Todo lo que hay que saber de la PSD2
PSD2 es una regulación europea sobre servicios de pagos electrónicos. Su objetivo es aumentar la seguridad de los pagos en Europa, promover la innovación y favorecer la adaptación de los servicios bancarios a las nuevas tecnologías. Con ella se pone de manifiesto una vez más la importancia que está adquiriendo el mundo de las ‘APIS’ o ‘Application Program Interface’ en distintos sectores financieros.
La nueva regulación, que ha entrado progresivamente en vigor entre el 13 de enero de 2018 y el 14 de septiembre pasado, conlleva cambios fundamentales en la industria al dar acceso a terceros a la infraestructura de los bancos. BBVA fue una de las primeras instituciones financieras en abrir su plataforma y sus servicios core a través de las ‘Open APIs’ con BBVA API_Market. De esta manera, el banco tiene como objetivo ser el mejor socio para que las 'fintech' creen modelos disruptivos y desarrollar una nueva línea de negocio.
1. ¿Qué es la PSD2?
Todo comenzó en 2007, con la primera Directiva de Servicios de Pago (PSD, por sus siglas en inglés Payment Service Providers), con el objetivo de contribuir al desarrollo de un mercado único de pagos en la Unión Europea, y fomentar así la innovación, la competencia y la eficiencia en territorio comunitario.
En 2013, la Comisión Europea propuso una revisión (de ahí el ‘2’ de la PSD2), que pretendía ahondar en estos objetivos. Pretende mejorar la protección del consumidor, impulsar la competencia e innovación del sector, y reforzar la seguridad en el mercado de pagos, lo que se espera que favorezca el surgimiento de nuevos métodos de pago y el comercio electrónico.
2. ¿Cuáles son las principales novedades?
Los cambios tendrán múltiples implicaciones, muchas probablemente aún desconocidas, pero la que más ruido está haciendo es la apertura por parte de los bancos de sus servicios de pagos a terceras empresas, los denominados TPPs (Third Party Payment Service Providers).
La PSD2 regula y armoniza dos clases de servicios que ya existían cuando se adoptó la primera PSD en 2007 pero que se estaban popularizando en los últimos años: por un lado los servicios de iniciación de pagos (PIS) y por otro los servicios de información de cuenta (AIS).
El servicio de información de cuenta (AIS) consiste en recoger y almacenar la información de las distintas cuentas bancarias de un cliente en un solo lugar, permitiendo a los clientes tener una visión global de su situación financiera y analizar fácilmente sus gastos y sus necesidades financieras.
Por su parte, en el servicio de iniciación de pagos (PIS), terceros proveedores facilitan el uso de la banca 'online' para realizar pagos por internet. Estos servicios ayudan a iniciar un pago desde la cuenta del consumidor a la cuenta del comercio mediante la creación de una interfaz “puente” entre ambas cuentas, rellenando la información necesaria para la transferencia (cuantía de la transacción, número de cuenta, mensaje) e informando al comercio del inicio de la transacción. Asimismo, la PSD2 también posibilita al cliente la realización de pagos a terceros desde la aplicación de un banco utilizando cualquiera de sus cuentas (pertenezcan o no a esa entidad).
Hasta ahora los TPPs se encontraban múltiples obstáculos que les impedían ofrecer sus soluciones a gran escala en los distintos estados de la Unión Europea. Al eliminar estas barreras, se espera una mayor competencia con la entrada de nuevos jugadores y la generalización de la provisión de estos servicios por parte de los actores ya existentes.En contraprestación, los TPPs tendrán que cumplir con las mismas reglas que los proveedores de servicios de pago tradicionales: registro, autorización y supervisión por las autoridades competentes.
La otra gran novedad de la PSD2 es la introducción de nuevos requisitos de seguridad, lo que se conoce como Autenticación Reforzada de Clientes (Strong Customer Authentication o SCA en inglés). Esto implica el uso de dos factores de autenticación en operaciones bancarias que antes no lo requerían, incluyendo pagos y acceso a cuentas online o a través de apps, así como una definición más estricta de lo que puede servir como factor de autenticación.
Siguiendo con el ejemplo de la compra 'online', los clientes percibirán cambios en la forma en que autorizan sus compras, fundamentalmente en los factores de autenticación que utilizan al haberse convertido la autenticación reforzada en el nivel de seguridad por defecto y haber dejado de ser la información impresa en la tarjeta (número, caducidad y CVV) un factor válido para la autenticación.
3. ¿En qué se materializa la nueva normativa?
En el ámbito de la seguridad, las entidades bancarias han tenido que actualizar los elementos de autenticación que facilitan a sus clientes, sustituyendo tarjetas de coordenadas o 'tokens' con mensajes al móvil o tokens más avanzados, por ejemplo.
Además, han tenido que desarrollar sistemas y procesos que permitan al banco hacer uso de las exenciones que permite la normativa a la autenticación reforzada en aquellas transacciones en que el nivel de riesgo se considera bajo.
En cuanto al acceso de los TPPs, como explicaba en 2016 José Manuel de la Chica, Venture Solutions Architect en New Digital Business de BBVA, “aunque en la PSD2 nunca se habla expresamente de APIs, la mayoría de profesionales del sector tecnológico y financiero damos por hecho que las APIs serán el medio técnico que permitirá a los bancos cumplir con lo que establece la normativa”. Sin embargo, esta expectativa todavía no se ha materializado completamente, por el retraso en la publicación de los estándares técnicos regulatorios por parte de las autoridades y el continuo debate entre los distintos actores del mercado que ha supuesto un retraso en la generación de estándares y protocolos comunes.
En cualquier caso, con independencia del mecanismo técnico desarrollado, la PSD2 ya hace posible que el consumidor autorice a un tercero para que agregue información financiera en su nombre y ejecute pagos en su nombre a través de su cuenta bancaria.
4. Y todo esto, ¿para cuándo?
Aunque se han producido varios retrasos en el desarrollo de la norma, por la dilación en la transposición de la directiva a normativa española y la demora de la Autoridad Bancaria Europea (ABE) en concretar los estándares técnicos que regulan el acceso de terceros y la autenticación reforzada, la PSD2 ha entrado en vigor progresivamente desde enero de 2018.
No obstante, el principal hito regulatorio ha sido la entrada en vigor de las obligaciones de autenticación y acceso de terceros el pasado 14 de septiembre de 2019.
Dicho esto, no todos estos requisitos técnicos han entrado en vigor ya, ante las el posible impacto negativo que podía tener la entrada en vigor de la PSD2 en el comercio electrónico, las entidades financieras van a contar con un período transitorio adicional cuya duración máxima ha sido establecida por la ABE en el 31 de diciembre de 2020.