La Directiva de Servicios de Pago, conocida como PSD, es una directiva europea de 2007 cuyo objetivo es la creación de un mercado único de pagos seguro en el entorno del Espacio Económico Europeo. El próximo 14 de septiembre de 2019 será obligatorio el cumplimiento en dicho espacio de la PSD2, su versión mejorada, reforzando aún más la seguridad y protección contra los fraudes en transacciones electrónicas. Además, se ampliará la competencia en servicios de pago al autorizar nuevos intermediarios (TPPP) con las entiedades bancarias.
Desde el día en que entre en vigor la nueva regulación, usaremos plataformas de pago en las que:
- ya no nos piden la tarjeta bancaria, y
- no nos redirigen a ningún TPV, y
- toda la transacción se realiza sin salir de la web o aplicación.
Para comprar y pagar, ¿cómo me afectan estos cambios?
Actualmente, el proceso de verificación de un pago electrónico se puede realizar vía tarjeta bancaria (número, fecha de caducidad y código CVV) , más verificación por tarjeta de coordenadas o mediante un código enviado por SMS. E intervenían 4 intermediarios: comercio, empresa de pagos electrónicos, compañía de la tarjeta, y banco.
A partir de ahora, se empleará un sistema de autenticación reforzada (SCA) que también utiliza un procedimiento de comprobación en dos pasos, pero con una diferencia: se verificará la identidad de la cuenta mediante dos de los tres métodos posibles. Y solo intervendrán 2 intermediarios: el comercio y el banco.
Los métodos disponibles son:
- Demuestra que sabes algo. Un dato que solamente deberías conocer tú: PIN, contraseña, pregunta específica...
- Asegura que tienes algo. Un objeto que puedas mirar para obtener un número de tarjeta de pago, un número de móvil, un número de identificación único (DNI, pasaporte), etc.
- Confirma que eres físicamente tú. Es decir, un factor biométrico: tu huella dactilar, tu patrón vocal, tus rasgos faciales, tu mapa del iris, tus características grafológicas, tu idiosincrasia al andar…
Por supuesto, deberán ser independientes entre sí para que, aunque se apropien de uno o dos, no se pueda obtener información sobre los restantes.
Además, al menos uno de ellos, deberá cumplir estas restricciones:
- garantizará la confidencialidad del resto de factores de autenticación;
- no podrá ser ni copiable ni reutilizable;
- no se podrá transformar en datos susceptibles de enviarse por medios electrónicos.
Esto se concreta en que podríamos llegar a comprar sin tarjeta, seimpre que pudiéramos demostrar los otros dos datos. Claro que, previamente, le tendríamos que haber dado los datos de nuestra tarjeta a un intermediario de pago (TPPP) y autorizarle a realizar transacciones en nuestro nombre cuando reciban dicha autenticación. También hará que la veterana transferencia se pueda realizar con la misma agilidad que un pago por tarjeta.
Por otro lado, se nos dota de mayor protección en caso de fraude: cada persona sólo será responsable de los pagos no autorizados menores de 50 euros. A partir de esa cantidad, la entidad proveedora de pagos será quien tenga que asumir lo defraudado, y reembolsar el importe en las 24 horas siguientes (siempre que se niegue haber autorizado la operación, o que fuera errónea, y no se pueda verificar lo contrario).
En la parte negativa, quienes ya tenían dificultades (por edad, discapacidad temporal o permanente, insuficiencia de recursos técnicos, etc.) para realizar transacciones electrónicas, al exigirles un tercer elemento de verificación, asociado al aprendizaje de una metodología diferente, que conlleva la lectura y firma de nuevos contratos de gestión y protección de datos, probablemente se sientan incapaces de utilizar este sistema sin ayuda externa.
Y si tengo una tienda en Internet, ¿qué tengo que hacer?
Pues, si ya dispones de un sistema de autenticación reforzada en tu TPV, seguramente nada.
Si no, deberás adaptar tu pasarela de pagos para cumplir con la directiva y obligarla a emplear autenticación reforzada. Deberías ponerte en contacto con tu entidad bancaria, tu proveedor de pasarela de pagos, y tu gestor web para asegurarte de que cumples la nueva directiva a tiempo.
En caso de que tengas una plataforma de comercio electrónico anticuada, quizá deberías pensar en migrar a una versión moderna que ya cumpla los requisitos de la PSD2.
En cuanto a tu clientela, obligarles a emplear este procedimiento les supondrá un punto de fricción en el momento del pago, así que te recomiendo que te anticipes y le des toda la información posible, resaltando las bondades y garantías del nuevo proceso de pago, así como que la PSD2 refuerza la seguridad de los datos personales.
Infórmales también de que hay excepciones, ya que no será necesario en transacciones:
- de importe reducido: menos de 30 €/pago (5 veces seguidas o máximo 100 € antes de solicitarnueva validación);
- recurrentes por un mismo valor: suscripciones o pagos aplazados;
- que hayan superado un análisis de riesgos;
- realizadas a entidades de tu confianza: las deberás incluir en una lista blanca;
- realizadas a través de canales sin posibilidad de garantizar la autenticación reforzada: telefónico, correo electrónico, expendedoras desconectadas,…;
- iniciadas por el comercio en tu lugar.
¿Qué nos espera?
La apertura del acceso a las cuentas de un banco a terceros intermediarios llevará a la creación de dos nuevas clases de servicios:
- los de inicio de pagos (PIS) : te conectan con tu banco para realizar transacciones, y
- los de información de cuenta (AIS): te unifican en un mismo entorno de gestión todas aquellas entidades finacieras y bancarias que les indiques, proporcionándote además ofertas adaptadas a tu perfil.
Muchas personas ya se han acostumbrado a realizar algún tipo de validación al finalizar sus pagos electrónicos, por lo que su adaptación será inmediata.
En caunto a las normas técnicas y de comunicación, hay que resaltar que la autenticación reforzada será necesaria solo la primera vez, y cada 90 días desde el último acceso, lo que simplificará mucho la operativa.
La tarjeta de crédito dejará de ser la reina de las formas de pago en los comercios por Internet europeos: los nuevos intermediarios y la transferencia tomarán protagonismo, y esperamos que influyendo positivamente en la usabilidad y fidelización.
¿Qué pasará con sus comisiones por traspaso de fondos? ¿Se reducirán los costes de mantenimiento de las tarjetas? ¿Será bueno fiar todo a la tecnología y prescindir del efectivo? ¿Qué ocurre si fallan las comunicaciones o la enregía eléctrica?
Por de pronto, tened en cuenta que se trata de ceder aún más datos a entidades financieras, así que mejor que sean de confianza.