logo

¿Qué es la directiva PSD2?

LetsLaw / Derecho Digital  / ¿Qué es la directiva PSD2?
directiva PSD2

¿Qué es la directiva PSD2?

En el año 2015 la Unión Europea aprobó la Directiva PSD2. Una normativa que actualiza la anterior PSD sobre servicios de pago digitales y cuyo objetivo es facilitar la colaboración entre entidades bancarias y terceras empresas.

Gracias a la PSD2 se facilitan la realización de pagos electrónicos dotándolos con una mayor seguridad. Además, se regulará el acceso a la información por parte de terceros, siempre con la autorización del usuario.

La moratoria marcada por la Directiva PSD2 llegó el pasado 31 de diciembre a su fin, entrando en vigor de manera plenamente efectiva desde el pasado 1 de enero de 2021. Una vez en vigor y pleno funcionamiento, nos suscita la duda ¿Qué significa la Directiva PSD2 para nuestros negocios online? ¿Y para los consumidores?

¿Qué es la normativa PSD2?

En el año 2015 la Unión Europea aprobó la Directiva PSD2. Una normativa que actualiza la anterior PSD sobre servicios de pago digitales y cuyo objetivo es facilitar la colaboración entre entidades bancarias y terceras empresas.
Gracias a la PSD2 se facilitan la realización de pagos electrónicos dotándolos con una mayor seguridad. Además, se regulará el acceso a la información por parte de terceros, siempre con la autorización del usuario.

La moratoria marcada por la Directiva PSD2 llegó el pasado 31 de diciembre a su fin, entrando en vigor de manera plenamente efectiva desde el pasado 1 de enero de 2021. Una vez en vigor y pleno funcionamiento, nos suscita la duda ¿Qué significa la Directiva PSD2 para nuestros negocios online? ¿Y para los consumidores?

¿Cómo funciona la PSD2?

Para entender el uso deberemos conocer sus puntos más importantes.

  • La Directiva de la PSD2 estipula estrictos requisitos de seguridad para garantizar los pagos electrónicos y la protección de datos. Además, se requiere un sistema de doble autenticación (datos de la tarjeta y mensaje SMS en un móvil).
  • Rompe con el monopolio bancario pues, permite que los negocios online puedan obtener la información bancaria del usuario sin tener que usar un sistema de pagos externos.
  • Se limitan las tasas de intercambio para transacciones realizadas con tarjetas persiguiendo la reducción de los costes de los pagos online.
  • Establecen normas a aquellos nuevos proveedores de servicios que utilicen tecnologías innovadoras, como, por ejemplo, el mercado de las FinTech para, reforzar la confianza del consumidor en los pagos dentro de la Unión.

Principales novedades introducidas por la PSD2

Operativamente, la Directiva PSD2 pretende establecer un entorno de pagos lo más seguro posible, en el que se reduzca al máximo el margen para la producción de fraudes online. El instrumento ideado para llevar a cabo este objetivo deseable de protección del consumidor contra el fraude online es el Sistema de Autenticación Reforzada de Cliente (Strong Customer Authentication o “SCA” por sus siglas en inglés).

Las principales novedades que la directiva introducidas por la Directiva PSD2 se traducen en una unificación de las mejoras técnicas, todo ello entorno al sistema SCA. Especificándose de manera más sencilla y unificada qué actividades y servicios se encuentran sujetos a la nueva regulación y cuáles son los métodos válidos para incluir en los sistemas de seguridad.

La agilidad de los procesos también se ha visto optimizada. En relación con la información bancaria, con la anterior directa PSD, el usuario no consideraba tener el control, siendo escasa su interacción con los bancos y los proveedores de pago. Además, el sentir general es que, estos servicios eran poco transparentes, con accesos engorrosos o limitados.

Por otro lado, en lo referente a los pagos online que el usuario realiza en un ecommerce, estos últimos tenían que contar con los servicios de intermediarios y pasarelas de pago. Tales como las compañías propietarias de tarjetas o los proveedores de pagos electrónicos, intervenían antes de conectar con el banco del usuario, produciéndose un complejo proceso en el que llegaban a intervenir hasta cuatro operadores.

Third Party Providers

Pero ese escenario va a cambiar y para que el usuario conozca las ventajas que va tener esta normativa, debe entender que, a través de ella, los bancos van a tener la obligación de dar acceso a terceras empresas. Los llamados “Thrid Party Providers” conocidos por su acrónimo “TPP”) podrán acceder a los datos bancarios de los usuarios (siempre con la autorización).  

Con ello, estas terceras empresas no solo podrán acceder a la información de históricos bancarios, sino que podrán operar directamente. Esta comunicación se realizará a través de una API (software que permite la comunicación entre partes). Permitiendo comunicaciones seguras entre ambas partes y garantizando la seguridad de los datos de los usuarios.

Los aspectos prácticos de la PSD2

En cuanto al aspecto práctico, gracias a lo anterior estas terceras empresas podrán ofrecer a los usuarios servicios financieros personalizados. Así como consultar datos bancarios de forma rápida y sencilla. Además ejecutar pagos a través de la cuenta bancaria del usuario. Todo sin necesidad de otros intermediarios.  El usuario podrá operar desde su móvil y tener la certeza de que sus movimientos estarán realmente respaldados.

Esto abre la puerta a todo tipo de nuevos operadores en el mercado, proveyendo de importantes mejoras y ventajas para el usuario que van a suponer de primeras una reducción de los costes originados (por ejemplo, costes de mantenimiento de cuenta o transferencia) hasta la oferta de todo tipo de servicios bancarios y financieros antaño muy especializados o fuera del alcance del público general. Puesto que podrán simplificarse los procesos, gastos y ofrecer servicios más eficientes e inmediatos. 

La Directiva PSD2 nos otorga un control e información total nunca visto de las finanzas personales, dándole al Usuario la posibilidad de conocer de la manera más detallada posible toda su información financiera.

El usuario podrá conocer de forma detallada toda su información financiera, teniendo un control total de sus finanzas. 

¿Cuáles son sus objetivos?

La Directiva PSD2 va a suponer a nivel inmediato, sencillez y agilidad en las transacciones económicas. Y es que muchos de estos intermediarios son startups tecnológicas que están muy asentadas en el mundo digital. Ofrecen desde el primer día interfaces sencillas para que el usuario se sienta cómodo utilizando sus servicios. 

Hasta ahora, las Entidades Bancarias y Financieras seguían siendo los actores que más garantías ofrecían, dejando a cualquier empresa ajena al ámbito bancario con una imagen de cierta duda. La PSD2 invierte esta situación, al ser el centro de todo, tendrá el control sobre cualquier movimiento, podrá operar con dichos terceros y saber que, si existe algún problema, el propio usuario es capaz de solucionar la situación sin tediosos trámites.

El control del usuario será tal que va a poder rescindir sus contratos con dichas empresas sin previo aviso. Podrá corregir cualquier operación no autorizada (recordemos la falta de agilidad que tiene un banco ante este tipo de trámites). Debiendo demostrar el tercero que obtuvo la autorización y no el usuario. De hecho, se limitará la responsabilidad del usuario en los pagos no autorizados o robo de tarjeta, pasando de pagar de 150 euros a 50 euros.

También se van a reducir drásticamente los fraudes en las compras online, al incluirse como obligatorio la doble verificación o el Sistema de Autenticación Reforzada (conocido por su acrónimo en inglés, “SAC” o, «Strong Customer Authentication») que se convertirá en un estándar. Una doble verificación que se basaría en tres posibles elementos:

  1. Inherente (por ejemplo, huella dactilar).
  2. Físico (teléfono).
  3. Conocido (una contraseña).

Realmente todo son ventajas para el usuario, puesto que mejorar la seguridad y agilizar los procesos de compra son dos pilares que necesitaban un refuerzo. Aunque puestos a buscar alguna desventaja, es verdad que la pérdida de la relación interpersonal será una desventaja para muchos usuarios.

Cómo afecta a mi negocio la Directiva PSD2

La Directiva PSD2 es la creadora del nuevo entorno de pagos online en el ámbito de la Unión Europea sobre dos pilares fundamentales:

  • Aumento cualitativo y reforzado de la seguridad en los pagos electrónicos.
  • Agilización de las transacciones online mediante la eliminación de intermediarios y barreras financieras.

Uno de los cambios más significativos introducidos por la Directiva PSD2 es la apertura del acceso de los datos financieros y bancarios del consumidor a terceros. Eliminando con ello la intermediación bancaria agilizando el proceso de cualquier pago.

En este nuevo contexto, la necesidad de intermediación de los proveedores de pago, compañías de servicios financieros y de emisión de pagos por tarjeta se reduce. Permitiendo al consumidor autorizar directamente al comercio para que ejecute pagos a través de su cuenta bancaria. Es decir, se posibilita la comunicación directa entre el banco y el eCommerce.

Con la Directiva PSD2, la Unión Europea pretende ampliar la competencia en el mercado de los pagos electrónicos seguros y que este sistema sirva de punta de lanza para el desarrollo del Open Banking y las Fintech.

¿Cómo afecta a mi eCommerce?

Las principales novedades introducidas por la Directiva PSD2 afectan a las Entidades Financieras, Pasarelas de Pago y consumidores.

Pero ciertamente, existe cierto impacto en los eCommerce, pues hasta ahora los métodos de pago electrónico estaban limitados a determinados proveedores de métodos y pasarelas de pago (por ejemplo, PayPal o Stripe), compañías de tarjetas de crédito y las entidades financieras, todo un recorrido lleno de intermediarios hasta que se realiza el cobro a la cuenta corriente del consumidor.

La Directiva PSD2 al simplificar el esquema y flujo de pagos impacta de dos maneras recurrentes en los eCommerce:

Sistema de Autenticación Reforzada del Cliente

El sistema de Autenticación Reforzada del Cliente (“SCA” por sus siglas en inglés) que obliga a emplear medidas de autenticación reforzada para la autorización de operaciones utilizando al menos dos de los siguientes elementos:

    • El conocimiento (algo que el usuario sabe) como, por ejemplo:
      • Contraseña.
      • Información personal.
    • La posesión (algo que el usuario tiene) como, por ejemplo:
      • Ordenador.
      • Teléfono móvil.
      • Documentación.
    • La inherencia (algo que el usuario es) como, por ejemplo:
      • Huella dactilar.
      • Reconocimiento facial.
      • Reconocimiento de voz.

Nuevos métodos de pago digitales

La irrupción de nuevos métodos de pagos digitales que puedan ser demandados por los usuarios o bien, útiles para el eCommerce. Comprendemos aquí todos los servicios ofrecidos por las novedosas Fintechs, como Bizum o UniversalPay, siendo servicios alternativos a las tradicionales pasarelas de pago.

La obligatoriedad del Sistema de Autenticación Reforzada

El nuevo paradigma de los pagos electrónicos que nace con la Directiva PSD2 implica que el sistema de Autenticación Reforzada del Cliente será de implementación obligatoria para los eCommerce desde el 1 de enero de 2021.

Ahora bien, no es responsabilidad de los eCommerce garantizar el cumplimiento de los requisitos técnicos y jurídicos del sistema de Autenticación Reforzada del Cliente, siendo el proveedor de servicios de pago quien deberá vigilar el cumplimiento de las condiciones operativas de la Directiva PSD2. 

Los propietarios del eCommerce deberán por obligación de la PSD2, verificar que los proveedores de servicios de pago que contratan e integran en sus comercios, cumplan con los requisitos de la Directiva. 

En definitiva, la Directiva PSD2 implica que tanto eCommerce como proveedores de pago deberán ajustar su operativa de pago al nuevo sistema de Autenticación Reforzada del Cliente.

No obstante, la Directiva PSD no afecta de igual manera a todos los métodos de pago ni transacciones electrónica, cómo, por ejemplo:

  • Domiciliaciones Bancarias: No necesitarán del sistema de Autenticación Reforzada del Cliente.
  • Transferencias inmediatas: La operativa de las transferencias inmediatas están basadas en
  • Paypal: Debido a la idiosincrasia única de Paypal, según el usuario seleccione el origen de los fondos (Domiciliación Bancaria, Tarjeta de Débito o Tarjeta de Crédito) será obligatorio o no el sistema de Autenticación Reforzada, siendo únicamente obligatorio en el caso de emplear tarjetas de débito por parte del Usuario.

La Directiva PSD2 también ofrece al Usuario relajar la obligatoriedad del sistema de Autenticación Reforzada del Cliente en os siguientes casos:

  • Pagos y transacciones inferiores a 30€. Estos no requerirán Autenticación Reforzada, pudiéndose realizar un máximo de 5 pagos al día de hasta 30€ o se llegue a la cantidad de 100€ en menos de 24 horas.
  • Compras desde dispositivos de confianza en los que se almacenen los datos de la tarjeta y se haya empleado con anterioridad el sistema de Autenticación Reforzada del Cliente, como por ejemplo, el uso de tarjetas digitales en el móvil a través de NFC.
  • El usuario podrá crear un sistema de Lista Blanca de sitios web de confianza en los que no será necesario pasar a través del sistema de Autenticación Reforzada.

¿Tengo que incluir alguna modificación en mis métodos de pago?

Los actores más afectados desde el lado de los pagos electrónicos por las novedades de la directiva PSD2 son tanto las Entidades Financieras como los proveedores de métodos de pago. Pero ello no libera a los eCommerce de asegurarse de cumplir con este nuevo marco legal.

Hay que asegurarse en primer lugar que las pasarelas de pago con tarjeta bancaria están adaptadas y cumplen con la Directiva PSD2. Comprobando que esté activo el Protocolo 3DSecure 2.0 en la pasarela de pago instalada en el eCommerce.

La siguiente obligación es comprobar que el proveedor de métodos de pago permita la aplicación del SCA (Autenticación Reforzada de Clientes). Tanto para el cliente como para el eCommerce, permitiendo así la agilización de los pagos.

En resumen, una mera actividad de comprobación de adaptación y cumplimiento de la Directiva PSD2 de las pasarelas de pago implementadas en el eCommerce.

Letslaw es un despacho de abogados con profesionales especializados en regulación referente a normativa de medios de pago, además de protección de datos, derecho digital y propiedad intelectual.

Las consecuencias de no cumplir con la Directiva PSD2

La implementación y cumplimiento de los requisitos operativos básicos a los que te obliga la Directiva PSD2, principalmente en cuanto al uso de proveedores de servicios de pago que implementen conforme a la Directiva el sistema de Autenticación Reforzada se hace fundamental desde el pasado 1 de enero de 2021. 

De lo contrario, los eCommerse se arriesgan a no poder realizar multitud de transacciones comerciales, pues las Entidades Bancarias pueden desde rechazar de manera automática los pagos de sus clientes hasta reembolsarle las cantidades automáticamente, exigiendo el reembolso posteriormente al eCommerce o al proveedor de sistema de pagos.

Letslaw es un despacho de abogados con profesionales especializados en regulación referente a normativa de medios de pago, además de protección de datos, derecho digital y propiedad intelectual.

Contáctanos

    Al pulsar en "Enviar" aceptas nuestra Política de Privacidad - + Información, para tratar tus datos con la finalidad de tramitar las consultas que puedas plantearnos.

    Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información