Mayor protección en los métodos de pago remotos electrónicos
En los últimos meses habrá oído hablar, con mucha probabilidad, de unas siglas que quizás muchos no sabrían definir su significado o su ámbito de aplicación: PSD2. De la misma manera, en estos mismos últimos meses se habrá percatado, si hace usted uso de determinados métodos de pago, cómo algo ha cambiado a la hora de hacer por ejemplo una compra por tarjeta por internet. Bien, no lo dude: ambos hechos están relacionados, ese refuerzo en la seguridad, esa doble comprobación que ahora en muchas páginas web le solicitan, tiene que ver con la entrada en vigor de una nueva directiva de carácter europeo que viene a regular los pagos electrónicos, sustituyendo a la normativa anterior, y que se conoce con sus siglas en inglés: PSD2 (Payment Services Directive), Directiva de Servicios de Pago en castellano. Una directiva, una regulación, que si bien todas las empresas deberían haber asimilado, en un principio, el pasado mes de septiembre pero que, sin embargo ha sido objeto de una moratoria, ampliándose el plazo hasta diciembre de 2020. De la mano del Banco de España, analizaremos las principales directrices de esta nueva directiva PSD2.
Empezando pues por el final, decíamos que todos los proveedores de servicios deberían haber migrado ya en septiembre hacia la nueva Directiva de Servicios de Pago y a la aplicación de la autenticación reforzada del cliente en todos los pagos electrónicos hasta que el Banco de España concedió una moratoria, en vista de que muchas compañías no estaban preparadas.
No es de extrañar pues que durante un tiempo convivan empresas que ya aplican las medidas comprendidas en la nueva directiva, que tiene entre sus objetivos mejorar la seguridad de los pagos y reducir el fraude en el proceso de autenticación, estableciendo requisitos para el acceso a la aplicación de forma reforzada, con empresas que no nos exigirán todavía ese refuerzo en la autenticación.
No obstante el Banco de España se ha comprometido en trabajar de manera excepcional con los proveedores de servicios de pago y el resto de partes, incluyendo consumidores y comercios. Esta flexibilidad, esta moratoria, está condicionada a que los operadores acuerden con la autoridad monetaria nacional sus planes de migración para ejecutarlos de forma urgente, tal y como resumía Europa Press del comunicado del Banco de España.
¿Qué es PSD2?
Como decíamos, bajo estas siglas está una directiva de carácter europero (Payment Services Directive) que tiene por objeto promover la transparencia, la innovación y una mayor seguridad en los servicios de pago electrónico, así como introducir nuevos servicios o establecer requerimientos adicionales de seguridad en las transacciones de pago electrónicas y en los accesos a las cuentas a través de internet.
El propio Banco de España, en su Revista de Estabilidad Financiera y en un artículo firmado por Carlos Conesa, Sergio Gorjón y Gregorio Rubio define que la segunda Directiva de Servicios de Pago o PSD2 (Directiva UE 2015/2366 del Parlamento Europeo y del Consejo, sobre servicios de pago en el mercado interior) es una norma que aspira a profundizar en la consecución de un mercado de servicios de pago integrado, competitivo, innovador y eficiente en la UE, sin por ello menoscabar la protección de los usuarios. De ahí la importancia que la norma atribuye a los aspectos relativos a la seguridad de los servicios de pago y, en especial, a regularizar la actividad de unos nuevos actores a los que los clientes de la banca podrán autorizar a acceder a las cuentas de pago que mantengan en una entidad financiera diferente.
Dada la complejidad de la directiva, expresada por los expertos en la materia y reconocida por las autoridades y el Banco de España en forma de la citada moratoria, centraremos nuestro análisis en lo relativo a la seguridad de los pagos, pues como usuarios y consumidores son los cambios que antes hemos empezado a detectar y los que además vienen a reforzar nuestra seguridad en determinados movimientos, sobre todo electrónicos.
La seguridad según la Directiva de Servicios de Pago PSD2
De esta manera, y atendiendo de nuevo a lo expresado por el Banco de España, en el tema de la Seguridad, la nueva Directiva de Servicios de Pagos PSD2 se “centra especialmente en las transacciones de carácter remoto, ya sea a través de Internet o por medio de dispositivos móviles”. Ni que decir tiene que este foco puesto sobre los movimientos electrónicos remotos no es fruto de la casualidad sino de cómo han cambiado las costumbres de los consumidores en los últimos años y cuán grande ha sido el incremente de las compras por internet, con pagos con tarjeta, por ejemplo.
Como no podía ser de otra manera, la segunda directiva europea de pagos PSD2 ha hecho pues de la seguridad en los pagos electrónicos uno de sus principales activos, profundizando además en las recomendaciones del propio Banco Central Europeo sobre la seguridad en los pagos en internet. De esta manera, la nueva normativa prescribe la “aplicación obligatoria de medidas y procedimientos de seguridad específicos en las operaciones de pago electrónicas, y en especial en las que tienen lugar a distancia”. Medidas que además giran en torno a una idea, la de la autenticación reforzada del cliente, que en muchos escritos leerán como SCA, por sus siglas en inglés Strong Customer Authentication.
Autenticación reforzada del cliente (SCA)
Siguiendo el esquema facilitado por el Banco de España, la principal novedad de la SCA es que se basa en el uso de dos o más elementos de seguridad independientes.
Como elementos de seguridad se basa en tres supuestos:
– Conocimiento (algo que sólo conoce el usuario, como una contraseña personal o una clave)
– Posesión (algo que sólo posee el usuario, algo físico como una tarjeta, un certificado digital o un teléfono móvil)
– Inherencia (algo que es el usuario, huella dactilar, iris o reconocimiento facial, sistemas habituales en los dispositivos móviles)
Igualmente, la seguridad radica no sólo en que ya se exigen dos elementos sino que además estos deben ser independientes entre sí. De esta manera la vulneración de uno no compromete la fiabilidad de los demás, además de no darse la exigencia de dispositivos diferentes.
Añade además una última variante a la ecuación que sería las credenciales de seguridad personalizadas, elementos de seguridad facilitados por el proveedor de servicios de pago (PSP) o vinculados por él al cliente.
Ahora bien, la nueva normativa europea también incluye ciertas excepciones en función del riesgo de la operación, su importe o el canal por el que se realiza.
Estos mecanismos de autenticación reforzada del cliente serán obligatorios, recuerden que una vez que se acabe la moratoria, en el acceso a cuenta pago on line, operaciones de pago electrónico, acción remota que entrañe riesgo o presencia de un TPP (Third Party Providers) –siglas con las que se conoce a las ‘empresas terceras’ o ‘proveedores terceros’ que van más allá de la relación hasta ahora bilateral entre los proveedores de servicios de pago (PSP) y el cliente.
En la práctica, doble autenticación
Pero, ¿en qué se traduce este refuerzo en la autenticación del cliente en los consumidores? Bien, evidentemente este refuerzo conlleva ampliar el rango de seguridad con la que se operará en operaciones remotas electrónicas y en la práctica se traduce en hechos cotidianos como que desaparezcan las tarjetas de coordenadas que hace años funcionaban en prácticamente la totalidad de las entidades bancarias, sustituyéndose por ejemplo por mensajes al móvil en el que se proporciona la clave que dé vía libre a la operación. Como decíamos, ya no sólo se trata de exigir dos elementos de seguridad sino que estos deben ser independientes. En el caso expuesto, el primero sería la tarjeta que tiene el cliente (posesión) y la clave que recibe en su móvil que le permitirá ejecutar la operación (conocimiento).
Superando el bilateralismo
Más allá de estas medidas de refuerzo en el hecho en sí de la operación de pago, la nueva normativa PSD2 viene a cambiar radicalmente las relaciones bilaterales que existían entre los tradicionales Proveedores de Sistemas de Pago y los clientes, pues la nueva normativa obliga a los bancos a realizar lo que se ha venido llamando como open banking, que no es otra cosa que abrirse a la posibilidad de que terceras empresas puedan realizar directamente el cobro de la cuenta del cliente, sin necesidad de un PSP y con toda la seguridad que este paso conlleva, con la aparición de nuevas compañías como pudieran ser las Payment Iniciation Service Provider (PISP), softwares que actuarán de intermediarios entre las entidades financieras y los comercios, y las Account Information Service Provider (AISP), que ordenarán en una misma plataforma todos los datos de los productos financieros del cliente.
En cristiano, con la normativa anterior, a la hora de realizar el pago de una compra online, los comercios tenían que contactar con una serie de intermediarios que, a su vez, se conectaban a la compañía responsable de la tarjeta (Visa, MasterCard…) para poder cargar el cobro a una cuenta corriente.
Ahora con la nueva Directiva de Sistemas de Pago PSD2 el comercio podrá recibir la autorización del consumidor para realizar cobros en su cuenta bancaria. El comercio y el banco se comunicarán ahora a través del móvil con una aplicación de tipo API (application programm interface), que garantiza la protección de los datos bancarios del usuario a través de un sistema de autenticación.
En caso de fraude, más cobertura
Incluye además la nueva normativa mayor protección para los consumidores en caso de fraude. Básicamente y según el análisis de los expertos, el usuario sólo será responsable de pagos no autorizados de hasta 50 euros, y a partir de esa cifra será el proveedor el que tendrá que hacerse cargo del importe defraudado. Con la directiva anterior esa cantidad era de hasta 150 euros. Además, el proveedor tendrá que devolver el importe defraudado el mismo día en que se haya cometido el fraude siempre que el usuario niegue haber autorizado la operación, o indique que es incorrecta, y la empresa no pueda demostrar lo contrario.
Volviendo a los ejemplos prácticos, los movimientos serán inmediatos con la PSD2 y es probable que las tarjetas bancarias tiendan a la desaparición, pues lo lógico es que se terminen generando nuevos canales de comunicación directos entre los consumidores y los comercios, con la aparición de los mencionados softwares que funcionarán como pasarelas de pago.