La directiva europea PSD2 sobre servicios de pago entró en vigor el pasado 14 de septiembre. La misma tiene como fin mejorar la seguridad de los pagos y disminuir el fraude en las compras por internet. La directiva tiene dos pilares fundamentales. El primero está orientado a los bancos, que deberán ceder los datos de sus clientes a terceras empresas con el objetivo de ofrecer servicios y soluciones más adaptados a los diferentes perfiles de cliente, siempre con su autorización explícita. El segundo tiene como objetivo el aumento en los niveles de seguridad de estas transacciones, por lo que los usuarios deberán realizar un proceso de doble autenticación cuando hagan compras online.
Ante la complejidad en la aplicación de la directiva, la Autoridad Bancaria Europea (EBA) ha aprobado una moratoria de 12 meses para que las empresas se adapten a la nueva directiva. De esta manera, el sector bancario, los proveedores de pagos electrónicos, las fintech, marketplaces y comercios online deberán tomar las decisiones necesarias para implementar las tecnologías adecuadas con el objetivo de cumplir con los requisitos de la nueva directiva.
El sector de comercio electrónico será uno de los más afectados por la PSD2. Con la entrada en vigor de esta directiva europea, habrá dos diferencias. Para todos los pagos será necesaria la doble autenticación (strong customer authentication). Luego, aparecerá la figura de un “iniciador de pago” para las transferencias bancarias, el cual dará la posibilidad a un comercio de iniciar una transferencia desde la cuenta del cliente, en su nombre. Para que el importe sea cargado, el usuario deberá dar su consentimiento explícito para que se realice la transacción.
La directiva introduce dos novedades: para todos los pagos será necesaria la doble autenticación y también aparece la figura del “iniciador de pago”
Además, en materia de seguridad, el usuario deberá pasar por un proceso de doble autenticación (SCA) al realizar el pago. Para ello, el usuario deberá identificarse a través de dos de los tres factores disponibles, con el fin de verificar su identidad y evitar fraudes. Estos factores podrán ser algo que tiene (dispositivo móvil o tarjeta de claves), algo que es de su conocimiento (contraseña o PIN) o un elemento biométrico que sea inherente al usuario (huella dactilar, retina o voz).
A pesar de ello, habrá transacciones que no estarán sujetas a la directiva PSD2. De esta manera, por ejemplo, las compras menores de 30 euros podrán realizarse como antes, sin necesidad de autenticación extra, siempre teniendo en cuenta que no se hayan efectuado más de cinco operaciones seguidas sin validar ni el total acumulado sea de 150 euros consecutivos, desde la última vez que haya autorizado una compra. Para el resto de las transacciones de mayor importe será necesario realizar la doble autenticación para procesarlas. En el caso de pagos recurrentes por la misma cantidad al mismo negocio, será obligatorio realizar la doble autenticación o SCA solo en el primer pago, siempre y cuando el usuario de su autorización expresa para realizar pagos posteriores.
Habrá transacciones que no estarán sujetas a la directiva PSD2, como las compras de menos de 30 euros
La directiva europea PSD2 plantea un gran desafío para las compañías de muchos sectores, especialmente para las del comercio electrónico, que aún deben adaptarse a la normativa. Para ello, será necesario que analicen las soluciones tecnológicas adecuadas para su negocio y así poder adecuarse a los nuevos requerimientos, siempre con el objetivo de garantizar seguridad total en los servicios de pagos europeo.
