Article traduït per un sistema de traducció automàtica. Més informació, aquí.

PSD2: així són les noves normes per pagar online a partir de 2021

Comprar en Internet dins de la UE serà més segur i fiable a partir de 2021 gràcies a la PSD2. T'expliquem en què consisteixen els canvis de la Directiva per als Serveis de Pagament
Per David G. Bolaños 30 de desembre de 2020
compra online con seguridad
Imagen: rupixen

Amb el 2021 arriba, de manera obligatòria, una nova forma de pagar en Internet arran de la Directiva per als Serveis de Pagament (Payment Services Directive – PSD2). Els canvis en les compres de productes a orri o per pes i la doble autenticació dels usuaris pretén donar més garanties tant als consumidors com a les empreses. En aquest article t’expliquem què és exactament la PSD2, com resol situacions de dubte en les vendes de productes a orri, com canviarà la manera de pagar en Internet i qui decideix quins elements d’identificació han d’aportar els usuaris.

Què és la PSD2

La Directiva per als Serveis de Pagament (Payment Services Directive – PSD2), llançada en 2007 i revisada en 2013 —d’aquí el “2”—, va néixer amb l’objectiu de desenvolupar un mercat únic de pagaments en la Unió Europea i unificar el sistema de serveis de pagament electrònic entre països, bancs i proveïdors de serveis de pagament. Aquesta llei, transformada en normativa a Espanya a través del Reial decret-llei 3/2020 de 4 de febrer, ha entrat progressivament en vigor, però les diferents entitats tenien un termini, que acaba el 31 de desembre de 2020, per adaptar-se a ella.

Això se sustenta, entre molts altres aspectes, en dos canvis que protegeixen a comerciants i consumidors:

  • 1. Per processar qualsevol pagament a partir d’aquesta data, serà obligatori que les entitats reforcin la seguretat, exigint als clients almenys dues formes d’autenticació quan realitza una compra online.
  • 2. Es regularà la venda de productes a orri o al pes.

1. Quan no és clar el preu final: el cas de les vendes al pes o granel

L’aplicació de la PSD2 en el comerç electrònic s’ajusta com un guant a gairebé totes les situacions. En aquest “gairebé” entren aquells productes frescos que es venen al tall o a orri, ja que, a partir d’ara, la tenda no podrà cobrar un import major a l’autoritzat pel client.

En comprar unes sabates o un televisor, això no dona problemes perquè l’import no canvia entre la sol·licitud del producte i el seu enviament. Però la cosa varia si parlem de mercaderies en les quals el preu depèn del seu pes, si pesen uns grams més o menys o se substitueix per un altre producte.

En aquests casos, davant la impossibilitat de concretar un import exacte al moment de la compra online, se li sol·licitarà al client l’autorització d’un petit percentatge: per exemple, un 5 % addicional a l’import de el ‘total carro’. Si es produeixen petites variacions en el preu total a cobrar el vaig donar?a de el lliurament, això permetrà a la tenda poder ajustar el preu després del pesat i calcular l’import real de la compra sobre la base de la comanda per després tramitar el pagament real segons el pes exacte dels productes lliurats.

Això significa que comprar aquests productes ens sortirà sempre més car?

No, en absolut. Anem a seguir pagant exactament el que comprem. No estem autoritzant al comerç a fer una reserva de diners o a cobrar-nos per endavant alguna cosa que ens retornaran després. És tan sol una autorització amb la qual ens assegurem que el comerç pot servir-nos el que hem demanat, fins i tot si la quantitat (i, per tant, el preu) varia lleugerament.

És a dir, no es cobrés? gens fins al dia del lliurament de la comanda i l’import cobrat serà el corresponent a la quantitat lliurada. És un mecanisme que estableix que cap de les parts es trobi amb la desagradable sorpresa de carregar amb un cost que no li correspon.

Un exemple per entendre com funciona

Posem per cas que demanem un iogurt i 2 quilos de pomes a un supermercat online:

  • El preu del iogurt és d’1 euro i, com està fixat per unitat, no varia.
  • El preu de les pomes és de 2 euros per quilo, però, aquest cas, és gairebé impossible encertar amb el pes exacte de la comanda. Els grams de diferència repercuteixen en l’ajust d’uns cèntims en el preu, de la mateixa forma que quan les comprem en la secció de frescs del nostre supermercat.

Imaginem que, en preparar la nostra cistella, el pes final de les pomes és de 2,1 quilos. Així l’hi trobarà l’usuari:

Comanda formalitzada (moment en el qual el client realitza en comanda online):

  • Iogurt sabor fresa, unitat: 1 euro
  • Poma al pes (2 kg): 4 euros
  • TOTAL: 5 euros
  • Increment 5 %: 0,25 euros
  • TOTAL A AUTORITZAR: 5,25 euros

Comanda a cobrar (moment en el client rep la comanda i realitza el pagament):

  • Iogurt sabor fresa, unitat: 1 euro
  • Poma al pes (2,1 kg): 4,2 euros
  • TOTAL: 5,20 euros

infografia PSD2Imatge: Eroski Consumer

2. Com canviarà la forma de pagar amb targeta en Internet i on

A més del canvi en el pagament de productes al pes o a orri, amb la PSD2 ens beneficiarem d’un comerç online molt més segur dins de la UE. Fins ara, cada país tenia la seva pròpia normativa i, a més, cada banc o proveïdors utilitzaven els seus propis sistemes, més o menys segurs, per autenticar la identitat de l’usuari.

En la pràctica, per comprar per Internet solament era necessari aportar dades com el nom del titular i el nombre de targeta, la data de caducitat i el codi CVV (els tres dígits que apareixen darrere de la targeta), i rebíem un codi SMS en el mòbil per autoritzar l’operació. Això provocava que, si algú ens robava aquestes dades o donava amb l’usuari i contrasenyes del nostre compte bancari, podria realitzar compres en el nostre nom a l’instant de manera fraudulenta o, fins i tot, fer transferències.

Amb aquesta nova normativa, és obligatori que l’usuari s’identifiqui dues vegades. És l’anomenada autenticació en dos passos (2FA – Two Factor Autentication) o autenticació reforçada del client, tant per als pagaments online com per accedir al nostre banc.

Els sistemes 2FA, que ja es porten utilitzant i desenvolupant des de fa anys en molts serveis online, es basen que és necessari aportar en cada operació dues dels tres elements que permeten garantir, inequívocament, la identitat de l’usuari:

  • Alguna cosa que solament conegui l’usuari (element de coneixement). Per exemple, una contrasenya, un codi pin o una frase o preguntes la resposta de les quals solament sap l’usuari. Queden descartats elements com un correu electrònic, el nom de l’usuari o les dades d’una targeta (nombre, data de caducitat o CVV).
  • Alguna cosa que solament tingui l’usuari (element de possessió). Serien vàlids un telèfon mòbil en el qual puguem rebre un SMS amb un codi d’un sol ús, una targeta o dispositiu la possessió del qual es demostri a través de l’escanejo d’un codi QR o una targeta llegida per un lector de targetes. No seran vàlids elements com una aplicació mòbil, les dades de la targeta o una targeta de coordenades.
  • Alguna cosa que formi part de l’usuari (element inherent). Parlem de les característiques biomètriques de l’usuari que permeten la seva identificació: iris o retina, empremta dactilar, patró de venes, reconeixement de veu, geometria de cara i mans o dinàmica d’escriptura. Aquesta definició exclou el patró de lliscament per tecles com el qual s’utilitza per desbloquejar alguns smartphones.

Qui decideix quins elements d’identificació cal aportar?

El banc o entitat emissora de la teva targeta o sistema de pagament online és el responsable d’establir què dos factors seran els que, com a mínim, es van a sol·licitar. A tenor de la tendència i l’anunciat per la majoria, si ben el mòbil no és necessàriament obligatori, serà el dispositiu protagonista i recomanat per autoritzar els pagaments online.

La situació més habitual que ens trobarem en comprar a qualsevol web o aplicació serà que, després de ficar les dades de la nostra targeta, passarem a un entorn segur que es genera entre el comerç i el banc on se’ns sol·licitarà un codi, que ens arribarà bé per SMS o a través d’una notificació de l’app de la nostra entitat. Això pot ser que se sumeix, o se substitueixi si el nostre mòbil ho permet, per la identificació biomètrica (empremta dactilar, reconeixement facial, iris…) mitjançant els sensors del dispositiu.

El sistema, d’aquesta manera, garanteix que, encara que perdem o ens robin les dades de la targeta o fins i tot les claus, serà impossible que els puguin utilitzar per comprar o entrar a les nostres dades bancàries a través d’Internet, ja que l’impostor mai rebrà el codi o aportarà un perfil biomètric vàlid.

La directiva té també altres avantatges per a l’usuari i consumidor ja que, en cas de disputa, el subministrador del servei de pagament és el que haurà de demostrar que l’operació s’ha realitzat comptant amb la pertinent autorització i que la seva execució ha estat la correcta. D’altra banda, es limita la responsabilitat dels usuaris que siguin víctimes d’operacions fraudulentes a sol 50 euros, enfront dels 150 euros que calia assumir de cost fins ara.

Jo mai uso targeta, afecta la directiva a serveis com PayPal, Apple Pay, AliPay i similars?

La PSD2 vol crear un marc homogeni i de competència justa al mercat de pagaments europeu. D’aquesta manera, els bancs ara ja estan obligats a obrir els seus sistemes per col·laborar amb tercers –el que s’ha denominat “Open”Banking –, i els proveïdors de serveis de pagament com PayPal, Apple Pay, Google Pay o AliPay també estan obligats a protegir els pagaments dels usuaris amb sistemes de 2FA, i no solament amb un simple nom d’usuari i contrasenya. A més, també han d’aportar entorns segurs als comerços que accepten el seu mitjà de pagament i assumir les noves responsabilitats i conseqüències que marca la llei per al seu negoci davant possibles negligències i fraus.

Hi ha algun pagament que es quedi fos d’aquest sistema?

La PSD2 compta amb alguns supòsits en els quals pot ser que no existeixi la necessitat de dos sistemes d’autenticació per realitzar pagaments online, o almenys, no en totes les ocasions. Ara bé, serà el banc del titular de la targeta el que decideixi si accepta o no una exempció d’entre les següents:

  • Imports inferiors a 30 euros, encara que cada cinc vegades se’ns tornarà a sol·licitar l’autenticació.
  • Subscripcions d’import fix: per exemple, en subscriure’ns a serveis com Netflix que ens carreguen mensualment la seva quota. En aquest cas, solament serà necessària l’aportació de la doble autenticació de l’usuari una vegada.
  • Transaccions iniciades pel comerciant: per exemple, cobraments de pagaments endarrerits, subscripcions amb import variable o facturació d’extensions sempre autoritzats per l’usuari en primera instància.
  • Vendes telefòniques.
  • Pagaments corporatius.
  • Entitats de confiança: es podrà establir una “llista blanca” d’empreses de confiança davant els bancs o proveïdors de pagaments perquè no calgui autenticar-se en compres futures.

Comprar en Internet dins de la Unió Europea, en definitiva, serà molt més segur i fiable a partir de 2021. I és important aquest matís per finalitzar, ja que la PSD2 i les lleis que deriven d’ella són aplicable per als països membres i els bancs i proveïdors que operen dins d’ells. Si usem mitjans de pagament externs o comprem en una web que no està localitzada dins de la Unió Europea, no es podrà garantir el mateix nivell de seguretat.

ciberseguretat comerç electrònic compra online
Recursos relacionats
ciberseguridad menores
Noves tecnologies Infografia
Educar als teus fills en ciberseguretat
Img sintonizadorestdt
Noves tecnologies Vídeo
Anàlisi de 8 sintonitzadors de TDT
Icache
Noves tecnologies Infografia
Lectors de llibres electrònics
Img googlechalenges listado
Noves tecnologies Monogràfic
Google