Otoño es una estación de revoluciones y el de 2019 va a traer una en los pagos electrónicos que va a cambiar radicalmente la forma en la que compramos por internet. A partir de septiembre no serán necesarias las tarjetas bancarias para realizar transacciones en línea, no se nos redirigirá a pasarelas de pago y toda la operación se podrá realizar en la misma web del ecommerce con mayor seguridad de la que hemos tenido hasta ahora.
Todas estas novedades, y muchas otras, son las que introducirá la Directiva PSD2 a partir del 14 de septiembre en España, una norma europea equiparable a la GDPR en materia de datos que viene a actualizar la legislación anterior, la PSD (Payment Services Directive).
La Directiva PSD fue publicada por la Unión Europea en 2007 para regular el mercado de los pagos electrónicos en la zona euro. Esa norma fue impulsada por Comisión Europea y proporcionó un marco legal dentro del cual debían operar todos los proveedores de servicios de pago digitales.
Su objetivo era aumentar los derechos y la seguridad de los consumidores al comprar por internet y garantizar la agilidad del proceso. Y sus reglas son las que hemos seguido durante estos años a la hora de adquirir cualquier producto por internet: redirección a una pasarela de pagos desde el comercio electrónico, uso de tarjetas de crédito y de distintos mecanismos de seguridad, como el envío de un SMS con un código, para certificar la compra.
El problema es que en pocos años esa normativa quedó obsoleta ante el vertiginoso aumento del comercio electrónico y la entrada en el sector de nuevos actores, como las compañías fintech. Así, en 2015 la Comisión Europea consideró necesario publicar una nueva norma, la Directiva 2015/2366, por la que se actualizaba la de 2007, conocida como PSD2.
?El alcance de la primera versión no era suficiente. No aseguraba la transparencia en las operaciones ni permitía al usuario tener control sobre las mismas. También se hacían necesarias medidas relativas a la seguridad de los pagos por internet, la responsabilidad en casos de robo y fraude, y reducir el número de actores que eran necesarios para proteger al usuario?, explica Gonzalo Benito Alonso, director de Tecnologías del comparador de productos financieros iAhorro.
De esta forma, la nueva directiva europea, que entrará en vigor en España el 14 de septiembre de 2019, aborda diversos aspectos para actualizar el marco legal de los pagos por internet que afectarán tanto al usuario como para los comercios y las entidades financieras.
En lo que se refiere a los usuarios, uno de los aspectos en los que más incide esta directiva es en el aumento de la seguridad. Hasta ahora el proceso de verificación para un pago electrónico podía realizarse a través de la información física de la tarjeta (número, fecha de caducidad y código CVV) y mediante un SMS con un código de verificación.
Con esta nueva norma, Europa obliga a las entidades bancarias y los comercios electrónicos a usar la autentificación en dos pasos (two factor authentification ? 2FA), por la que se procede a comprobar la identidad del consumidor mediante al menos dos métodos de tres posibles.
?Con esta directiva se introduce la SCA (Strong Customer Authentication), que obliga a autenticar a la persona que realiza el pago mediante tres maneras posibles, de las que se tienen que asegurar dos de ellas. Esas tres formas son mediante algo que tienes (el móvil o el DNI), sabes (una contraseña) o eres (identificación de rasgos biométricos como el ojo, la cara o una huella digital)?, señala Xavier Codó, vicepresidente y director general de la compañía de tecnológica Mitek en Iberia y Latam.
?Los procesos de autenticación se utilizan para confirmar que un cliente es quien dice ser. La autenticación reforzada de cliente requerirá que las empresas de pago como los bancos verifiquen esto utilizando al menos dos datos separados, conocidos como factores de autenticación?, añade Edward Corcoran, del equipo de Regulación y Tendencias Digitales de BBVA.
Además de estas medidas de seguridad previas a la ejecución de la transacción, la nueva normativa también prevé una mayor protección de los consumidores en caso de fraude. Así, el usuario sólo será responsable de pagos no autorizados de hasta 50 euros, y a partir de esa cifra será el proveedor el que tendrá que hacerse cargo del importe defraudado. Con la directiva anterior esa cantidad era de hasta 150 euros.
Asimismo, el proveedor tendrá que devolver el importe defraudado el mismo día en que se haya cometido el fraude siempre que el usuario niegue haber autorizado la operación, o indique que es incorrecta, y la empresa no pueda demostrar lo contrario.
Más allá de reforzar la seguridad, la directiva PSD2 también simplifica el proceso de pago al reducir el número de actores que participan en una transacción electrónica, con lo que se mejora la experiencia del usuario.
En la actualidad, al realizar una compra en cualquier comercio electrónico que no tenga su propio servicio de pago, como Amazon Pay, la web del ecommerce nos redirige a una pasarela externa. Con esta nueva norma las plataformas de pago se integrarán en las páginas de las tiendas online y todo el proceso de compra se hará si abandonar su website.
Por otra parte, hoy día tampoco concebimos una compra en internet sin una tarjeta de débito o crédito, que no son sino otro intermediario más. Pero, gracias al proceso de autentificación en dos pasos, el papel de estos plásticos dejará de ser indispensable y para ejecutar una transacción digital podría bastar con el DNI y el reconocimiento biométrico de algún rasgo físico del usuario, sin tocar la tarjeta.
?Esto significa mayor rapidez a la hora de comprar online, ya que podrás autorizar expresamente a cualquier comercio el cobro de una compra de forma inmediata y sin utilizar la tarjeta, como si fuera una simple transferencia. Por ejemplo, ahora si vas a comprar un móvil, la tienda donde lo haces necesita varios intermediarios: comercio, proveedor de pagos electrónicos, compañía de la tarjeta y banco. Con PSD2 el proceso se acorta a comercio-banco?, explica Alejandro Guash, profesor del máster en Blockchain y Fintech en la IEBS Business School.
Y es que, según estimaciones de Mitek, en la actualidad se producen un 52% de abandonos en el proceso de compra por la complejidad del mismo y las derivaciones a páginas externas para realizar los pagos. Algo que socava la confianza de los usuarios que no conocen las particularidades de las compras online y los lleva a no finalizar la transacción.
Otro aspecto novedoso de esta legislación es la apertura del acceso a las cuentas de los clientes de un banco a terceros, siempre que estos cuenten con la autorización del usuario. Conocido como OpenBanking, permitirá un acceso directo a la información bancaria del usuario para agilizar las transacciones y hará posible agrupar toda la información financiera de una persona en una misma plataforma.
Para hacer posible ese contacto directo entre comercios y bancos sin menoscabar la seguridad de la información del usuario, las entidades financieras ofrecerán el acceso a terceros mediante canales técnicos conocidos como APIs (Application Programming Interface), más seguros y rápidos que los métodos actuales.
?Para abrir el acceso con APIs de forma segura, y conforme con la PSD2, hace falta un portal para el acceso a terceros que permita a éste llamar al banco, identificarse para mostrar que es una entidad autorizada y pedir y recibir pagos de forma segura. Para los bancos españoles este proceso lo va a facilitar una herramienta desarrollada por la pasarela de pagos Redsys?, explica Corcoran.
De esta forma, las APIs permitirán a los comercios conectarse directamente con el banco, estableciendo interfaces de comunicación directa entre consumidor y negocio y eliminando el relevante papel que tenían hasta ahora los proveedores de medios de pago como las tarjetas de débito. Esto, además, servirá para reducir costes y evitar retrasos en las transacciones.
Por otra parte, los expertos consultados por Xataka también señalan que la directiva PSD2 hará más competitivo el sector, igualando los sistemas de pago online y facilitando la entrada de nuevos actores, lo que favorecerá la innovación en el sector y beneficiará al consumidor.
?Con esta normativa las transacciones se harán de una forma muy transparente y permitirá a empresas grandes y pequeñas medirse al mismo nivel, lo que aumentará la competitividad entre ellas al estandarizar los pagos en todos los mercados?, subraya Codó.
Esto se debe a que, hasta el 14 de septiembre, existen diferentes métodos de pago a través de internet, con varios intermediarios y costes elevados. Algunos de ellos, como el de grandes ecommerce, es muy sencillo e intuitivo, mientras que otros de pequeños comercios pueden ser mucho más enrevesados.
De esta forma, la experiencia del usuario acaba siendo mucho menos satisfactoria a la hora de finalizar la compra en comercios electrónicos de menor envergadura, con diferentes pasos que le pueden llevar a desistir de la compra por hartazgo o desconfianza.
Con la nueva directiva, en cambio, el sistema de pago de grandes y pequeños será el mismo, sencillo, intuitivo y seguro, de forma que el usuario podrá finalizar la compra en un gigante del comercio electrónico de la misma forma que en una pequeña tienda digital.
Las novedades que introduce la directiva PSD2 hacen necesaria la aparición de nuevos actores para ofrecer los servicios que se derivarán de su aplicación. En este contexto aparecen dos nuevas entidades, las payment iniciation service provider (PISP) y las account information service provider (AISP).
Las PISP son empresas que ofrecerán softwares que actúen de intermediarios entre las entidades financieras y los comercios. Permitirán transferencias directas entre los bancos y la tienda digital previa autorización y verificación de la identidad del cliente mediante la autentificación en dos pasos. Con este servicio se materializará la reducción de intermediarios.
Las AISP, por su parte, son compañías que acceden y almacenan información de las cuentas del usuario, previa autorización de éste. De esa forma, la persona puede acceder a los datos de las diferentes plataformas financieras con la que tenga productos contratados en una única interfaz. Fintonic, por ejemplo, ya ofrece este tipo de servicios.
Con las AISP, además de ordenar en una misma plataforma todos los productos financieros del usuario, también se abre la posibilidad de personalizar los servicios que se le pueden ofrecer, como préstamos o seguros, en función de la información de sus distintas cuentas.
Esta nueva directiva europea va a conllevar una serie de cambios tan importantes que revolucionarán el sector financiero. La reducción de intermediarios, con la eliminación del principal actor de las transacciones económicas digitales hasta la fecha, la tarjeta bancaria, o el aumento de los procesos de verificación de la identidad conllevan un importante desarrollo tecnológico que, probablemente, no llegará a tiempo.
?Las autoridades europeas han reconocido que la implementación de la Strong Customer Authentication en los comercios electrónicos implica algunos cambios grandes para muchos actores en el entorno de pagos y sería difícil implementar los requisitos en septiembre 2019 sin ver disrupción en el mercado?, explica Corcoran.
Por ello, el experto en regulación y tendencias digitales de BBVA señala que el sector financiero está acordando con las autoridades nacionales planes de implementación más extendidos, para asegurar el cumplimiento de la norma sin efectos negativos para los pagos online.
Por lo tanto, aunque la ley entre en vigor en España el 14 de septiembre de 2019, es posible que algunos comercios electrónicos o entidades bancarias no ofrezcan todos los servicios que se derivan de la directiva desde esa fecha.
.