En los últimos años, los servicios de pago han experimentado una transformación sin precedentes. La evolución tecnológica ha provocado cambios sustanciales en este tipo de transacciones, demandando una actualización a nivel legislativo en este ámbito. En este contexto, se ha elaborado la PSD2, una normativa europea que ha venido alargando sus plazos de entrada en vigor por el desajuste de las diferentes entidades a nivel tecnológico.
Consumidores, comercios y entidades financieras se han visto afectados por la entrada en vigor de la ley europea que refuerza la seguridad en los pagos electrónicos y, a su vez, la protección de datos.
Dadas las dificultades para la implementación de la autenticación reforzada, también denominada como SCA (Strong Consumer Authentication), las autoridades han dado cierto margen de actuación a los bancos para autorizar los pagos. Sin embargo, este proceso se ha ido retrasando, incorporándose de manera paulatina desde septiembre de 2019 hasta nuestros días.
¿Qué es la PSD2?
La PSD2 es el desarrollo de la primera normativa europea sobre servicios de pago (2007), que sirvió para la creación de la Zona Única de Pagos en euros, cuya función era garantizar la unificación de las transacciones con la moneda única entre países de la Unión Europea.
Esta evolución de la PSD mejora el mercado de los pagos electrónicos y se adapta a los tiempos modernos, ya que tiene en cuenta los pagos móviles y las transacciones online.
Además, esta evolución de la normativa europea de servicios de pago no solo afecta a los bancos y cajas, sino que también incluye a los comercios online, a los consumidores y a dos nuevos actores que la PSD2 pretende controlar: los servicios de información sobre cuentas (AISP) y los servicios de inicio de pagos (PISP).
El objetivo del PSD2 es incrementar la seguridad en los procesos de pago en la Unión Europea, promoviendo la innovación y la transformación digital de los servicios bancarios, entre otros. Esto pone de manifiesto una vez más la importancia de las APIS (Application Program Interface), que tiene como objetivo principal proporcionar un conjunto de funciones de uso general.
¿Para qué sirve la PSD2?
La PSD2 viene a unificar el mercado europeo de los pagos electrónicos, reforzando los derechos de los consumidores y permitiendo el acceso a terceros de sus datos financieros. Esta segunda versión introduce nuevas normas de refuerzo en los pagos online, como por ejemplo la autenticación en dos pasos.
La PSD2 tiene como principales objetivos:
- Crear un marco que regule y potencie el crecimiento del mercado de pagos digitales dentro la Eurozona.
- Implementar nuevas normas para agilizar los pagos entre países miembros de la Unión Europea.
- Introducir nuevos competidores dentro del sector de los pagos electrónicos para incrementar la competitividad.
Además, esta directiva viene a desarrollar dos tipos de servicios que ya existían en la primera PSD, pero que han experimentado un desarrollo sin precedentes en los últimos años. Por un lado, los servicios de iniciación de pagos (PIS) y por otro los servicios de información sobre cuentas (AIS).
En lo que respecta al servicio de información sobre cuentas (AIS), este desarrollo de la PSD ha permitido que el usuario pueda acceder a sus datos bancarios de manera unificada, aunando toda la información de sus respectivas cuentas en un único lugar.
Por otra parte, en relación a los servicios de iniciación de pagos (PIS), que permiten el acceso de nuestros datos bancarios a terceros, ya sea otros bancos o Fintech (también conocidos como Third Party Providers), se han incorporado los pagos electrónicos, permitiendo la intervención de estos agentes en los pagos, mejor conocido como open banking.
Antes, los Third Party Providers (TPPs) encontraban impedimentos para ofrecer sus soluciones a gran escala en los distintos estados de la Unión Europea. Al eliminarse estas restricciones con el desarrollo de la PSD, los TPPs deben cumplir la misma normativa que los proveedores de servicios de pago tradicionales: registro, autorización y supervisión por las autoridades competentes.
Por otra parte, la PSD2 también regula los pagos electrónicos, un tipo de transacción que ha adquirido una popularidad exponencial en la última década. De esta forma, el desarrollo de esta directiva ha permitido alcanzar las siguientes ventajas:
- Sistema de doble autenticación, para pagos electrónicos
- Se reduce la responsabilidad de 150 a 50 euros en caso de fraude con derecho al reembolso. Aunque a partir del 1 de febrero de 2021 cambió a 30 euros.
- Los pagos con tarjeta sin recargos.
- Compras online más agiles.
- Obligatoriedad del registro público de instituciones de pago de la Autoridad Bancaria.
¿Qué legislación la regula?
La PSD2 es una regulación a nivel europeo sobre métodos de pagos electrónicos. Se rige por la directiva europea 2015/2366, el reglamento delegado PSD de la Unión Europea 2018/389 (por el que se regula la autenticación reforzada del usuario) y por el dictamen del 21 de junio de la European Banking Authority (EBA). La Autoridad Bancaria Europea es una institución con autoridad independiente, cuyo fin es garantizar la coherencia regulativa y supervisión en todo el ámbito bancario.
En España se aprobó el Real Decreto Ley 19/2018 de servicios de pago para transponer esta normativa a nuestro ordenamiento. Esta norma recoge los derechos y obligaciones de entidades y clientes en tema de servicios de pago. Cabe destacar insistencia en consolidar las medidas de seguridad para la ejecución de transacciones, incluyendo la doble autenticación o autenticación reforzada.
¿Cuándo se llevará a cabo?
En un principio, se planteó la entrada en vigor de las obligaciones de autenticación y acceso de terceros con fecha del 14 de septiembre de 2019. No obstante, tanto la normativa española como la europea han ido retrasando su implementación.
A nivel europeo, el Reglamento delegado 2018/389, que regula específicamente el sistema de autenticación reforzada del cliente, situó la implementación a 14 de septiembre de 2019, fecha en la que se suponía que la PSD2 entraría en vigor en su totalidad. Pero a día de hoy hay muchas compañías que todavía no están preparadas para la implementación de la autenticación reforzada en la Unión Europea.
Por su parte, en España esta normativa ha llegado con un retraso de más de un año, en noviembre de 2018. En un principio, se estableció como fecha límite el 31 de enero de 2020 para la entrada en vigor de las obligaciones de autenticación y acceso de terceros, con el objetivo de facilitar la incorporación de las mismas en las corporaciones. Sin embargo, este plazo se ha extendido hasta la actualidad.
En definitiva, aunque la Comisión Europea ha dado plazo para el cumplimiento de todos los métodos de seguridad, son los pequeños comercios electrónicos los que se están encontrando con grandes problemas tecnológicos, siendo los más afectados por esta nueva normativa europea.
Biblioteca on-line Protección de Datos
