La PSD2 tiene como objetivo crear nuevas opciones de pago para el e-commerce y, por otro lado, fortalecer la seguridad en los pagos online.

Antes de comenzar, tendremos que saber qué es el comercio electrónico, en que consiste y cuales son sus necesidades especiales en cuanto a pagos, etc.

La PSD2 se trata de una nueva directiva europea de servicios de pago, la cual entró en vigor el pasado 14 de septiembre de 2019.

Con esta directiva se busca regular los pagos digitales realizados tanto a través de banca tradicional como de las nuevas forma de pago fintech. De esta forma se regularán los requisitos de transparencia e información en los servicios de pago. Además de dar nuevos derechos y obligaciones a los usuarios y proveedores de estos servicios.

La primera vez que escuchamos hablar de la directiva PSD fue en 2007, que tenía como objetivo crear un único marco de pagos en la UE, y así impulsar la competencia. Pero con el paso del tiempo, y la aparición de las FinTech, hubo que actualizar la directiva para regular a estos nuevos actores también.

Entonces llegó la PSD2 para subsanar esta situación. Esta Directiva pretende estimular la competencia en el mercado de servicios de pago electrónico. Han surgido dos nuevas figuras, sobre las que la nueva normativa PSD2 quiere hacer incapie. Hablamos de los PISP (Payment Initiation Service Provider) y los TPPs (Third Party Provider):

PISP (Payment Initiation Service Provider)
Los Proveedores de Servicios de Iniciación de Pagos serán un intermediario entre los compradores y los vendedores, es decir entre las personas y empresas, que realizarán una transferencia bancaria sin tener que introducir de forma manual ningún dato de pago.

Esto significa, en realidad, que cuando vayas a realizar una compra online no tendrás que utilizar tarjeta de crédito o medios de pago como Paypal. Únicamente tendrás que logearte en tu banco tal y como harías cuando entras en tu cuenta, y ya está.

En definitiva, lo novedoso y útil para los e-commerce es que ahora van a poder cobrar sin ir a una pasarela de pago externa.

AISP (Account Information Service Provider)
Los Proveedores de Servicios de Información de Cuentas lo que nos permiten, como usuario, es poder acceder desde el mismo sitio a todos los datos de nuestras cuentas bancarias.

Seguramente te suenen apps como como Fintonic o Mooverang, que aparecieron hace unos años ofreciendo esto mismo a sus usuarios, para poder analizar tus gastos o conocer de primera mano los diferentes cargos que te hacían en tus cuentas.

Aparentemente no tiene mucha miga, pero por ejemplo, si en un futuro solicitas un préstamo online, dichos actores podrían conocer tu estado financiero y evaluar en tiempo real si aprueban o rechazan tu petición, por supuesto, con tu consentimiento.

En este enlace puedes leer toda la información oficial al respecto de la nueva normativa.

Cuándo entra en vigor la directiva PSD2

La Directiva PSD2, se aprobó y se hizo vigente en Enero de 2016. Dicha normativa contó con un margen de dos años para implantarse en la legislación de los estados miembros de la U.E. En cualquier caso, algunas normas relacionadas con la autenticación de los usuarios y la seguridad en las comunicación entraron en vigor a posteriori, en septiembre de 2018. Y finalmente, la implementación de toda la directiva, no ha sido obligatoria hasta el 14 de Septiembre de 2019.

Como mencionamos arriba, uno de los factores en los que hace incapié esta nueva normativa es el aumento de la seguridad a la hora de hacer pagos online. Ahí es donde entra el estándar SCA (Secure Customer Authentication), que intentará evitar cualquier fraude o suplantación de identidad del comprador. Esto lo podremos conseguir haciendo una doble autenticación del usuario. Así que tendremos que aportar dos de estas tres opciones:

  • Aportando un dato personal (DNI, número de teléfono)

  • Dando un dato secreto sólo conocido por ti (Contraseña, PIN, una respuesta…)

  • Reconocimiento biométrico (reconocimiento facial, huella dactilar…).

Esta nueva normativa afecta principalmente a las empresas financieras, tanto banca tradicional como fintech, y a los e-commerce. Por ejemplo, los bancos a partir de ahora están obligados a facilitar cualquier información o pago a los nuevos proveedores financieros, esto es lo que se ha denominado “Open Banking”. De esta manera, los nuevos proveedorees podrán ofrecer servicios más cómodos y sencillos a los usuarios.

Como usuario, nos afecta, básicamente, de forma positiva ya que aumentarán nuestros derechos.

Transparencia

La Directiva PSD2 establece que los usuarios deberán tener acceso a toda la información sobre sus gastos, condiciones, plazos… de forma gratuita.

Rescisión

Los usuarios, a partir de ahora, podrán rescindir los contratos sin preaviso, a no ser que se haya firmado lo contrario previamente. Y, en cualquier caso, el preaviso no podrá ser superior a un mes. Otro dato nuevo es que dicha rescisión siempre será gratuita, excepto si el contrato ha sido inferior a 6 meses.

Enmienda de operaciones no autorizadas

Si se producen operaciones no autorizadas, a partir de ahora, la Directiva PSD2 obliga a la empresa prestadora de servicios de pago a rectificarlas de forma inmediata siempre y cuando el usuario lo solicite.

Por otro lado, si, por ejemplo, el usuario había autorizado un pago pero la cuantía es superior a la esperada y en la autorización no se especificaba cual iba a ser la cantidad, también se podrá solicitar dicha rectificación. En caso de discordia con la empresa prestadora de servicios, está será la encargada de demostrar que la operación fue autorizada de forma correcta.

Autenticación reforzada

Como hemos explicado previamente, esta fórmula obliga a realizar una doble autenticación al realizar cualquier pago. De esta forma, habiendo dos elementos totalmente independientes, no habrá forma de amenazar la seguridad de ambos.

No todos los proveedores están obligados a aplicar la SCA, pero, para ello tendrán que cumplir algunos requisitos y siempre que no haya sospechas de posible fraude. Estas son las excepciones contempladas por la Normativa:

  • En los TPV con contactless, podrán hacerlo hasta en 5 operaciones seguidas, siempre y cuando el gasto sea inferior a 150 € en total y ninguna de las transacciones supere los 50 € de forma individual.

  • En los TPV no atendidos, como peajes y parkings.

  • Si el beneficiario del pago está incluido por el ordenante del pago en una lista de “favoritos” y se cumplen los requisitos de autenticación general.

  • Cuando un ordenante haga operaciones recurrentes hacia un mismo destinatario y de un mismo importe (ej: pago de un alquiler mensual) y se cumplen los requisitos de autenticación general.

  • Cuando sean transferencias entre dos cuentas de la misma persona (ya sea física o jurídica) y de la misma entidad.

  • Hasta en cinco veces de forma consecutiva que el ordenante haya pagado por internet, siempre que no se supere en conjunto el importe de 100 euros ni ninguna operación independiente supere los 30 euros.

  • Si una personas jurídicas emplea protocolos especiales de pago que no estén disponibles para los consumidores pero que convenzan a las autoridades en cuanto a su seguridad.

En cualquier caso, podemos leer la directiva completa referente a la SCA pinchando aquí.

Si tienes un e-commerce puedes estar tranquilo. Esta Normativa, como quizá ya te hayas dado cuenta, afecta principalmente a las entidades financieras. Así que, lo único que tendrías que hacer como propietario de una tienda online es asegurarte que las formas de pago que tengas en tu e-commerce cumplan con la normativa SCA de donde autenticación.

Las pasarelas de pago como Paypal, lo tienen de forma predefinida y no tendrás que hacer nada. Pero, los pagos con tarjeta, dependerán de tu banco y es probable que en algunos casos tengas que activar 3DSecure en tu banco.