A fondo: Nos ‘pilló el toro’ con la PSD2

El 14 de septiembre entró en vigor la directiva europea PSD2, dejando muchas dudas respecto a sus obligaciones y a la adaptación de las empresas. ¿Qué novedades trae? ¿Estamos preparados?

Todos los clientes de banca online deben haber recibido notificaciones de sus entidades en la últimas semanas, explicando las novedades que trae la nueva Directiva europea de servicios de pago, conocida como PSD2, por sus siglas en inglés.

“El objetivo de la PSD2 es armonizar el mercado europeo de pagos electrónicos, aumentar la competitividad del sector con la entrada de nuevos actores, reforzar la seguridad de las transacciones electrónicas e incrementar los derechos de los consumidores”, afirma Javier Mezcua, especialista en finanzas del comparador financiero HelpMyCash.com.

Así pues, la directiva avanza en varias direcciones. Por un lado, exige que los bancos den acceso a los datos de sus clientes a terceros, “siempre con la autorización explícita de los usuarios y con el objetivo de que puedan recibir ofertas y servicios a medida por parte de estas compañías”, explica Jordi Nebot, CEO y cofundador de PaynoPain, empresa especializada en el desarrollo de soluciones de pago online.

Mezcua señala que “aquí entran en juego los Proveedores de Servicios de Información sobre Cuentas (AISP) y cobran relevancia, especialmente, los agregadores financieros, que permiten a los usuarios visualizar el estado de todas sus cuentas bancarias en una sola plataforma, siempre y cuando hayan dado permiso a la compañía para obtener dichos datos”.

Carlos Gavilán, director de desarrollo de negocio de la empresa de autenticación por voz Biometric Vox, considera que “supone un cambio muy significativo en el tratamiento de datos por parte de las entidades bancarias y el acceso a la información por parte de terceros a la base de datos de sus clientes”.

La PSD2 también pretende aumentar la seguridad de los usuarios al realizar transacciones online, mediante el denominado sistema de autenticación reforzada del cliente (SCA), que deberá aplicarse tanto en los pagos electrónicos como en el acceso a la banca online.

“Se debe establecer un sistema de doble autenticación, a través del cual los usuarios deberán autenticarse utilizando dos de los tres elementos que exige la directiva para la verificación de su identidad. Estos factores podrán ser un elemento que el usuario posea, como un teléfono móvil para recibir un código; algo que el usuario sepa, como una contraseña o PIN; o un factor biométrico, que podrían ser la huella dactilar o el reconocimiento facial o vocal”, precisa el CEO de PaynoPain. Mezcua destaca que “este sistema elimina las tarjetas de coordenadas, que ya no servirán para validar una operación por canales digitales”.

Asimismo, resalta que la nueva directiva “reduce los intermediarios en los pagos electrónicos y permite conectar directamente los comercios con los bancos”, e incluso “permite prescindir de la tarjeta y pagar directamente con una cuenta, como si se realizara una transferencia”.  De hecho, indica que “algunos comercios online, como Amazon, ya permiten pagar compras sin tarjeta, usando la cuenta bancaria”.

De este modo, la PSD2 tendrá un gran impacto en el comercio electrónico. “Ofrece al cliente la posibilidad de autorizar a cualquier ecommerce para que pueda pagar o cobrar en su nombre. Nos va a permitir crear nuestras propias pasarelas de pago, sin tener que pasar por una marca de tarjeta de crédito, suponiendo un ahorro muy considerable en comisiones. También se producirá la eliminación de los recargos que los merchant pueden cobrar a sus clientes por el uso de determinados medios de pago. Además, se refuerza la seguridad en los pagos online para evitar riesgos de suplantación de identidades o robo de claves. Esto repercute directamente en los comerciantes online porque mejora su reputación”, explica Antonio Fagundo, CEO de Masaltos.com.

Por último, el responsable de HelpMyCash.com recuerda que la PSD2 “rebaja la responsabilidad del cliente de 150 a 50 euros en caso de sufrir un pago no autorizado y elimina los recargos por abonar una compra con tarjeta”.

Impacto más allá de los bancos

El sector bancario es el más más afectado por la nueva normativa. “Los principales cambios que hemos notado los consumidores es que ahora, para acceder a la banca online, es necesario introducir un código recibido por SMS o confirmar una notificación vía app para cumplir con el sistema de autenticación reforzada, algo que antes no era necesario”, anota Mezcua.

También recuerda que “los bancos han tenido que adaptarse al llamado open banking, para que terceras compañías puedan acceder a los datos de sus clientes cuando éstos les den permiso”. Asimismo, se establecen algunos cambios respecto a la autenticación en los pagos contactless en comercios.

Pero la PSD2 también repercute en otros sectores. “Los proveedores de servicios de pagos y los comercios electrónicos se enfrentan, sobre todo, a la implementación del sistema de autenticación reforzada. Todo un desafío, especialmente para los ecommerces”, comenta el experto de HelpMyCash.com. Aunque también es cierto que la apertura de los datos de los clientes por parte de los bancos hará que las compras y transacciones puedan más ágiles y rápidas.

Además, su incidencia se extiende a cualquier negocio que acepte diversas formas de pago. Por ejemplo, en el sector hotelero. “Hasta hace muy poco, la tarjeta de crédito era la única garantía para realizar reservas de hotel, tanto de forma online como presencial. Al realizar una reserva, el alojamiento solicitaba al usuario los datos de su tarjeta por correo, teléfono o a través de Booking, Expedia u otras OTA (Online Travel Agency), un método que no incluye ninguna garantía de seguridad y que, además, va en contra del RGPD. Finalizada la estancia, el hotel se encarga de realizar el cobro, sin el consentimiento expreso del usuario, insertando manualmente los datos de la tarjeta en el terminal punto de venta (TPV)”, explica Nebot.

“Con la nueva directiva, será necesario llevar a cabo muchos cambios en el sector, tanto para los hoteles como para las OTA. Por ejemplo, la tarjeta de crédito y el cobro manual como garantía van a desaparecer, ya que no será posible captar los datos de la tarjeta para luego hacerle los cargos a los clientes sin su autorización”, especifica.

Igualmente, Marco Rosso, director regional en España de la plataforma de servicios para hoteles SiteMinder, cree que “implementar esta regulación puede ser un desafío para los propietarios de pequeñas empresas hoteleras”. “Existen diversas formas de pago cuando un viajero se dispone a reservar una habitación. Adaptarse a un solo método sería realmente complejo. Por eso, para lograr el cumplimiento de PSD2, los hoteleros necesitan asegurarse de revisar sus procesos de pago e identificar en cuáles deberían aplicar la autenticación reforzada. Además, tienen que estar al tanto de cómo sus proveedores tecnológicos, como por ejemplo las OTA, están adaptándose para cumplir con la normativa”, precisa.

En cualquier caso, recuerda que “para realizar el cobro a través de una tarjeta de pago, independientemente del canal utilizado -abono en el hotel a través de datáfono, pago a través de agencias o del motor de reservas del hotel, etc.-, ahora los consumidores deberán pasar por el proceso de autenticación reforzada para que el pago sea efectivo”.

Poco preparados

Pese a que la directiva ya ha entrado en vigor, la mayor parte de las compañías no están preparadas. Algunas entidades bancarias ya están aplicando el sistema de doble autenticación a la hora de acceder a sus plataformas de banca online, pero no todas.

“Las empresas en España aún no han tenido tiempo suficiente para adaptarse a las medidas que la nueva directiva exige. Por esta razón, el Banco de España ha solicitado una moratoria para retrasar el margen y que todos los bancos, proveedores de servicios de pago, marketplaces, etc., dispongan de tiempo para implementar las soluciones necesarias y que sean viables en tiempo y forma. Sucede lo mismo en otros países europeos, donde las empresas están experimentando dificultades para adoptar las medidas de la directiva”, afirma el CEO de PaynoPain.

Mezcua señala que “la moratoria propuesta por la Autoridad Bancaria Europea (EBA) y aprobada por el Banco de España afecta a la aplicación de la autenticación reforzada del cliente (SCA) en los pagos electrónicos”. Pero recalca que “el uso de la SCA en el acceso a la banca online no disfruta de ninguna prórroga y se aplica desde el pasado 14 de septiembre”. Así pues, la moratoria pretende atender las demandas de actores como los proveedores de servicios de pago y comercios electrónicos que todavía no se hayan adaptado.

Raúl Legaz, director de la empresa de autenticación biométrica Biocryptology, indica que “hay bastante confusión” en torno a esta moratoria. “Hasta el momento, ni el Banco de España ni la EBA han aprobado un plazo concreto. Los rumores abarcan desde los 12 hasta los 18 meses. En cualquier caso, la moratoria no se aplicaría más que a unos aspectos de la norma, enfocada a no sancionar el incumplimiento durante ese período de tiempo, siempre y cuando los planes que presenten las plataformas de pagos y los bancos sean suficientemente detallados, válidos y se esté trabajando sobre dichos planes”, precisa.

¿Y qué sucede con el ecommerce? El CEO de Masaltos.com asegura que “los negocios españoles no tendrán que hacer nada porque la PSD2 afecta a los servicios de pago prestados por entidades crédito, entidades de dinero electrónico, como Facebook o Paypal, instituciones de giro postal y otras entidades de pago”. De este modo, considera que “el comercio electrónico poco tendrá que hacer ante esta normativa, porque el banco con el que trabaje se adaptará a la normativa”.

En este sentido, el director de Biocryptology cree que la mayoría de las empresas españolas “han delegado el cumplimiento de esta normativa en sus bancos y en sus proveedores de pagos”. Sin embargo, advierte que “se sienten preocupadas por lo que les pueda afectar a sus ventas online, ya que necesitan unas herramientas que les permitan cumplir con la ley sin perjudicar la conversión”.

Por otra parte, los ecommerce que deseen aprovechar la posibilidad de crear sus propias pasarelas de pago o cobrar directamente desde la cuenta de sus clientes, tendrán que adaptarse tecnológica y legalmente.

Nuevas oportunidades

Todas las medidas de la PSD2 están encaminadas al beneficio del usuario final, pero también traerá muchas oportunidades a otros actores. “Se están abriendo opciones para nuevos jugadores en un mercado, el financiero, tradicionalmente dominado por los bancos”, declara Legaz.

El especialista de HelpMyCash.com considera que “la PSD2 ofrece a las fintech la posibilidad de seguir creciendo en un marco legal regulado”. “Es probable que surjan nuevos competidores, como agregadores financieros que nos permitan gestionar nuestras finanzas más fácilmente. o proveedores de servicios de inicio de pagos. Eso sí, siempre debemos tener cuidado de a quién damos acceso a nuestros datos bancarios”, añade.

Nebot también señala que “la nueva directiva abre más posibilidades a otras empresas que podrán disponer de los datos de clientes de los bancos, para así poder elaborar y ofrecer servicios adaptados a la necesidad de cada perfil, siempre con el consentimiento explícito del usuario”. Por ejemplo, especifica que la directiva permitirá que los proveedores de pagos puedan ofrecer “mejores soluciones escalables al negocio de las empresas, con el objetivo de que el usuario no salga de la página web donde está realizando el pago y permanezca siempre en la misma plataforma”.

Asimismo, Fagundo opina que “la normativa permite el nacimiento de más pasarelas de pago, más empresas financieras, nuevos sistemas de pago y de entidades de autenticación y seguridad en el comercio electrónico”. Además, piensa que las empresas biométricas pueden verse beneficiadas y expandir su negocio. “Por ejemplo, puede que pronto sea muy habitual comprar con la huella o iris para certificar que es una persona concreta”.

En esa misma línea, el director de Biocryptology indica que la nueva normativa “habla específicamente de conceptos como la biometría o los smartphones, lo cual no sólo supone una novedad, sino también una oportunidad para aquellas empresas tecnológicas que han desarrollado productos o servicios basados en estos nuevos paradigmas”.

Igualmente, el representante Biometric Vox opina que la implementación de la SCA impulsará la biometría. “De entre los factores de autenticación que ofrece la PSD2, el uso de las biometrías, como es la vocal, surge como el más fiable, ya que el de posesión es fácilmente manipulable a través de un robo del dispositivo, mientras que el factor de conocimiento puede obtenerse a través de terceros o el propietario podría olvidarlo. Sin embargo, el uso de la voz como factor biométrico garantiza de forma prácticamente inequívoca la identificación del usuario a la hora de realizar pagos, ya que evita el robo de credenciales, pues es casi imposible suplantar la identidad del hablante; y soluciona el problema de pérdidas u olvidos, ya que es una característica que siempre va con el usuario”, comenta.