Guía para entender la PSD2

La PSD2 (Payment Service Directive 2) es la nueva regulación europea para el entorno de pagos en internet. Esta nueva directiva unifica las condiciones en la que todos los proveedores de servicios de pago realizan sus servicios dentro de la Unión Europea, con el fin de mejorar la seguridad y reforzar la protección contra fraudes en las operaciones bancarias realizadas a través de internet.

¿Qué supone esta normativa para los consumidores?

La PSD2 aumenta y ofrece nuevos derechos a los compradores como:

1. Prohibición absoluta de que los comercios realicen "recargos" por sus pagos online.
2. Facultad de rescisión. Los usuarios de los servicios PSD2 pueden rescindir su contrato sin previo aviso y, salvo si el contrato ha sido inferior a seis meses, la rescisión será gratuita.
3. Rectificación de operaciones no autorizadas. En caso de una operación no autorizada por el usuario, ésta deberá ser corregida inmediatamente.
4. Responsabilidad limitada ante el fraude. Los usuarios que hayan sido víctimas de operaciones fraudulentas tendrán una responsabilidad máxima de 50 euros.
5. Agilización de reclamaciones. Se garantizará que las reclamaciones de usuarios a su entidad se resuelvan en un plazo máximo de 15 días.

Autenticación reforzada

En su lucha contra el fraude y en su afán de aumentar la seguridad, la directiva PSD2 exige implementar medidas de autenticación reforzada o doble autenticación. Durante el proceso de pago, además, se enviarán unos datos, llamados SCA (Strong Customer Authenticacion), que asegurarán que comercio y cliente son de confianza.

Para que la operación de pago se lleve a buen término y sea autorizada, será necesario emplear al menos dos de estos métodos en el pago:

1. Elemento inherente: huella dactilar, iris o reconocimiento facial, sistemas habituales en los dispositivos móviles.
2. Elemento poseído: algo físico como una tarjeta, un certificado digital o un teléfono móvil.
3. Elemento conocido: un número PIN o contraseña.

Los protocolos 3D Secure y 3D Secure 2, que desarrollan VISA y Mastercard, serán los garantes de que el proceso de compra sea seguro, efectivo y adaptado a la PSD2. Por su parte, Apple Pay y Google Pay también cumplirán con estos estándares.

Excepciones a la autenticación reforzada

También encontramos en esta normativa una serie de excepciones que estarían excluidas de los pagos con autenticación SCA:

• Pagos de menos de 30 €
• Pagos recurrentes ya aprobados
• Ventas telefónicas
• Tarjetas de empresa
• Compras de menos de 100 € para entidades con un fraude menor del 0,13 %
• Compras de menos de 250 € para entidades con un fraude menor del 0,06 %
• Compras de menos de 500 € para entidades con un fraude menor del 0,01 %

La gran novedad: cambia la relación entre cliente, comercio y banco. Llegan los “terceros”

Quizás, la novedad más destacable de esta nueva leyes que permite abrir los servicios de pago de los bancos a terceros, los llamados TPPS (Third Party Payment Service Providers).

Hasta ahora, cuando un usuario hacía una compra online, la plataforma de pago del comercio electrónico conectaba con la empresa emisora de la tarjeta (ej. Visa o Mastercard) para que ésta realizase el cobro en la cuenta del cliente.

Sin embargo, con la PSD2, el consumidor podrá autorizar al comercio, por ejemplo, Google, Facebook o Amazon, para que ejecute pagos en su nombre a través de su cuenta bancaria. Es decir, el comercio y el banco se comunicarán ahora directamente utilizando una API (Application Programming Interface) y, evidentemente, esto solo sucederá si el cliente ha dado su autorización para que esto ocurra.

Todo ello se traduce, fundamentalmente, en que podremos comprar sin tarjeta de pago en comercios electrónicos. Además, tendremos acceso a apps que permitan ver de forma unificada nuestra información financiera.

Los TPPS que decidan prestar estos servicios deberán convertirse en entidades reguladas y estarán sometidos a la supervisión del Banco de España y habrá de dos tipos:

• Proveedores de Servicio de Iniciación de Pagos (PISPs). Los PISP permiten crear una plataforma que hace de “puente” entre la cuenta bancaria del comprador y la del comercio. Este software completa toda la información necesaria para realizar la transferencia del importe y notifica al retailer del inicio de la transacción.
• Proveedores de Servicio de Información de Cuenta (AISPs). Estos proveedores recopilan y muestran toda la información de la cuenta bancaria del comprador en un único lugar. Esto facilita que el cliente pueda acceder fácilmente a sus gastos, ingresos y otros datos.

Con este cambio se pretende agilizar el proceso de compra, ya que se simplifica la tradicional cadena de compra: comercio – proveedor de pagos – compañía de la tarjeta – banco; por una nueva de solo un paso: comercio – banco.

¿Cómo afectará a mi comercio electrónico?

Esta normativa afecta fundamentalmente a las plataformas de pago por terceros y a los propios bancos, de modo que el cambio más importante que debe hacer un propietario de una tienda online es asegurarse de que su sistema de pago incluye doble autenticación.

Para cumplir con la doble autenticación será necesario que el comercio active el protocolo 3D Secure y, para ello, deberá hablar con su entidad bancaria para asegurarse que dicho protocolo está activo y que nuestra pasarela envía los datos SCA al banco emisor.

En este sentido, las plataformas o bancos que facilitan los TPV virtuales ya están adaptándose al nuevo sistema e incorporan herramientas de prevención de fraude y, lo más probable, es que no necesitemos realizar ninguna acción, aunque, como hemos comentado, lo más recomendable es acudir al banco e informarse antes del 14 de septiembre.

Si el comercio usa gestores de contenido como PrestaShop, Magento o WooCommerce con pasarelas que no estén adaptadas a la PSD2, los módulos de cesta de compra de estas plataformas deberán recoger de forma automática los SCA.

La PSD2 también prevé métodos de pago alternativos por lo que en un futuro veremos aumentar las modalidades de pago que podremos implementar en nuestra tienda online.

En resumen…

La PSD2 mejorará sustancialmente la seguridad de las transacciones online y protegerá a los usuarios europeos ante el fraude electrónico (que en nuestro país supone el 29 % de los fraudes relacionados con las compras).

Aunque la norma es compleja, adaptarse a ella no supone un excesivo esfuerzo para los propietarios de comercios electrónicos y aquellos que estén preparados ofrecerán mejores y más ágiles experiencias de compra a sus clientes.