pago y la información bancaria extendiendo el concepto de open banking, de tal forma que a partir de ella un cliente podría autorizar a un tercero ajeno a la banca, como las fintech o los agregadores financieros, para que su entidad le facilite los datos de sus cuentas. Eso sí, a cambio, estos últimos deben convertirse en entidades reguladas y estarán sometidas a la supervisión de las autoridades.
Finalmente, la norma también simplifica el proceso de pago al reducir el número de actores que participan en una transacción electrónica, lo que contribuirá a mejorar la experiencia del usuario. De esta forma, será mucho más sencillo instaurar nuevos métodos de pago, como los que se realizan por teléfono o a través de aplicaciones móviles, ya que ni los bancos ni los proveedores de medios de pago (Mastercard o Visa) tendrán un control tan férreo de la situación.
Con todas estas cuestiones sobre la mesa, la Unión Europea dio hasta principios de 2018 para que los Estados miembros adoptaran la directiva. Sin embargo, a nuestro país llegó con más de diez meses de retraso, y lo hizo a través del Real Decreto Ley 19/2018 de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. En él se situaba la fecha de cumplimiento obligatorio de estas medidas el 14 de septiembre de 2019. No obstante, finalmente esa obligatoriedad no se ha producido en su totalidad.
Aprobación de moratorias
Y es que la norma PSD2 conlleva una implantación tecnológica difícilmente asumible por ciertos sectores de la economía. Así, de hecho, lo vieron en otros países en los que la norma ya se encontraba vigente antes que en España. La mayoría de ellos optó por aplicar una moratoria que iba desde los seis hasta los 18 meses.
No resulta extraño, por tanto, que el Banco de España (responsable último de la vigilancia de esta norma en el mercado nacional) haya decidido también flexibilizar el plazo final de su aplicación a los 14 meses tras el acuerdo alcanzado con la banca, los comercios y otros actores implicados. En otras palabras, como mínimo, hasta noviembre de 2020 la PSD2 no será de obligado cumplimiento en nuestro país. Además, a este periodo se le podrían añadir unos meses de «amortización flexible», con lo que el margen se retrasaría hasta el 14 de marzo de 2021, que es la fecha por la que apuestan países como Francia, Reino Unido o Alemania.
Plan de acción
Aunque esto supone un alivio para muchas empresas que todavía no estaban lo suficientemente maduras para cumplir la normativa, todos los actores implicados (particularmente la banca y los emisores de tarjetas) tendrán que seguir el llamado «Plan de acción para la aplicación de la autenticación reforzada sobre el pago con tarjeta en comercio electrónico», un documento elaborado por las principales asociaciones, compañías y grupos de interés del mercado español y presentado el pasado mes de julio.
En él se establece la necesidad de desplegar las soluciones tecnológicas que permitan alcanzar el equilibrio adecuado entre la seguridad en los pagos remotos con tarjeta y las necesidades de facilidad de uso y accesibilidad de los pagos en el ámbito del comercio electrónico.
Asimismo, se expone la importancia de adecuar los plazos de tiempo que los diferentes actores necesitan, incluidos los comercios, para adaptar sus plataformas a las nuevas exigencias con un mínimo impacto en la experiencia de usuario.
A partir de ahí, se detalla el plan de acción tanto para el comercio electrónico como el presencial, que pasa por la comunicación a la sociedad y por la implantación tecnológica para cumplir con los requisitos que indica la normativa. Y esto es especialmente importante cuando hay estudios, como el presentado recientemente por Mastercard, que aseguran que el 75 por ciento de los comercios que venden en Internet desconocen esta normativa que hace obligatoria la doble autenticación del cliente tanto para pagar por Internet como en comercios físicos.
Autenticación reforzada
Pero, ¿en qué consiste esa autenticación? Básicamente, la norma PSD2 establece la implantación de lo que denomina como Strong Customer Authentication (SCA), según la cual cualquier sitio debe autenticar de tres maneras diferentes a una persona que realiza un pago en su plataforma, de las cuales debe asegurar dos. Es lo que se conoce como «verificación en dos pasos». De esta forma, la norma obliga a usar, al menos, dos de los siguientes factores: algo que solo conozca el usuario, como por ejemplo una contraseña; algo que tenga el usuario, como un teléfono móvil o un tarjeta; y algo que forme parte de él, como su huella dactilar o su iris.
En este sentido, la mayoría de los bancos están optando por combinar una clave personal con un código temporal recibido por SMS, de manera que siempre será necesario tener a mano el smartphone cada vez que se quiera operar en la banca online. Incluso cuando se desee entrar en ella. De hecho esta es una de las obligaciones que marca la norma que ya ha entrado en vigor en nuestro país, porque no está incluida en la moratoria comentada anteriormente.
Ahora bien, todo lo dicho hasta aquí tendrá una serie de consecuencias importantes para la banca. Según un estudio de investigación dirigido por Mitek y Consult Hyperion, la llegada de esta normativa puede costar hasta 50 millones de euros anuales para el sector bancario debido al aumento de las sanciones financieras, o pérdidas de hasta 150 millones de euros en un periodo de cinco años como resultado del abandono de clientes. En cualquier caso, lo que está claro es que la llegada de la PSD2 reformará considerablemente las operaciones de banca digital, así como a las empresas de comercio electrónico en España, las cuales, de momento, tienen algo más de margen para adaptarse a ella.
Archivado en: