Rafael Eguilor

En el último par de meses, desde finales de 2020 hasta hoy día, quien más quien menos hemos estado recibiendo diversas notificaciones de nuestros bancos y de distintos comercios electrónicos acerca de la aplicación de la Directiva PSD2, pero ¿qué es la Directiva PSD2?

PSD significa Directiva de Servicios de Pago (Payment Service Providers, por sus siglas en inglés) y 2 nos indica que es la segunda. ¿Y qué busca esta Directiva? Pues bien, esta directiva lo que viene a pretender es la regulación de los servicios de pago electrónicos, para ofrecer mayor seguridad y forzar un poco tanto a bancos como a comercios a adaptarse a las nuevas tecnologías.

Pero vamos por partes. ¿De dónde sale la PSD2? ¿Hay una PSD1? Efectivamente, hay una PSD original que data del año 2007. Esta primera PSD lo que pretendía era fomentar la creación y mantenimiento de un mercado único de pagos en la Unión Europea, facilitando la libre competencia entre empresas de distintos países.

Allá por 2013, la Comisión Europea propuso revisar la PSD con el objetivo de hacer especial hincapié en la protección del consumidor aumentando la seguridad de los medios de pago utilizados y así mejorar el sector promoviendo, de nuevo, la competencia y la innovación, entrando en vigor la misma en enero de 2018.

Pero vamos a ver, ¿en qué nos afecta a nosotros, pobres consumidores? Pues a priori en no demasiado, al menos de manera palmaria o que vayamos a percibir directamente. Afecta especialmente a empresas que realicen comercio electrónico y a bancos. Sin embargo, también se traduce en novedades para el usuario de a pie en su relación con estas empresas y con los bancos.

Vamos a centrarnos, no obstante, reflejar las novedades que las personas podemos notar en nuestro día a día y dejar las medidas para profesionales para otro momento. De esta manera, podríamos determinar los cambios más notorios para nosotros como los siguientes:

  • Servicio de información de cuenta (AIS, por sus siglas en ingles). Lo que se pretende a través de este servicio es que una persona tenga acceso a toda su información financiera a través de una sola aplicación informática. Es decir, que, a través de una única aplicación, una persona pueda consultar el estado de todas sus cuentas, estén donde estén, de manera agregada. Para ello es necesario que contemos con los llamados “agregadores de información”, que no son otra cosa que intermediarios que van a tener acceso a toda la información del cliente para facilitarle la información agregada cuando un cliente se registre en este “agregador”. Es importante, en este caso, conocer el funcionamiento de estos “agregadores” para determinar si nos interesa o no contar con un servicio semejante. Por tanto, es importante saber que:
  • Cuando te registres en un “agregador”, el mismo tendrá acceso a todas tus cuentas que sean accesibles en línea. Así, esa información estará en un solo lugar.
  • El “agregador” podrá acceder en tiempo real a los saldos y apuntes de cada una de las cuentas añadidas, debiendo por tanto facilitar las claves de acceso de cada una de las cuentas agregadas.
  • En caso de que las entidades en las que el usuario tiene las cuentas estimen que puede haber un acceso no autorizado o fraudulento, podrá denegar el acceso a la información por parte del “agregador” elegido.
  • Servicio de iniciación de pagos (estas siglas en inglés son más fáciles de recordar, PIS). Este servicio, aparte de su curioso acrónimo, facilita el pago de productos o servicios, ya sea para pagos por internet o bien a la hora de poder realizar un pago en un comercio cuando no se cuente con un medio de pago, como puede ser una tarjeta, en el momento de la compra. Para ello contaríamos con los llamados “iniciadores”, que no es otra cosa que una plataforma que hace de intermediaria entre el vendedor y el consumidor. Dicha plataforma cuenta con los datos bancarios del consumidor, siendo por tanto la encargada de gestionar la orden de pago tanto con el comerciante como con la entidad bancaria. Claro ejemplo de estos iniciadores es Paypal. Estos sistemas de iniciación de pago ofrecen al vendedor la seguridad de que el pago se ha hecho, lo que permite que este inicie la entrega del bien o preste el servicio sin dilación, en el momento que se da la orden. Y al consumidor, le ofrecen la garantía de no tener que facilitar sus datos bancarios cada vez que realiza una compra. Importante es saber, por otro lado, que dichos iniciadores no tienen en su posesión, en ningún momento, los fondos de nuestras cuentas, ni pueden solicitar datos que no sean necesarios para prestar el servicio, o acceder a información alguna para fines distintos de la prestación de dicho servicio.
  • Por último y no menos relevante, la PSD2 introduce nuevos requisitos de seguridad para las transacciones comerciales, la conocida como Autenticación Reforzada de Cliente. ¿En qué consiste esta autenticación reforzada? Implica que cada vez que un cliente quiera realizar una transacción deberá contar con dos factores de autenticación de que es el interesado en realizar la transacción. Es decir, no bastará con una contraseña o un PIN, sino que cada transacción deberá realizarse con al menos dos medios para autentificar al cliente. Incluso transacciones que hasta el momento sólo requerían de un factor. Además de no contar como válido como factor de autenticación la información impresa en la tarjeta (el famoso y muy utilizado CVV, por ejemplo).

¿Qué se consideran factores de autenticación de un cliente? Son distintos datos que el cliente aporta para demostrar que es quien dice ser cuando procede a comprar algo. Estos factores se dividen en tres tipos o categorías:

  • Factor de conocimiento. Se trata de algo que el cliente conoce, como la mencionada contraseña o PIN.
  • Factor de posesión. Algo que el cliente tiene, como una tarjeta o un móvil.
  • Factor de inherencia. Se trata de un elemento propio y único del cliente, como una huella dactilar.

De esta manera, cualquiera de nosotros que pretenda realizar una compra por medios electrónicos, deberá contar con al menos dos de esos factores. Un ejemplo muy claro es el pago con teléfono móvil, cada vez más extendido, en comercios como supermercados. Al pagar con el teléfono móvil, se cuenta con dos factores: el de posesión del propio teléfono y el de conocimiento, en el caso de introducir una clave o, en caso de activación por huella, el factor de inherencia.

Para terminar, ¿por qué nos están informando ahora, si entró en vigor en 2018? Esto se debe a que la UE, en un intento para facilitar a las empresas la transición a esta Directiva y a instaurar los medios técnicos para cumplir con la misma, concedió un plazo de transición que terminaba el 31 de enero de 2020. Por eso es ahora y no antes, cuando, como manda la sana costumbre española de dejar todo para el último momento, nos están informando aquellos que tienen la obligación de cumplir con las medidas.

¿La conclusión? Parece ser que, con todas las medidas destinadas tanto a bancos y comercios como aquellas que nos destinan a nosotros, meros usuarios de los medios de pago electrónicos, se pretende aumentar seguridad en las transacciones del día a día, así como promover la innovación en medios de pago, aumentando la competencia en este sector. O al menos eso es lo que dicen, claro.

Compartir en Redes sociales