PSD2: qué es y en qué consiste la nueva normativa de pagos online

Mejorar la seguridad de los pagos electrónicos, reducir el fraude y liberalizar el sector: esos son los grandes objetivos de la nueva directiva europea en medios de pago, más conocida como PSD2. Este reglamento pretende mediar entre los consumidores y todos los productos y servicios financieros disponibles, estandarizando el mercado único de pagos electrónicos de la Unión Europea; un mercado que no ha dejado de evolucionar en los últimos años de la mano del desarrollo tecnológico.

¿Qué es la normativa PSD2?

Las siglas de PSD vienen de directiva de servicios de pago en inglés, aunque en realidad regula bastante más que los servicios relacionados con la realización de pagos. El número dos le viene dado porque se trata de la segunda directiva en materia. La PSD2 sustituye a la primera directiva europea en medios de pago, o PSD, implementada en 2007 y que inauguró de forma efectiva un mercado único de pagos en la Unión Europea.

Ha pasado poco más de una década desde entonces, pero los sistemas de pagos electrónicos han cambiado mucho. En aquel 2007, herramientas como el pago móvil o la identificación biométrica apenas estaban extendidas y, al margen del sector bancario, no había apenas actores interesados en este mercado. En la última década, la innovación tecnológica y el auge de las fintech han hecho necesaria una actualización de la normativa.

La PSD2 busca así reforzar la seguridad de las transacciones en este escenario cada vez más complejo. Para ello, incorpora una serie de novedades técnicas, recogidas en los Regulatory Technical Standards (RTS) on Strong Customer Authentication, para reforzar, sobre todo, las medidas de doble autenticación del usuario. Permite, además, que terceras empresas intervengan en los pagos y accedan a los datos de los clientes (previa autorización), es decir, liberaliza en gran medida el mercado de pagos.

¿Cuándo entra en vigor la normativa PSD2?

La trayectoria de la implementación de la PSD2 está siendo larga y compleja. La PSD2 fue aprobada por el Parlamento Europeo en noviembre de 2015 como Directiva (EU) 2015/2366, un reglamento que acabó adaptándose al ordenamiento jurídico español mediante el Real Decreto-ley 19/2018, de 24 de noviembre de 2018. En ambos documentos se marcaba como fecha límite para la implementación de la PSD2 el 14 de noviembre de 2019.

Sin embargo, a medida que se acercaba la fecha, las autoridades bancarias de todos los países de la Unión Europea, así como la autoridad bancaria europea (EBA), recomendaron establecer una moratoria para la entrada en vigor de la PSD2. El principal motivo era la falta de preparación de muchos de los actores involucrados y, en especial, del pequeño comercio. Esta moratoria, tal como confirma el ministerio de Industria, Comercio y Turismo, concluyó el pasado 31 de diciembre.

Así, la PSD2 entró en pleno vigor el 1 de enero de 2021. Sin embargo, dada la situación excepcional vivida durante el último año por la mayoría de los negocios, varios sectores han solicitado nuevas moratorias. Aun así, parece poco probable que se produzca, dado que la normativa está plenamente implementada en muchos de los países de la UE.

¿Qué cambios supone la nueva PSD2?

La nueva normativa implica una serie de cambios ligados tanto a la liberalización y consolidación del mercado europeo de pagos, como a su seguridad. Estas son las principales novedades:

• Permitir a los actores no bancarios acceder a las cuentas de los clientes para realizar transacciones y gestionar sus datos financieros.
• Asentar elopen banking, desarrollar un mercado integrado de pagos (simplificando las transacciones entre países) y consolidar el espacio europeo de pagos (SEPA).
• Reforzar la seguridad mediante doble autenticación o Strong Customer Authentication (SCA). Esto supone que no bastará un PIN para autorizar un pago, sino que el cliente deberá usar, al menos, dos de estos métodos:
  • Un elemento poseído, como una tarjeta, un smartphone, un certificado digital.
  • Un elemento inherente único que identifique al cliente, como los sistemas de reconocimiento biométrico.
  • Un elemento conocido, como las contraseñas, códigos PIN o patrones.
• Implementar un sistema actualizado para el envío de los datos de la transacción entre el comercio y el gestor del pago. Se trata de la versión dos del protocolo 3D Secure (3DS). Este nuevo protocolo permite que los proveedores de servicios de pago (sean o no bancos) reciban los datos del cliente. Si el cliente lo autoriza, los proveedores de servicios financieros podrán acceder a estos datos mediante la API (application programming interface) pública de cada banco.

¿Cómo implementar la Directiva Europea PSD2?

La PSD2 afecta a múltiples sectores, pero la responsabilidad de su implementación no es la misma en todos ellos. El sector bancario y los proveedores de servicios de pago (PSP) son los que han tenido que aplicar la mayoría de los cambios. Así, desde el punto de vista de los negocios de comercio electrónico, no habrá que efectuar ningún cambio, a no ser que la empresa disponga de su propio servicio de pagos.

Para los proveedores PSP, sean o no entidades bancarias, implementar la PSD2 pasa por incluir nuevas formas de verificación de identidad para permitir la autenticación en dos pasos, cumplir con el nuevo protocolo en de envío de datos (la segunda versión del 3DS pasa a ser obligatoria) y asegurar que se cumplen con el resto de estándares técnicos especificados en el documento RTS on Strong Customer Authentication señalado al principio de este artículo.