A PSD2 leva semanas acaparando titulares de prensa e sendo o centro da correspondencia bancaria. De feito, é probable que moitas persoas se decatasen da súa existencia grazas ao esforzo que dedicaron as entidades en que memoricemos as siglas da Payment Services Directive 2 a base de correos electrónicos e de notificacións nas súas apps. Pero como nos afecta en realidade esta directiva europea sobre medios de pago vixente en España desde o pasado 14 de setembro? Neste artigo explicamos as principais novidades que incorpora a PSD2 e que efectos terá no noso día a día.
1. Autenticación reforzada do cliente
Un dos principais obxectivos da PSD2, cuxo nomee oficial é Directiva (UE) 2015/2366, é reforzar a seguridade dos pagos electrónicos e da banca en liña. Para logralo, a normativa introduciu un novo sistema para verificar a identidade dos usuarios: a autenticación reforzada do cliente. Este mecanismo obriga aos provedores de servizos de pago, bancos incluídos, a autenticar a identidade dun cliente combinando polo menos dous do seguintes tres elementos:
- Algo que só saiba o cliente como, por exemplo, un contrasinal ou un código PIN.
- Algo que só posúa o cliente como, por exemplo, un teléfono móbil.
- Algo que forme parte do cliente como, por exemplo, a súa pegada dactilar ou a súa retina.
Aínda que este sistema afecta os pagos electrónicos, de momento só aplícase á banca por Internet. E é que o Banco de España aprobou unha prórroga que será de entre 12 e 18 meses (aínda non se concretou o prazo) para que os provedores de servizos de pago e os comercios electrónicos desenvolver toda a tecnoloxía necesaria para a súa implementación nos pagos virtuais.
Así, desde o pasado 14 de setembro hai que usar dous factores de seguridade para operar pola banca en liña. A maioría das entidades optou por combinar o usuario e o contrasinal habituais cun código recibido por SMS ou unha notificación enviada a través da app do banco que se debe confirmar. Na práctica, isto tradúcese en que agora é obrigatorio dispor dun teléfono móbil para operar a través de Internet e, nalgúns casos, ata é preciso instalar a aplicación da entidade.
2. Pagos electrónicos máis seguros e sen cartón
As compras que se realicen por Internet non terán que aplicar aínda a autenticación reforzada, pero xa se saben dúas cousas para validar unha compra en liña: non se poderá usar o cartón de coordenadas e o número e o código CVV do cartón de débito ou crédito non servirán como elemento de seguridade. Así que, ademais de introducir os datos do “plástico” para facer unha adquisición, terase que recorrer a outros dous elementos de seguridade.
Así mesmo, a normativa europea reduce a cantidade de intermediarios necesarios para abonar unha compra pola Rede. Agora, grazas aos PISP (provedores de servizos de inicio de pago), a comunicación poderá ser directa entre o banco e o comercio.
Por outra banda, a PSD2 permitirá que podamos pagar unha compra por Internet usando os datos da nosa conta corrente, en lugar de utilizar os dun cartón, a opción máis habitual ata agora. Algúns comercios electrónicos xa engadiron esta opción.
3. Pagos contactless limitados
As compras que abonemos con cartón nun comercio a pé de rúa seguiranse validando como ata agora: introducindo o cartón dentro do datáfono e tecleando o código PIN. Pero que ocorre cos pagos contactless que non requiren ningún tipo de validación? Non contradín o sistema de autenticación reforzada? Si, pero é unha excepción xa contemplada na directiva PSD2.
Os pagos contactless poderanse seguir facendo sen necesidade de introducir o PIN cando a adquisición sexa inferior a 20 euros. Pero a normativa fixa uns novos límites: cando se realicen cinco compras consecutivas sen PIN ou o importe acumulado das transaccións sen contacto supere os 150 euros, na seguinte será necesario teclear o código.
Imaxe: Rawpixel
4. O cartón de coordenadas xa non serve
Nin para autorizar unha operación pola banca en liña nin para validar unha compra por Internet, o cartón de coordenadas xa non serve para operar por canles dixitais. A razón de que as entidades estean a comunicar aos seus clientes que xubilan estes plásticos “” é o feito de que a Autoridade Bancaria Europea (ABE) non recoñece estes cartóns como elemento de seguridade, polo que xa non valerán para autenticar a identidade do cliente pola Rede.
5. Máis protección en caso de fraude
Outra novidade da PSD2 é que se limita a responsabilidade dos clientes que sufran un pago non autorizado. Agora, só correrán a conta do usuario os primeiros 50 euros gastados de maneira fraudulenta ata que se notifique a incidencia ao provedor de servizos de pago, mentres que antes esa cifra ascendía a 150 euros.
6. Control de datos e open banking
A partir de agora, os clientes bancarios teremos o control dos nosos datos e poderemos compartilos con terceiros se o consideramos oportuno, é dicir, poderemos dar permiso a terceiras empresas para que accedan aos datos que custodia o noso banco. Este proceso é posible grazas ao modelo de open “banking“ que está a implantar o sector e ao uso de interfaces de programación de aplicacións, coñecidas como API.
Grazas á PSD2 podemos autorizar, por exemplo, a un agregador financeiro a que recompile os datos das nosas contas correntes, co fin de que nunha soa plataforma podamos consultar o saldo e os movementos de todas as nosas contas. Precisamente, un dos obxectivos da directiva europea é aumentar a competitividade do mercado europeo de pagos electrónicos coa entrada de novos actores como os provedores de servizo de información sobre contas, chamados AISP, entre os que destacan os agregadores financeiros.
