La normativa europea que revoluciona los pagos electrónicos
Una de las consecuencias más inmediatas de la entrada en vigor de la directiva europea PSD2 es la implementación del sistema de autenticación online
Los españoles ya están empezando a notar los efectos de la directiva PSD2 –la Directiva Europea que regula los servicios de pago–. Una de las consecuencias más inmediatas de su entrada en vigor ha sido la implementación del sistema de autenticación reforzada del cliente (SCA), que de momento afecta al acceso a la banca online, aunque en el futuro también se implementará en los pagos electrónicos.
La norma europea, en vigor desde el pasado 14 de septiembre, exige a los proveedores de servicios de pago que verifiquen la identidad de sus clientes con al menos dos elementos de seguridad de tres posibles: un elemento de conocimiento (algo que sepa el usuario), un elemento de posesión (algo que tenga) y un elemento inherente (algo que sea el cliente).
Para cumplir con la normativa, desde el pasado sábado algunas entidades solicitan al cliente un código de un solo uso recibido por SMS para acceder a la banca online, que se debe introducir junto con las credenciales habituales (así se combinan dos elementos de seguridad), mientras que otras requieren que el usuario confirme una notificación enviada a su móvil a través de la app del banco, explican los expertos de HelpMyCash.com.
En cualquier caso, una de las principales consecuencias de la PSD2 es que ahora los españoles necesitan un teléfono móvil para acceder a la banca online a través de un ordenador o de una tableta. Y no solo eso, sino que es fundamental haber informado a la entidad del número de teléfono correcto para poder operar por Internet.
Pagos ‘contactless’: cambian los límites
Las compras abonadas con tarjeta en comercios físicos deben validarse como hasta ahora, ya sea usando un código pin o bien un elemento biométrico. Lo que cambia con la PSD2 son los límites establecidos en los pagos contactless. Las compras por importe inferior a 20 euros se pueden pagar sin necesidad de introducir el código pin, siempre y cuando no se hayan realizado más de cinco operaciones seguidas sin validar o no se hayan acumulado más de 150 euros en compras consecutivas sin pin. Una vez se superen esos límites, en la siguiente compra se deberá teclear el código.
Lo que cambia con la PSD2 son los límites establecidos en los pagos contactless
En principio, las operaciones realizadas con Apple Pay y Samsung Pay no se verán afectadas por estos límites, ya que, aunque no se use el código pin, se autentifican mediante biometría (huella o reconocimiento facial). Tampoco se solicitará el segundo factor de seguridad cuando se abonen pagos en terminales no atendidos de parkings o del sector de los transportes, como los peajes.
La tarjeta de coordenadas se jubila
Varios bancos ya han anunciado que sus tarjetas de coordenadas dejarán de ser útiles, al menos para operar por canales digitales. Y no es que la banca se haya puesto de acuerdo para jubilarlas, sino que la Autoridad Bancaria Europea (EBA) ha aclarado que no computan como elemento de seguridad y que no cumplen con la SCA, por lo que no se podrán usar para verificar la identidad del cliente.
La directiva europea reduce la responsabilidad de los consumidores en caso de fraude. Si sufrimos un pago no autorizado, nuestra responsabilidad se reducirá a los primeros 50 euros gastados de forma fraudulenta antes de notificar el incidente. Antes la cifra era de 150 euros.
Tú decides con quien compartir tus datos
La PSD2 permite a los consumidores tomar el control sobre sus datos financieros y les otorga el derecho a compartirlos con terceros. Aunque los bancos sigan siendo los custodios de esa información, deberán dar acceso a otras compañías, mediante una API, a esos datos cuando el titular haya dado permiso.
Una de las principales ventajas de esta medida es el uso de agregadores financieros. Gracias al Open Banking, estos actores recopilan nuestros datos y nos permiten conocer el saldo y los movimientos de todas nuestras cuentas corrientes desde una sola plataforma, lo que nos facilita la gestión de nuestras finanzas personales.
Los pagos electrónicos, más seguros
La PSD2 afecta de lleno a los pagos electrónicos y no solo porque se reduzcan los intermediarios entre el comercio y el banco, sino porque a causa de la entrada en vigor de la SCA, al comprar por Internet ya no será suficiente con introducir los datos de una tarjeta (nombre del titular, numeración, fecha de caducidad y CVV) para validar la operación, sino que se requerirán otros datos de seguridad adicionales (los ya mencionados elementos de conocimiento, de posesión o de inherencia).
¿Y qué ocurre con los bancos que mandan un SMS para confirmar una compra online? Sería lógico pensar que si la SCA exige que una operación se valide con dos factores, la mezcla de los datos de la tarjeta y, por ejemplo, un código recibido por SMS es más que suficiente. Pero no es así. La EBA ha señalado que los datos impresos en una tarjeta no constituyen un factor de verificación que cumpla con la SCA y por lo tanto no son válidos para autentificar la identidad del cliente.
De hecho, la PSD2 no solo resta validez a las tarjetas como medida de seguridad, sino que directamente prescinde de ellas, ya que permite abonar compras por Internet directamente con la cuenta bancaria, como si se realizase una transferencia.
La PSD2 prescidne de las tarjetas como medida de seguridad
No obstante, debido al desafío que supone la implementación de la SCA en los pagos electrónicos, especialmente para los ecommerces, se ha aprobado una moratoria para su implementación que cuenta con el apoyo de la EBA y de los bancos centrales de distintos países de la eurozona, entre ellos España. Los actores que todavía no estén preparados para implementar la SCA disfrutarán de una prórroga de entre 14 y 18 meses (el plazo final no está decidido todavía).
Más características
Pero ¿cada vez que compremos por Internet tendremos que usar dos factores de seguridad para verificar nuestra identidad? Lo cierto es que no, ya que la PSD2 recoge algunas excepciones para agilizar los pagos; eso sí, la decisión final sobre aplicarlas o no corresponde a cada banco.
Por ejemplo, cuando Netflix, HBO o Spotify nos cobre la cuota mensual en nuestra tarjeta no cambiará nada, ya que la directiva PSD2 exime del uso de la SCA en los pagos recurrentes por un mismo importe y con un mismo beneficiario (la primera vez que se pague sí será necesaria la autenticación reforzada). Asimismo, algunos bancos ya han informado de que están trabajando en la creación de una lista blanca, en la que los consumidores podrán incluir beneficiarios de confianza para que los pagos dirigidos a ellos no requieran la SCA.
La PSD2 recoge algunas excepciones para agilizar los pagos aunque las características variaran en función del banco
Por otra parte, los pagos en comercios electrónicos de escaso importe también disfrutarán de una medida de gracia, como los contactless, para que los consumidores puedan operar más rápidamente. Si no superan los 30 euros, no será obligatorio aplicar la SCA, siempre y cuando no se hayan hecho más de cinco operaciones seguidas sin validar ni se hayan acumulado más de 100 euros consecutivos.
