PSD2: Europa aprueba una mayor seguridad para los pagos
La Comisión Europea ha hecho públicos los estándares técnicos regulatorios (RTS, por sus siglas en inglés) que forman parte de la directiva de servicios de pago PSD2 y que garantizan un mayor nivel de seguridad en los pagos de bienes y servicios en Europa, así como en el acceso a los datos de clientes bancarios por parte de terceros.
La nueva normativa dada a conocer por la CE busca proteger al consumidor, tal como ha destacado el vicepresidente de la Comisión Europea, Valdis Dombrovskis. “Estas nuevas reglas guiarán a todos los actores del mercado, viejos y nuevos, para ofrecer mejores servicios de pago a los consumidores al tiempo que garantizan su seguridad", ha dicho en un comunicado.
La primera fase de la directiva europea PSD2 (de Payment Services Directive, Directiva de Servicios de Pago), que sustituye a la PSD, del año 2007, entra en vigor el 13 de enero en España. Sin embargo, algunos de los elementos de seguridad, como los aprobados esta semana, serán vinculantes en torno a septiembre de 2019 para dar tiempo a los bancos y las firmas de tecnología financiera a que se ajusten. Asimismo, el Parlamento Europeo y el Consejo disponen de tres meses para examinarlos.
Estas reglas, definidas por la Comisión Europea “en estrecha colaboración con el Banco Central Europeo”, establecen el uso de dos factores de seguridad para las compras online, con el objetivo de ayudar a combatir el fraude. Estos factores de seguridad incluyen una contraseña, código PIN, tarjeta, teléfono móvil, escaneo del iris o huella digital, entre otros. En la actualidad, es habitual que solo se requiera una contraseña o los detalles de una tarjeta de crédito.
La autenticación con dos factores existe en la actualidad. La capacidad de comprobar esos dos factores en un paso (o ninguno), de forma sencilla para el usuario, se convertirá en una ventaja competitiva.
Acceso a los datos de clientes a través de interfaces
Uno de los aspectos más interesantes de PSD2 es que se regula el acceso a cuentas por parte de terceros. Esto significa que se podrá dar acceso a terceros a las cuentas de pagos que tienen tanto los ciudadanos como las empresas dentro de la Unión Europea.
Con la normativa anunciada ayer, la CE regula el acceso a estas cuentas de pago. Así, los titulares de una cuenta deberán dar permiso para que sus datos sean accedidos por un tercero con licencia que desee ofrecer servicios de pago. De esta forma, estas normas evitan el llamado ‘screen scraping’, como defendía la Autoridad Bancaria Europea. El acceso a los datos vía ‘screen scraping’ significa que un tercero hace una copia de información contenida en un sitio web haciéndose pasar por un usuario ordinario sin que el banco sea, por tanto, capaz de diferenciar este tipo de accesos.
Con los estándares técnicos aprobados ahora, la Comisión Europea hace posible el acceso vía interfaces abiertas (APIs) desde las entidades bancarias, más seguras para el consumidor. Los bancos tendrán que dar acceso a un tercero, ya sea mediante la adaptación de una interfaz ya existente o la creación de una nueva para las ‘fintech’.