Con el 2021 llega, de manera obligatoria, una nueva forma de pagar en Internet a raíz de la Directiva para los Servicios de Pago (Payment Services Directive – PSD2). Los cambios en las compras de productos a granel o por peso y la doble autentificación de los usuarios pretende dar más garantías tanto a los consumidores como a las empresas. En este artículo te contamos qué es exactamente la PSD2, cómo resuelve situaciones de duda en las ventas de productos a granel, cómo cambiará la manera de pagar en Internet y quién decide qué elementos de identificación deben aportar los usuarios.
Qué es la PSD2
La Directiva para los Servicios de Pago (Payment Services Directive – PSD2), lanzada en 2007 y revisada en 2013 —de ahí el “2”—, nació con el objetivo de desarrollar un mercado único de pagos en la Unión Europea y unificar el sistema de servicios de pago electrónico entre países, bancos y proveedores de servicios de pago. Esta ley, transformada en normativa en España a través del Real Decreto-ley 3/2020 de 4 de febrero, ha entrado progresivamente en vigor, pero las diferentes entidades tenían un plazo, que acaba el 31 de diciembre de 2020, para adaptarse a ella.
Esto se sustenta, entre otros muchos aspectos, en dos cambios que protegen a comerciantes y consumidores:
- 1. Para procesar cualquier pago a partir de esta fecha, será obligatorio que las entidades refuercen la seguridad, exigiendo a los clientes al menos dos formas de autenticación cuando realiza una compra online.
- 2. Se regulará la venta de productos a granel o al peso.
1. Cuando no está claro el precio final: el caso de las ventas al peso o granel
La aplicación de la PSD2 en el comercio electrónico se ajusta como un guante a casi todas las situaciones. En ese “casi” entran aquellos productos frescos que se venden al corte o a granel, ya que, a partir de ahora, la tienda no podrá cobrar un importe mayor al autorizado por el cliente.
Al comprar unos zapatos o un televisor, esto no da problemas porque el importe no cambia entre la solicitud del producto y su envío. Pero la cosa varía si hablamos de mercancías en las que el precio depende de su peso, si pesan unos gramos más o menos o se sustituye por otro producto.
En estos casos, ante la imposibilidad de concretar un importe exacto en el momento de la compra online, se le solicitará al cliente la autorización de un pequeño porcentaje: por ejemplo, un 5 % adicional al importe del ‘total carro’. Si se producen pequeñas variaciones en el precio total a cobrar el di?a de la entrega, esto permitirá a la tienda poder ajustar el precio tras el pesado y calcular el importe real de la compra sobre la base del pedido para luego tramitar el pago real según el peso exacto de los productos entregados.
¿Esto significa que comprar estos productos nos saldrá siempre más caro?
No, en absoluto. Vamos a seguir pagando exactamente lo que compramos. No estamos autorizando al comercio a hacer una reserva de dinero o a cobrarnos por adelantado algo que nos devolverán después. Es tan solo una autorización con la que nos aseguramos que el comercio puede servirnos lo que hemos pedido, incluso si la cantidad (y, por tanto, el precio) varía ligeramente.
Es decir, no se cobrara? nada hasta el día de la entrega del pedido y el importe cobrado será el correspondiente a la cantidad entregada. Es un mecanismo que establece que ninguna de las partes se encuentre con la desagradable sorpresa de cargar con un coste que no le corresponde.
Un ejemplo para entender cómo funciona
Pongamos por caso que pedimos un yogur y 2 kilos de manzanas a un supermercado online:
- El precio del yogur es de 1 euro y, como está fijado por unidad, no varía.
- El precio de las manzanas es de 2 euros por kilo, pero, este caso, es casi imposible acertar con el peso exacto del pedido. Los gramos de diferencia repercuten en el ajuste de unos céntimos en el precio, de la misma forma que cuando las compramos en la sección de frescos de nuestro supermercado.
Imaginemos que, al preparar nuestra cesta, el peso final de las manzanas es de 2,1 kilos. Así se lo encontrará el usuario:
? Pedido formalizado (momento en el que el cliente realiza en pedido online):
- Yogur sabor fresa, unidad: 1 euro
- Manzana al peso (2 kg): 4 euros
- TOTAL: 5 euros
- Incremento 5 %: 0,25 euros
- TOTAL A AUTORIZAR: 5,25 euros
? Pedido a cobrar (momento en el cliente recibe el pedido y realiza el pago):
- Yogur sabor fresa, unidad: 1 euro
- Manzana al peso (2,1 kg): 4,2 euros
- TOTAL: 5,20 euros
Imagen: Eroski Consumer
2. Cómo cambiará la forma de pagar con tarjeta en Internet y dónde
Además del cambio en el pago de productos al peso o a granel, con la PSD2 nos beneficiaremos de un comercio online mucho más seguro dentro de la UE. Hasta ahora, cada país tenía su propia normativa y, además, cada banco o proveedores utilizaban sus propios sistemas, más o menos seguros, para autentificar la identidad del usuario.
En la práctica, para comprar por Internet solo era necesario aportar datos como el nombre del titular y el número de tarjeta, la fecha de caducidad y el código CVV (los tres dígitos que aparecen detrás de la tarjeta), y recibíamos un código SMS en el móvil para autorizar la operación. Esto provocaba que, si alguien nos robaba esos datos o daba con el usuario y contraseñas de nuestra cuenta bancaria, podría realizar compras en nuestro nombre al instante de manera fraudulenta o, incluso, hacer transferencias.
Con esta nueva normativa, es obligatorio que el usuario se identifique dos veces. Es la llamada autenticación en dos pasos (2FA – Two Factor Autentication) o autenticación reforzada del cliente, tanto para los pagos online como para acceder a nuestro banco.
Los sistemas 2FA, que ya se llevan utilizando y desarrollando desde hace años en muchos servicios online, se basan en que es necesario aportar en cada operación dos de los tres elementos que permiten garantizar, inequívocamente, la identidad del usuario:
- Algo que solo conozca el usuario (elemento de conocimiento). Por ejemplo, una contraseña, un código pin o una frase o preguntas cuya respuesta solo sabe el usuario. Quedan descartados elementos como un correo electrónico, el nombre del usuario o los datos de una tarjeta (número, fecha de caducidad o CVV).
- Algo que solo tenga el usuario (elemento de posesión). Serían válidos un teléfono móvil en el que podamos recibir un SMS con un código de un solo uso, una tarjeta o dispositivo cuya posesión se demuestre a través del escaneo de un código QR o una tarjeta leída por un lector de tarjetas. No serán válidos elementos como una aplicación móvil, los datos de la tarjeta o una tarjeta de coordenadas.
- Algo que forme parte del usuario (elemento inherente). Hablamos de las características biométricas del usuario que permiten su identificación: iris o retina, huella dactilar, patrón de venas, reconocimiento de voz, geometría de cara y manos o dinámica de escritura. Esta definición excluye el patrón de deslizamiento por teclas como el que se utiliza para desbloquear algunos smartphones.
¿Quién decide qué elementos de identificación hay que aportar?
El banco o entidad emisora de tu tarjeta o sistema de pago online es el responsable de establecer qué dos factores serán los que, como mínimo, se van a solicitar. A tenor de la tendencia y lo anunciado por la mayoría, si bien el móvil no es necesariamente obligatorio, será el dispositivo protagonista y recomendado para autorizar los pagos online.
La situación más habitual que nos encontraremos al comprar en cualquier web o aplicación será que, tras meter los datos de nuestra tarjeta, pasaremos a un entorno seguro que se genera entre el comercio y el banco donde se nos solicitará un código, que nos llegará bien por SMS o a través de una notificación de la app de nuestra entidad. Esto puede que se sume, o se sustituya si nuestro móvil lo permite, por la identificación biométrica (huella dactilar, reconocimiento facial, iris…) mediante los sensores del dispositivo.
El sistema, de esta manera, garantiza que, aunque perdamos o nos roben los datos de la tarjeta o incluso las claves, será imposible que los puedan utilizar para comprar o entrar a nuestros datos bancarios a través de Internet, ya que el impostor nunca recibirá el código o aportará un perfil biométrico válido.
La directiva tiene también otras ventajas para el usuario y consumidor ya que, en caso de disputa, el suministrador del servicio de pago es el que tendrá que demostrar que la operación se ha realizado contando con la pertinente autorización y que su ejecución ha sido la correcta. Por otra parte, se limita la responsabilidad de los usuarios que sean víctimas de operaciones fraudulentas a solo 50 euros, frente a los 150 euros que había que asumir de coste hasta ahora.
Yo nunca uso tarjeta, ¿afecta la directiva a servicios como PayPal, Apple Pay, AliPay y similares?
La PSD2 quiere crear un marco homogéneo y de competencia justa en el mercado de pagos europeo. De esta manera, los bancos ahora ya están obligados a abrir sus sistemas para colaborar con terceros –lo que se ha denominado «Open Banking»–, y los proveedores de servicios de pago como PayPal, Apple Pay, Google Pay o AliPay también están obligados a proteger los pagos de los usuarios con sistemas de 2FA, y no solo con un simple nombre de usuario y contraseña. Además, también deben aportar entornos seguros a los comercios que aceptan su medio de pago y asumir las nuevas responsabilidades y consecuencias que marca la ley para su negocio ante posibles negligencias y fraudes.
¿Hay algún pago que se quede fuera de este sistema?
La PSD2 cuenta con algunos supuestos en los que puede que no exista la necesidad de dos sistemas de autentificación para realizar pagos online, o al menos, no en todas las ocasiones. Ahora bien, será el banco del titular de la tarjeta el que decida si acepta o no una exención de entre las siguientes:
- Importes inferiores a 30 euros, aunque cada cinco veces se nos volverá a solicitar la autenticación.
- Suscripciones de importe fijo: por ejemplo, al suscribirnos a servicios como Netflix que nos cargan mensualmente su cuota. En este caso, solo será necesaria la aportación de la doble autenticación del usuario una vez.
- Transacciones iniciadas por el comerciante: por ejemplo, cobros de pagos atrasados, suscripciones con importe variable o facturación de extensiones siempre autorizados por el usuario en primera instancia.
- Ventas telefónicas.
- Pagos corporativos.
- Entidades de confianza: se podrá establecer una “lista blanca” de empresas de confianza ante los bancos o proveedores de pagos para que no haya que autenticarse en compras futuras.
Comprar en Internet dentro de la Unión Europea, en definitiva, será mucho más seguro y fiable a partir de 2021. Y es importante este matiz para finalizar, ya que la PSD2 y las leyes que derivan de ella son de aplicación para los países miembros y los bancos y proveedores que operan dentro de ellos. Si usamos medios de pago externos o compramos en una web que no está localizada dentro de la Unión Europea, no se podrá garantizar el mismo nivel de seguridad.