La PSD2 lleva semanas acaparando titulares de prensa y siendo el centro de la correspondencia bancaria. De hecho, es probable que muchas personas se hayan enterado de su existencia gracias al esfuerzo que han dedicado las entidades en que memoricemos las siglas de la Payment Services Directive 2 a base de correos electrónicos y de notificaciones en sus apps. Pero ¿cómo nos afecta en realidad esta directiva europea sobre medios de pago vigente en España desde el pasado 14 de septiembre? En este artículo explicamos las principales novedades que incorpora la PSD2 y qué efectos tendrá en nuestro día a día.
1. Autenticación reforzada del cliente
Uno de los principales objetivos de la PSD2, cuyo nombre oficial es Directiva (UE) 2015/2366, es reforzar la seguridad de los pagos electrónicos y de la banca online. Para lograrlo, la normativa ha introducido un nuevo sistema para verificar la identidad de los usuarios: la autenticación reforzada del cliente. Este mecanismo obliga a los proveedores de servicios de pago, bancos incluidos, a autenticar la identidad de un cliente combinando al menos dos de los siguientes tres elementos:
- Algo que solo sepa el cliente como, por ejemplo, una contraseña o un código PIN.
- Algo que solo posea el cliente como, por ejemplo, un teléfono móvil.
- Algo que forme parte del cliente como, por ejemplo, su huella dactilar o su retina.
Aunque este sistema afecta a los pagos electrónicos, de momento solo se aplica a la banca por Internet. Y es que el Banco de España ha aprobado una prórroga que será de entre 12 y 18 meses (aún no se ha concretado el plazo) para que los proveedores de servicios de pago y los comercios electrónicos desarrollen toda la tecnología necesaria para su implementación en los pagos virtuales.
Así, desde el pasado 14 de septiembre hay que usar dos factores de seguridad para operar por la banca online. La mayoría de las entidades ha optado por combinar el usuario y la contraseña habituales con un código recibido por SMS o una notificación enviada a través de la app del banco que se debe confirmar. En la práctica, esto se traduce en que ahora es obligatorio disponer de un teléfono móvil para operar a través de Internet y, en algunos casos, hasta es preciso instalar la aplicación de la entidad.
2. Pagos electrónicos más seguros y sin tarjeta
Las compras que se realicen por Internet no tendrán que aplicar todavía la autenticación reforzada, pero ya se saben dos cosas para validar una compra online: no se podrá usar la tarjeta de coordenadas y el número y el código CVV de la tarjeta de débito o crédito no servirán como elemento de seguridad. Así que, además de introducir los datos del «plástico» para hacer una adquisición, se tendrá que recurrir a otros dos elementos de seguridad.
Asimismo, la normativa europea reduce la cantidad de intermediarios necesarios para abonar una compra por la Red. Ahora, gracias a los PISP (proveedores de servicios de inicio de pago), la comunicación podrá ser directa entre el banco y el comercio.
Por otra parte, la PSD2 permitirá que podamos pagar una compra por Internet usando los datos de nuestra cuenta corriente, en lugar de utilizar los de una tarjeta, la opción más habitual hasta ahora. Algunos comercios electrónicos ya han añadido esta opción.
3. Pagos contactless limitados
Las compras que abonemos con tarjeta en un comercio a pie de calle se seguirán validando como hasta ahora: introduciendo la tarjeta dentro del datáfono y tecleando el código PIN. Pero ¿qué ocurre con los pagos contactless que no requieren ningún tipo de validación? ¿No contradicen el sistema de autenticación reforzada? Sí, pero es una excepción ya contemplada en la directiva PSD2.
Los pagos contactless se podrán seguir haciendo sin necesidad de introducir el PIN cuando la adquisición sea inferior a 20 euros. Pero la normativa fija unos nuevos límites: cuando se realicen cinco compras consecutivas sin PIN o el importe acumulado de las transacciones sin contacto supere los 150 euros, en la siguiente será necesario teclear el código.
4. La tarjeta de coordenadas ya no sirve
Ni para autorizar una operación por la banca online ni para validar una compra por Internet, la tarjeta de coordenadas ya no sirve para operar por canales digitales. La razón de que las entidades estén comunicando a sus clientes que jubilan estos «plásticos» es el hecho de que la Autoridad Bancaria Europea (ABE) no reconoce estas tarjetas como elemento de seguridad, por lo que ya no valdrán para autenticar la identidad del cliente por la Red.
5. Más protección en caso de fraude
Otra novedad de la PSD2 es que se limita la responsabilidad de los clientes que sufran un pago no autorizado. Ahora, solo correrán a cuenta del usuario los primeros 50 euros gastados de manera fraudulenta hasta que se notifique la incidencia al proveedor de servicios de pago, mientras que antes esa cifra ascendía a 150 euros.
6. Control de datos y open banking
A partir de ahora, los clientes bancarios tendremos el control de nuestros datos y podremos compartirlos con terceros si lo consideramos oportuno, es decir, podremos dar permiso a terceras empresas para que accedan a los datos que custodia nuestro banco. Este proceso es posible gracias al modelo de «open banking« que está implantando el sector y al uso de interfaces de programación de aplicaciones, conocidas como API.
Gracias a la PSD2 podemos autorizar, por ejemplo, a un agregador financiero a que recopile los datos de nuestras cuentas corrientes, con el fin de que en una sola plataforma podamos consultar el saldo y los movimientos de todas nuestras cuentas. Precisamente, uno de los objetivos de la directiva europea es aumentar la competitividad del mercado europeo de pagos electrónicos con la entrada de nuevos actores como los proveedores de servicio de información sobre cuentas, llamados AISP, entre los que destacan los agregadores financieros.