El pasado 14 de septiembre entró en vigor la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior (PSD2, por sus siglas en inglés “Payment Services Directive 2”), la nueva normativa europea que tiene como principal objetivo garantizar la seguridad de los pagos electrónicos y reducir al máximo el posible riesgo de fraude.

 

¿Qué es la PSD2?

Esta nueva Directiva, tiene como meta reforzar los niveles de seguridad a la hora de realizar pagos en electrónicos. La forma que tendrá de abordar estos nuevos niveles de seguridad es la obligación que tendrán los proveedores de servicios de pago de implementar medidas de autenticación reforzada de los consumidores, como explicaremos más adelante.

La Autoridad Bancaria Europea ya ha reconocido la complejidad de los mercados de pagos y ha dado un plazo transitorio a los operadores, que deberán adaptar sus sistemas a la nueva normativa.

En lo que respecta a España, el Banco de España está trabajando con las autoridades europeas al objeto de asegurar el debido cumplimiento de la Directiva y revisará los planes de migración que presenten los proveedores de servicios de pago como ha indicado en su comunicado del 11 de septiembre de 2019.

 

Las implicaciones legales de la directiva PSD2

La PSD2 introduce importantes novedades como el concepto de “open banking” o la aparición de nuevas modalidades de pago online más rápidas y seguras.

Gracias a este nuevo concepto nacen nuevos operadores en el mercado que prestarán nuevos servicios en el mismo. En concreto, los nuevos servicios que se desarrollarán según lo establecido en la nueva Directiva serán los siguientes:

  • El “servicio de iniciación del pago” como servicio que permite iniciar una orden de pago, a petición del usuario del servicio de pago, respecto de una cuenta de pago abierta con otro proveedor de servicios de pago.
  • El “servicio de información sobre cuentas” como un servicio en línea cuya finalidad consiste en facilitar información agregada sobre una o varias cuentas de pago de las que es titular el usuario del servicio de pago bien en otro proveedor de servicios de pago, bien en varios proveedores de servicios de pago.

En definitiva, la implementación de este sistema aumentará la competencia entre los proveedores y, en consecuencia, la capacidad de ahorro del consumidor, la agilidad de sus pagos y el control sobre sus gastos. Además, en cuanto a los retos de implantación, no resultan claras las condiciones en las que los bancos deberán dar acceso a las cuentas a terceros y, en concreto, el alcance de la información que deberán proporcionar a los mismos.

 

Las implicaciones tecnológicas de la PSD2

La autentificación reforzada o SCA (por sus siglas en inglés, Strong Costumer Authentication) implica que los consumidores deban autorizar todos los pagos electrónicos utilizando dos o más factores de autenticación. Dichos factores deberán basarse en:

El conocimiento (algo que el usuario sabe) como, por ejemplo:

  • Contraseña.
  • Información personal.

La posesión (algo que el usuario tiene) como, por ejemplo:

  • Ordenador.
  • Teléfono móvil.
  • Documentación.

La inherencia (algo que el usuario es) como, por ejemplo:

  • Huella dactilar.
  • Reconocimiento facial.
  • Reconocimiento de voz.

Por tanto, lo operadores de servicios de pago deberán utilizar dos o más de los elementos especificados más arriba para permitir a los usuarios una autenticación reforzada. De esta forma, podrán cumplir con los objetivos buscados por la nueva Directiva en lo que respecta a la prevención de fraude en los pagos realizados a través de internet.

Letslaw es un despacho de abogados con profesionales especializados en regulación referente a normativa de medios de pago, además de protección de datos, derecho digital y propiedad intelectual.