Subscribe Us

SOCIEDAD. Entra en vigor la nueva Directiva europea de pagos electrónicos (PSD2)

 


La Directiva (EU) 2015/2366 de servicios de pago, es una normativa europea que refuerza la seguridad de los pagos electrónicos en la UE, incluidos los pagos online y los pagos móviles, y regula el acceso a nuestros datos bancarios por parte de terceros. Entra en vigor a partir del 1 de enero de 2021.

LAS CLAVES

1. La PSD2 armoniza el mercado europeo de los pagos electrónicos, refuerza los derechos de los consumidores y les permite dar permiso a otras empresas para que accedan a sus datos bancarios. Además, introduce nuevas medidas para fortalecer la seguridad de los pagos online, como la autenticación en dos pasos. 

2. La PSD2 no solo afecta a los bancos y cajas, sino también a los comercios online, a los usuarios y, como gran novedad, a dos nuevos actores que la nueva normativa pretende regular: los servicios de información sobre cuentas (AISP) y los servicios de inicio de pagos (PISP).

La PSD2 trata principalmente sobre dos bloques, el acceso a los datos bancarios de los consumidores por parte de terceros (otros bancos o compañías fintech) y los pagos electrónicos. Además, también agiliza los plazos para resolver conflictos entre consumidores y entidades.

3. Con la PSD2, gestionar nuestras finanzas personales va a ser más sencillo. La directiva busca abrir el mercado de la UE a nuevas empresas, entre ellas a aquellas que ofrezcan un servicio de información sobre cuentas. El objetivo es que podamos gestionar nuestras finanzas de una forma más sencilla y que podamos consultar desde una sola web o app los gastos, los ingresos y el saldo de las distintas cuentas a nuestro nombre. Esta innovación puede llevarse a cabo gracias al Open Banking, que libera los datos personales de los clientes para que otras compañías puedan acceder a ellos.




LOS PAGOS ELECTRÓNICOS

1- Autenticación en dos pasos o autenticación reforzada del cliente. No solo cambia la forma de realizar nuestras compras por Internet o cómo accederemos a la banca online, sino porque supone un desafío tecnológico para el que muchos pequeños y medianos comercios.


Ni tarjetas de pago ni tarjetas de coordenadas son válidas. Hasta ahora, para validar una operación muchas veces bastaba con introducir los datos de una tarjeta (nombre del titular, número, fecha de caducidad y CVV) o un código de una tarjeta de coordenadas. Sin embargo, ninguno de los dos elementos anteriores cumple con el sistema de autenticación reforzada, por lo que ya no serán válidos para verificar la identidad del cliente.

Excepciones en las que no se tendrá que usar la autenticación reforzada:

Pero ¿será cómodo recurrir constantemente a este sistema? La PSD2 ha concebido una serie de excepciones, reguladas mediante el Reglamento Delegado (UE) 2018/389, en las que no será necesario usar la autenticación reforzada del cliente.

  •  Acceso a una cuenta corriente en línea cuando solo se pueda consultar el saldo y los movimientos de los últimos 90 días.

  •  Pagos electrónicos remotos de hasta 30 euros, siempre y cuando no se haya acumulado un importe de más de 100 euros por este medio desde la última vez que se solicitó la autenticación en dos pasos o no se hayan hecho más de cinco operaciones seguidas.

  •  Pagos contactless por un importe de hasta 50 euros, siempre y cuando no se haya acumulado un importe de más de 150 euros por este medio desde la última vez que se solicitó la autenticación en dos pasos o no se hayan hecho más de cinco operaciones seguidas.

  •  Pagos en terminales no atendidos para el abono de tarifas de transporte (peajes, etc.) o aparcamientos.

  •  Operaciones recurrentes con el mismo importe y el mismo beneficiario (cuotas regulares de servicios como Netflix o HBO).

  •  Pagos a beneficiarios incluidos por el cliente en una lista de confianza.

  •  Transferencias cuando el emisor y el receptor sean la misma persona y ambas cuentas estén en la misma entidad.

  •  Pagos electrónicos por parte de personas jurídicas a través de procesos y protocolos de pago corporativos seguros.

  • Operaciones de pago electrónico remotas con bajo nivel de riesgo.


2- Menos responsabilidad para el usuario ante pagos fraudulentos

En caso de pagos no autorizados, nuestra responsabilidad se reduce de 150 a 50 euros. Hasta ahora, si perdíamos nuestra tarjeta y alguien la usaba sin nuestro consentimiento, los primeros 150 euros gastados hasta que notificábamos el incidente y cancelábamos la tarjeta corrían de nuestra cuenta. Ahora, con la PSD2, serán solo los primeros 50 euros.

3- Derecho a que nos devuelvan el dinero

Otro derecho que nos beneficia como consumidores y que añade la PSD2 es el “derecho al reembolso incondicional para débitos directos en euros”. En resumidas cuentas, cuando una operación de pago autorizada no especifique en la autorización el importe de la operación o dicho importe supere lo que podríamos esperar, teniendo en cuenta nuestra pauta de pagos anterior, tendremos derecho a que el proveedor de servicios de pago nos devuelva el dinero.

4- Adiós a los recargos por pagar con tarjeta

La PSD2 elimina los sobrecostes por pagar con tarjeta de crédito o de débito algo que, en realidad, hace tiempo que en España ya no se práctica. Antes era habitual que ciertos sectores, por ejemplo algunas compañías aéreas, cobrasen un extra por pagar con tarjeta, pero es algo que ya no se ve y menos ahora con la entrada en vigor de la nueva PSD2.

5- Pagos electrónicos más sencillos con los PISP

Otra de las grandes novedades de la PSD2 es la reducción de intermediarios a la hora de hacer una compra online, gracias a los servicios de inicio de pago, conocidos por sus siglas en inglés como PISP (Payment Initiation Services Provider).

Hasta ahora, al realizar un pago por Internet entraban en juego muchos actores: el comerciante, el banco, la plataforma de pagos y la compañía de la tarjeta (VISA, Mastercard…). Ahora, la comunicación podrá ser directa entre el comercio y el banco. Los PISP ofrecerán la tecnología necesaria para conectar los bancos con los comercios y permitirán que un comercio solicite directamente a nuestro banco que le transfiera el dinero que le debemos, siempre y cuando hayamos autorizado antes la operación.

6- Registro público de todas las instituciones de pago

La normativa refuerza las funciones de la Autoridad Bancaria Europea. Una de las novedades más interesantes es la creación de un registro público en el que aparecerán todas las instituciones de pago autorizadas, por lo que si desconfiamos de alguna, podremos comprobar si aparece en el registro.


RECLAMACIONES

La PSD2 establece que los proveedores de servicios de pago deben implantar procedimientos que sirvan para resolver las reclamaciones de sus usuarios. Según la normativa, el servicio de atención al cliente tendrá la obligación de resolver las quejas recibidas en un plazo máximo de 15 días hábiles y la respuesta deberá remitirse al cliente en papel o en otro soporte duradero si así lo pacta la empresa y el cliente. 

No obstante, la PSD2 recoge la posibilidad de que, "en situaciones excepcionales", el plazo se alargue a 35 días hábiles. Eso sí, en ese caso el proveedor de servicios de pago tendrá que enviar al usuario una respuesta provisional en la que especifique por qué se ha retrasado la resolución de su queja e indique cuándo enviará la respuesta final.

La obligación de responder a las reclamaciones sobre servicios de pago en 15 días hábiles afecta no solo a los bancos, sino también a las compañías fintech.


ACCESO A LA BANCA ONLINE

Hasta ahora, cuando queríamos acceder a nuestra cuenta corriente por Internet (desde la web del banco), solo necesitábamos introducir un usuario y una contraseña o, si lo hacíamos desde el móvil, recurrir a nuestra huella dactilar o al reconocimiento facial. Rápido y sencillo. Sin embargo, la directiva PSD2 complica este proceso. La autenticación reforzada, de la que hemos hablado más arriba, también afecta al acceso a la banca online, por lo que una vez entre en vigor la normativa (oficialmente el 14 de septiembre), se necesitará un paso extra para acceder a una cuenta corriente por Internet, con el objetivo de reforzar la seguridad.

El primer paso para acceder a la banca online seguirá siendo el mismo que hasta ahora: usuario (normalmente el DNI) y contraseña o identificación mediante huella o reconocimiento facial. En cuanto al segundo paso, la banca se ha decantado por dos soluciones:

  •  Opción 1 (la más popular): código de validación recibido por SMS.

  •  Opción 2 (la menos popular): notificación integrada en la aplicación del banco.

Sea cual sea la opción utilizada por el banco, a partir de ahora será imprescindible disponer de un smartphone para acceder a la banca online, ya que o bien se tendrá que recibir un código por SMS o bien aceptar una notificación integrada en la app del banco. No obstante, la mayoría de los bancos solo obligarán a introducir el segundo factor de autenticación la primera vez que se acceda a la banca online tras el 14 de septiembre y una vez cada 90 días.

SMS o 'app': ¿cuál es la mejor opción?

A falta de conocer la estrategia que seguirán todos los bancos con la entrada en vigor de la PSD2, las entidades españolas se han dividido entre aquellas que cumplirán el sistema de autenticación reforzada con el envío de un código por SMS y aquellas que obligarán a sus clientes a tener instalada la app del banco para recibir notificaciones. Pero ¿qué opción es mejor?

A simple vista, los SMS son la opción menos intrusiva para el cliente, ya que no le obliga a descargar ninguna aplicación, solo a informar a la entidad de su número de teléfono, algo que ya hacemos al contratar una cuenta corriente. Además, recibir un SMS es gratuito y cualquier teléfono móvil, por muy antiguo que sea, los acepta. Eso sí, se trata de un canal menos seguros que las aplicaciones.

Por el contrario, al obligar al cliente a descargar una app, se gana en seguridad, pero hay inconvenientes para el usuario:

  •  El smartphone debe soportar las últimas versiones de las aplicaciones bancarias, algo que no ocurre si es antiguo

  •  El smartphone debe tener espacio suficiente para descargar y tener instalada la app

  •  Es necesario tener conexión a Internet cada vez que se quiera operar

  •  Se consumen datos al tener activa la aplicación, salvo que se use wifi



Teniendo una e-commerce ¿qué hay que hacer para cumplir con la directiva PSD2 en España?

Realmente solo debes revisar la forma de pago con tarjeta bancaria, ya que para pagar en muchos sitios basta con introducir el número de tarjeta y el código CVC. Esta forma de pago solo incluye una autorización, pero ahora la nueva directiva exige una segunda autenticación. 

Por eso, te aconsejamos que acudas a tu banco y actives 3DSecure en tu comercio electrónico. Luego deberías dar tus datos de SCA (Strong Customer Autenthication) a tu colaborador de desarrollo web para revisar si es necesario modificar algo de tu proceso de compra. 

Dependerá de si cuentas o no con pasarelas de pago que estén adaptadas ya a la PSD2 y del tipo de gestor de contenido en el que esté alojada tu ecommerce.

Si cuentas con pasarelas de pago como Stripe o Paypal, este traspaso de datos de SCA se hace de forma automática y lo más seguro es que no necesites hacer ninguna modificación.

Si por otro lado tienes tu propio equipo de desarrollo pero no utilizas pasarelas de pago adaptadas a la directiva, tendrás que cambiar el protocolo y crear campos obligatorios para así capturar los datos SCA y pasarlos al proveedor.

Y si además de no tener pasarelas de pago adaptadas, tampoco tienes tu propio equipo de desarrollo y trabajas con algún gestor de contenidos tipo Woocommerce, Prestashop o Magento, los carros de compra deben recoger automáticamente los SCA. 

Referencias: las principales fuentes de información de este artículo son la directiva europea 2015/2366 (la PSD2), el Reglamento Delegado (UE) 2018/389 que regula la autenticación reforzada del cliente y el dictamen del 21 de junio de la EBA.

Publicar un comentario

0 Comentarios