Actualidad

PSD2: las implicaciones de la nueva normativa de pagos online

Desde que el pasado 14 de septiembre entrase en vigor la nueva normativa europea PSD2, ha comenzado una nueva etapa en los pagos y transacciones en Internet. Con ella se busca reforzar la seguridad en los pagos electrónicos y regular la llegada de nuevos actores en el comercio online.

La evolución del comercio electrónico ha puesto en evidencia la necesidad de actualizar la antigua normativa PSD (Payment Services Directive) del año 2007. La necesidad de una mayor transparencia en los pagos y la llegada a este mercado de nuevos operadores, como las fintech, ha llevado a una necesaria actualización hacia la nueva directiva europea PSD2, que en España ha entrado en vigor con el Real Decreto Ley 19/2018.

Además de mejorar la seguridad, simplificar las transacciones, y aportar innovación a los servicios de pago, la PSD2 llega con cambios que afectarán, no solo a los usuarios, sino también a las entidades bancarias y cualquier tipo de comercio electrónico, incluido los tecnológicos.

Asimismo, hay que tener en cuenta que, pese a ser una normativa comunitaria, no solo afecta a las empresas europeas, sino también a todas aquellas que, fuera del espacio geográfico de la UE, comercian con clientes en el espacio económico europeo. Éstas deberán adaptar sus sistemas para cumplir con la PSD2 en sus transacciones.

Mejoras en seguridad

Sin duda, las mejoras que contempla la PSD2 en materia de seguridad con una de las grandes bazas de la normativa para los pagos por Internet. En primer lugar, porque a partir de ahora será necesario la doble autenticación a la hora de hacer un pago. Es la también llamada SCA (Strong Customer Authentication o Autenticación Reforzada del Cliente) que hace uso de dos factores de autenticación para acceder a las aplicaciones online de los bancos para realizar pagos.

Con PSD2 será necesaria la doble autenticación que elegirá el usuario entre tres parámetros

Hasta ahora los pagos en Internet se realizaban tan solo suministrando los datos de la tarjeta de crédito, aunque muchos sistemas ya contemplaban la necesidad de introducir el código que la entidad bancaria enviaba mediante un SMS al teléfono móvil del usuario. Sin embargo, con la entrada en vigor de la PSD2 será necesario hacer uso de dos parámetros. Eso sí, ya no será imprescindible introducir los datos de la tarjeta bancaria.

Esto implica que el usuario deberá elegir dos de tres parámetros que tiene a su disposición y que lo identifican como único: su número de teléfono móvil o DNI, una contraseña o código PIN, y una identificación biométrica, siendo la huella digital y el reconocimiento facial (Face ID) las más extendidas.

¿Qué implicaciones tiene esto? Inicialmente, al no ser necesario introducir el número de cuenta bancaria sino solo utilizar dos de estos tres parámetros, las plataformas de pago o pasarelas de pago desaparecen de estas transacciones. Así como tampoco será necesario ingresar el número de tarjeta cada vez que se realice una compra online, simplificando el proceso.

No obstante, esto implica que el teléfono móvil, así como los dispositivos desde los que se realicen estas transacciones, al cobrar mayor protagonismo, deberán contar con la seguridad adecuada para su protección.

Las operaciones en retailers deberán contar con doble autenticación

También será clave tener todos los datos actualizados en la entidad bancaria, ya que el segundo parámetro de autenticación solo se podrá introducir una vez cada 90 días, que se remitirá un nuevo código SMS válido otros 90 días.

En los retailers físicos, las PSD2 contempla que todas las operaciones deberán contar con doble autenticación excepto en los pagos contactless de menos de 20 euros con salvedades como un máximo de cinco operaciones seguidas sin PIN, o más de 150 euros es compras, operaciones realizadas por correo o teléfono, y en terminales no atendidos de párkings o transporte.

Período de adaptación

Si bien los bancos trabajan hace tiempo en la implantación de las medidas necesarias para ofrecer estos servicios, algunos expertos apuntan que la puesta en marcha de la PSD2 requerirá de un tiempo de adaptación.

De hecho, algunas entidades ya han anunciado que sus tarjetas de coordenadas dejarán de utilizarse, al menos para operar en canales digitales ya que la EBA, la Autoridad Bancaria Europea, no la contempla como elemento de seguridad.

En el período de adaptación, las ventas podrían caer entre un 20% y un 25%

Teniendo en cuenta que la adaptación a estas nuevas medidas no siempre es rápida ni sencilla, la EBA ha concedido un tiempo adicional para la aplicación de esta nueva normativa. En el caso español, el Banco de España ha pedido un plazo de 12 meses para que las compañías puedan adaptarse. A falta de conocer definitivamente el período de moratoria concedido, éste podría oscilar entre los 14 y los 18 meses.

Para muchos, este tiempo necesario de adaptación será clave para sus negocios. Desde entidades como Visa estiman que las plataformas de comercio electrónico podrían experimentar una caída de las ventas de entre el 20% y el 25%, especialmente en los primeros meses de la puesta en marcha de la normativa. No obstante, es de esperar que estas ventas se recuperen tan pronto el cliente esté más familiarizado con los cambios introducidos.

Un factor clave en este impacto será tener en cuenta que la PSD2 ha entrado en vigor en el último trimestre del año, uno de los que registran mayores ventas al coincidir con períodos de promociones como el Black Friday o el Cyber Monday, además de la campaña navideña y, en algunos casos, el adelanto de las rebajas de enero.

Nuevas oportunidades

Pero, junto a estos desafíos que presenta la segunda Directiva de Servicios de Pago de la UE, más allá del foco en la seguridad también se busca ampliar las posibilidades de servicio para los clientes. Y no solo al simplificar los pagos, tanto para clientes como para plataformas y tiendas de comercio electrónico.

También el hecho de simplificar estos pagos da alas a la ya de por sí creciente utilización de los dispositivos móviles para hacer las compras online. Esto, unido a los datos de autenticación biométrica, y la mejorada experiencia online, facilitará la disponibilidad de mayores datos referentes a las actitudes y comportamientos de los clientes a la hora de realizar las compras online.

La simplificación de los datos agiliza el proceso de pago para el comprador, lo que se prevé que se traduzca en un mejor abandono en el proceso de la compra y, al mismo tiempo, una reducción en las tasas de fraude.

Al mismo tiempo, esto abrirá las puertas a nuevos actores. Por un lado, los denominados PISP (Payment Iniciation Service Provider), el software que hará de intermediario entre las entidades bancarias y los comercios. Y, por otro, las AISP (Account Information Service Provider), que tendrán en una misma plataforma todos los datos de los productos financieros del cliente.

PSD2 para todos

Sin duda, la necesidad de adaptase a esta nueva directiva de seguridad para los pagos online supone un importante desafío para todos los actores de la industria de pagos. Las compañías van a tener que cambiar sus formas de operar en sus pagos, sobre todo en algunos sectores, como el retail o el comercio electrónico tradicional.

La tasa de fraude en Europa es del 0,5% del volumen de operaciones, y de un 0,1% en España

Precisamente éstos serán los que tengan que hacer menos adaptaciones ya que, en la mayoría de los casos, la plataforma está creada para redirigir a la entidad bancaria donde se realiza el proceso de pago. Serán los bancos los que deban hacer los cambios pertinentes de acuerdo a la PSD2 y, por tanto, serán los que asuman las responsabilidades en casos de fraude.

Cabe señalar que, a pesar de esto, Europa es el continente con una de las tasas de fraude más bajas del mundo, un 0,5% del volumen de operaciones y, en el caso de España, el porcentaje se reduce hasta un 0,1%.

No obstante, los expertos apuntan que no será hasta finales de 2020 o principios de 2021 cuando todos los actores implicados hayan hecho los cambios pertinentes y esté todo acorde a lo que establece la nueva normativa.

Imagen inicial | rupixen