La directiva europea PSD2 que regula servicios de pago entró en vigor en España

PSD2 (Payment Services Directive) es una directiva europea que regula servicios de pago (transferencias, domiciliaciones, pagos con tarjetas, etc.) realizados en Europa, y entró en vigor el 14 de septiembre en España. Así lo informó HelpMyCash a Cointelegraph en Español, a través de un comunicado.

La PSD2 pretende impulsar la transparencia, la competencia, y la innovación de los servicios de pago del sector financiero, pero los usuarios son los que podrán notar algunos cambios en sus transacciones.

“Los españoles ya están empezando a notar los efectos de la directiva PSD2. Una de las consecuencias más inmediatas de su entrada en vigor ha sido la implementación del sistema de autenticación reforzada del cliente (SCA), que de momento afecta al acceso a la banca online, aunque en el futuro también se implementará en los pagos electrónicos”, explicó el comunicado

“La norma europea, en vigor desde el pasado 14 de septiembre, exige a los proveedores de servicios de pago que verifiquen la identidad de sus clientes con al menos dos elementos de seguridad de tres posibles: un elemento de conocimiento (algo que sepa el usuario), un elemento de posesión (algo que tenga) y un elemento inherente (algo que sea el cliente)”, especificó luego

Según explicaron expertos del comparador de productos bancarios HelpMyCash.com, para cumplir con la normativa, algunas entidades solicitan al cliente un código de un solo uso recibido por SMS para acceder a la banca online, que se debe introducir junto con las credenciales habituales (así se combinan dos elementos de seguridad), mientras que otras requieren que el usuario confirme una notificación enviada a su móvil a través de la app del banco.

En cualquier caso, una de las principales consecuencias de la PSD2 es que ahora los españoles necesitan un teléfono móvil para acceder a la banca online a través de un ordenador o de una tablet. Y no solo eso, sino que es fundamental haber informado a la entidad del número de teléfono correcto para poder operar por Internet. 

Pagos ‘contactless’: cambian los límites

Las compras abonadas con tarjeta en comercios físicos deben validarse como hasta ahora, ya sea usando un código pin o bien un elemento biométrico. Lo que cambia con la PSD2 son los límites establecidos en los pagos contactless. Las compras por importe inferior a 20 euros se pueden pagar sin necesidad de introducir el código pin, siempre y cuando no se hayan realizado más de cinco operaciones seguidas sin validar o no se hayan acumulado más de 150 euros en compras consecutivas sin pin. Una vez se superen esos límites, en la siguiente compra se deberá teclear el código. 

En principio, las operaciones realizadas con Apple Pay y Samsung Pay no se verán afectadas por estos límites, ya que, aunque no se use el código pin, se autentifican mediante biometría (huella o reconocimiento facial). Tampoco se solicitará el segundo factor de seguridad cuando se abonen pagos en terminales no atendidos de parkings o del sector de los transportes, como los peajes. 

Final para la tarjeta de coordenadas 

Varios bancos ya han anunciado que sus tarjetas de coordenadas dejarán de ser útiles, al menos para operar por canales digitales. Y no es que la banca se haya puesto de acuerdo para jubilarlas, sino que la Autoridad Bancaria Europea (EBA) ha aclarado que no computan como elemento de seguridad y que no cumplen con la SCA, por lo que no se podrán usar para verificar la identidad del cliente. En el caso de las operaciones por banca online, se han sustituido por códigos enviados por mensaje de texto o por notificaciones vía app, tal y como explicó HelpMyCash. 

Menor responsabilidad en caso de fraude

La directiva europea reduce la responsabilidad de los consumidores en caso de fraude. Si se sufre un pago no autorizado, la responsabilidad del consumidor se reducirá a los primeros 50 euros gastados de forma fraudulenta antes de notificar el incidente. Antes la cifra era de 150 euros. 

Datos compartidos

La PSD2 permite a los consumidores tomar cierto control sobre sus datos financieros y les otorga el derecho a compartirlos con terceros. Aunque los bancos sigan siendo los custodios de esa información, deberán dar acceso a otras compañías, mediante una API a esos datos cuando el titular haya dado permiso. 

Una de las principales ventajas de esta medida es el uso de agregadores financieros. Gracias al Open Banking, estos actores recopilan datos y permiten conocer el saldo y los movimientos de todas las cuentas corrientes de un usuario desde una sola plataforma, lo que facilita la gestión de finanzas personales. 

Seguridad en pagos electrónicos

La PSD2 afecta de lleno a los pagos electrónicos y no solo porque se reduzcan los intermediarios entre el comercio y el banco, sino porque a causa de la entrada en vigor de la SCA, al comprar por Internet ya no será suficiente con introducir los datos de una tarjeta (nombre del titular, numeración, fecha de caducidad y CVV) para validar la operación, sino que se requerirán otros datos de seguridad adicionales (los ya mencionados elementos de conocimiento, de posesión o de inherencia).

“¿Y qué ocurre con los bancos que mandan un SMS para confirmar una compra online? Sería lógico pensar que si la SCA exige que una operación se valide con dos factores, la mezcla de los datos de la tarjeta y, por ejemplo, un código recibido por SMS es más que suficiente. Pero no es así. La EBA ha señalado que los datos impresos en una tarjeta no constituyen un factor de verificación que cumpla con la SCA y por lo tanto no son válidos para autentificar la identidad del cliente”, subrayaron fuentes de HelpMyCash.

“De hecho, la PSD2 no solo resta validez a las tarjetas como medida de seguridad, sino que directamente prescinde de ellas, ya que permite abonar compras por Internet directamente con la cuenta bancaria, como si se realizase una transferencia”, agregaron. 

No obstante, debido al desafío que supone la implementación de la SCA en los pagos electrónicos, especialmente para los e-commerces, se ha aprobado una moratoria para su implementación que cuenta con el apoyo de la EBA y de los bancos centrales de distintos países de la eurozona, entre ellos España. Los actores que todavía no estén preparados para implementar la SCA disfrutarán de una prórroga de entre 14 y 18 meses (el plazo final no está decidido todavía).

“Pero ¿cada vez que compremos por Internet tendremos que usar dos factores de seguridad para verificar nuestra identidad? Lo cierto es que no, ya que la PSD2 recoge algunas excepciones para agilizar los pagos; eso sí, la decisión final sobre aplicarlas o no corresponde a cada banco”, informó el comunicado

Pagos de escaso importe

Cabe destacar que los pagos en comercios electrónicos de escaso importe disfrutarán de una medida de gracia, como los contactless, para que los consumidores puedan operar más rápidamente.  Si no superan los 30 euros, no será obligatorio aplicar la SCA, siempre y cuando no se hayan hecho más de cinco operaciones seguidas sin validar ni se hayan acumulado más de 100 euros consecutivos.

Seguir leyendo: