El pasado 14 de septiembre entró en vigor, en Europa, una nueva normativa conocida con el nombre PSD2. Esta nueva ley regulará los servicios de pago (pagos con tarjetas, transferencias bancarias…) realizados en la Unión Europea.
¿Qué es una directiva europea?
Para comprender correctamente en qué consiste esta nueva legislación debemos conocer qué es una directiva europea. La Real Academia Española de la Lengua (RAE) la define como “en la Unión Europea, es una norma que fija a los Estados los objetivos que en determinada materia han de alcanzar, reservándoles la facultad de decidir sobre la forma y los medios de conseguirlos”. Es decir, una normativa europea es aquella que vincula a todos los estados miembros de la Unión Europea con el fin de alcanzar unos resultados y/u objetivos concretos en un plazo determinado, dejando que las autoridades internas competentes decidan la forma y los medios que consideren adecuados para alcanzar dichos objetivos.
¿En qué consiste esta nueva normativa?
Una vez comprendido qué es una directiva procedemos a explicar qué es y en qué consiste esta novedosa legislación europea. La Payment Service Directive 2 (PSD2) es una directiva de servicios de pago europea cuya finalidad consiste en impulsar un mayor nivel de seguridad y mejorar la protección en operaciones bancarias a través de Internet, lo cual se traduce en una mejora en la seguridad del usuario y en la regulación de los pagos, tanto por dispositivos móviles como vía online.
Esta nueva regulación sobre los servicios de pago en Europa, establece el acceso, siempre previo consentimiento del interesado, a los datos de sus cuentas bancarias a terceras personas tales como Facebook, Amazon, y demás entidades similares, lo que supone la eliminación de intermediarios en operaciones de pagos electrónicos para el interesado y permite realizar operaciones a través de terceros o, dicho de otro modo, podremos hacer compras por Internet sin tener que acceder a través de tu banco, el también conocido como “open banking”.
¿Qué cambios conlleva esta legislación de pagos por Internet?
En la práctica, esto se traduce en que el acceso a la banca electrónica desde la APP o desde la página web de la entidad bancaria, se deberá introducir, además de un usuario y contraseña, un código, que la entidad bancaria enviará a través de un SMS temporal, necesario para verificar nuestra identidad.
Por otra parte, el acceso a la información es de carácter gratuito para los usuarios, los cuales tienen la opción de conocer los gastos de cada operación, las circunstancias de la misma y su plazo de ejercicio.
Respecto a la facultad de rescisión del contrato por parte del usuario, podrá rescindir su contrato sin aviso previo y con carácter gratuito y sólo pierde su carácter gratuito si el contrato ha tenido una duración inferior a seis meses.
En caso de realizarse operaciones no autorizadas, la nueva normativa obliga a su corrección inmediata y en este caso el interesado podrá solicitar la devolución del importe en el supuesto de que la autorización de la operación no lo determine o dicho importe sea mayor que el esperado.
Otra de las novedades, dentro de las medidas de seguridad, podemos destacar la autenticación obligatoria y reforzada o doble autenticación (SCA- Strong Customer Autentication). Sus objetivos consisten en reducir el fraude y aumentar la seguridad.
Entre sus características, obliga a usar al menos dos de los siguientes factores: algo que solo conozca el usuario, como, por ejemplo, una contraseña; algo que tenga el usuario, como un teléfono móvil o una tarjeta; y algo inherente, es decir, que forme parte de él, tales como su huella dactilar, iris o reconocimiento facial.
Como hemos indicado anteriormente, la Directiva PSD2 abre el mercado de los pagos más allá de la banca tradicional, es decir, a aquellas empresas proveedoras de servicios a terceros de confianza, que con anterioridad no podían entrar en el sector, es decir, los llamados TPPS-Trusted Third Party Service entre los que destacan los Proveedores de Servicio de Iniciación de Pagos (PISP) y los Proveedores de Servicio de Información de Cuenta (AISP) y que deben cumplir con los mismos requisitos que los prestadores de servicios de pago tradicionales, a saber, registro, autorización y supervisión por las autoridades competentes.
PSD2 en España
Todas las entidades bancarias españolas han hecho referencia a la directiva PDS2 en sus páginas webs, ejemplo de ello son el Banco Santander, BBVA, CaixaBank, entre otros, explicando principalmente en qué consiste esta nueva normativa que regula los pagos en la zona euro, y los cambios de seguridad que conlleva para mejorar el servicio y la proteger la privacidad y los datos de los usuarios.
Julio César Miguel Pérez
CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, ciberseguridad, protección de datos personales y comercio electrónico.