La PSD2 porta setmanes acaparant titulars de premsa i sent el centre de la correspondència bancària. De fet, és probable que moltes persones s’hagin assabentat de la seva existència gràcies a l’esforç que han dedicat les entitats en què memoritzem les sigles de la Payment Services Directive 2 a força de correus electrònics i de notificacions en les seves apps. Però com ens afecta en realitat aquesta directiva europea sobre mitjans de pagament vigent a Espanya des del passat 14 de setembre? En aquest article expliquem les principals novetats que incorpora la PSD2 i quins efectes tindrà en el nostre dia a dia.
1. Autenticació reforçada del client
Un dels principals objectius de la PSD2, el nom oficial de la qual és Directiva (UE) 2015/2366, és reforçar la seguretat dels pagaments electrònics i de la banca online. Per aconseguir-ho, la normativa ha introduït un nou sistema per verificar la identitat dels usuaris: l’autenticació reforçada del client. Aquest mecanisme obliga als proveïdors de serveis de pagament, bancs inclosos, a autenticar la identitat d’un client combinant almenys dos dels següents tres elements:
- Alguna cosa que solament sàpiga el client com, per exemple, una contrasenya o un codi PIN.
- Alguna cosa que solament posseeixi el client com, per exemple, un telèfon mòbil.
- Alguna cosa que formi part del client com, per exemple, la seva empremta dactilar o la seva retina.
Encara que aquest sistema afecta als pagaments electrònics, de moment solament s’aplica a la banca per Internet. I és que el Banc d’Espanya ha aprovat una pròrroga que serà d’entre 12 i 18 mesos (encara no s’ha concretat el termini) perquè els proveïdors de serveis de pagament i els comerços electrònics desenvolupin tota la tecnologia necessària per a la seva implementació en els pagaments virtuals.
Així, des del passat 14 de setembre cal usar dos factors de seguretat per operar per la banca online. La majoria de les entitats ha optat per combinar l’usuari i la contrasenya habituals amb un codi rebut per SMS o una notificació enviada a través de l’app del banc que s’ha de confirmar. En la pràctica, això es tradueix que ara és obligatori disposar d’un telèfon mòbil per operar a través d’Internet i, en alguns casos, fins a cal instal·lar l’aplicació de l’entitat.
2. Pagaments electrònics més segurs i sense targeta
Les compres que es realitzin per Internet no hauran d’aplicar encara l’autenticació reforçada, però ja se saben dues coses per validar una compra online: no es podrà usar la targeta de coordenades i el nombre i el codi CVV de la targeta de dèbit o crèdit no serviran com a element de seguretat. Així que, a més d’introduir les dades del “plàstic” per fer una adquisició, s’haurà de recórrer a altres dos elements de seguretat.
Així mateix, la normativa europea redueix la quantitat d’intermediaris necessaris per abonar una compra per la Xarxa. Ara, gràcies als PISP (proveïdors de serveis d’inici de pagament), la comunicació podrà ser directa entre el banc i el comerç.
D’altra banda, la PSD2 permetrà que puguem pagar una compra per Internet usant les dades del nostre comptecorrent , en lloc d’utilitzar els de una targeta, l’opció més habitual fins ara. Alguns comerços electrònics ja han afegit aquesta opció.
3. Pagaments contactless limitats
Les compres que abonem amb targeta en un comerç a peu de carrer se seguiran validant com fins ara: introduint la targeta dins del datáfono i teclejant el codi PIN. Però què ocorre amb els pagaments contactless que no requereixen cap tipus de validació? No contradiuen el sistema d’autenticació reforçada? Sí, però és una excepció ja contemplada en la directiva PSD2.
Els pagaments contactless es podran seguir fent sense necessitat d’introduir el PIN quan l’adquisició sigui inferior a 20 euros. Però la normativa fixa uns nous límits: quan es realitzin cinc compres consecutives sense PIN o l’import acumulat de les transaccions sense contacte superi els 150 euros, en la següent serà necessari teclejar el codi.
Imatge: Rawpixel
4. La targeta de coordenades ja no serveix
Ni per autoritzar una operació per la banca online ni per validar una compra per Internet, la targeta de coordenades ja no serveix per operar per canals digitals. La raó que les entitats estiguin comunicant als seus clients que jubilen aquests “plàstics” és el fet que l’Autoritat Bancària Europea (ABE) no reconeix aquestes targetes com a element de seguretat, per la qual cosa ja no valdran per autenticar la identitat del client per la Xarxa.
5. Més protecció en cas de frau
Una altra novetat de la PSD2 és que es limita la responsabilitat dels clients que sofreixin un pagament no autoritzat. Ara, solament correran a compte de l’usuari els primers 50 euros gastats de manera fraudulenta fins que es notifiqui la incidència al proveïdor de serveis de pagament, mentre que abans aquesta xifra ascendia a 150 euros.
6. Control de dades i open banking
A partir d’ara, els clients bancaris tindrem el control de les nostres dades i podrem compartir-los amb tercers si ho considerem oportú, és a dir, podrem donar permís a terceres empreses perquè accedeixin a les dades que custodia el nostre banc. Aquest procés és possible gràcies al model d’open “banking“ que està implantant el sector i a l’ús d’interfícies de programació d’aplicacions, conegudes com a API.
Gràcies a la PSD2 podem autoritzar, per exemple, a un agregador financer al fet que recopili les dades dels nostres comptes corrents, amb la finalitat de que en una sola plataforma puguem consultar el saldo i els moviments de tots els nostres comptes. Precisament, un dels objectius de la directiva europea és augmentar la competitivitat del mercat europeu de pagaments electrònics amb l’entrada de nous actors com els proveïdors de servei d’informació sobre comptes, anomenats AISP, entre els quals destaquen els agregadors financers.
