¿Qué es la normativa PSD2?

La directiva o normativa PSD2 es una regulación europea sobre servicios de pago electrónicos en la UE, que ha allanado el camino para el surgimiento del open banking o banca abierta. Se publicó por primera vez en el 2015 y entró en vigencia en enero del 2018. Esta normativa brinda a los clientes el derecho de acceder a sus cuentas de pago y a iniciar pagos a través de terceros. 
La PSD2 es la segunda versión de la Directiva de Servicios de Pago (PSD), que se introdujo por primera vez en 2007. El objetivo de la PSD2 es mejorar la seguridad y la transparencia de los pagos en línea, así como promover el desarrollo de nuevos modelos de negocio y servicios financieros innovadores. 

La PSD2 establece un marco legal para la prestación de servicios de pago en la Unión Europea e implementa nuevas reglas para los pagos con tarjetas de débito y crédito, así como para otros tipos de pagos que utilizan instrumentos electrónicos, como los pagos por banca abierta.

¿Cuáles son las principales novedades de la directiva PSD2?

Dos grandes novedades que llegaron junto con la segunda directiva de servicios de pago o PSD2 son: la apertura de los servicios de pago a proveedores externos (TPP) y la introducción de nuevas medidas de seguridad como la Autenticación reforzada de clientes (SCA).

Antes, el mundo de los pagos pertenecía de forma exclusiva a los bancos. La normativa PSD2 abre las puertas de este mercado a los proveedores externos o TPP (como fintechs y compañías de tecnología) autorizados a ofrecer servicios de pago. Esto significa que, si un cliente lo desea, otro proveedor de servicios podrá acceder a su cuenta y realizar pagos en su nombre.

De esta forma, los clientes cuentan con más opciones, y pueden comparar y elegir el proveedor que mejor se adapte a sus necesidades. La PSD2 busca generar mayor competencia en el mercado de los pagos y fomentar la innovación en los métodos de pago.

La PSD2 también establece nuevas obligaciones para los proveedores de servicios de pago (PSP) en lo que respecta a la protección de datos y a la lucha contra el fraude.

Por ejemplo, los PSP están obligados a permitir que los proveedores externos accedan a los datos y a los pagos. Antes, los clientes deben dar su consentimiento explícito para que sus datos se compartieran. 

También, la PSD2 requiere que los proveedores de servicios de pago ofrezcan a los clientes la opción de autorizar pagos mediante una «autenticación fuerte», que se conoce como «Autenticación reforzada de clientes» (SCA). Esta requiere dos o más factores para autorizar un pago. 

¿Cómo afecta a los clientes la autenticación reforzada de la PSD2?

La autenticación reforzada de clientes o SCA tiene como fin reducir el riesgo de fraude en las transacciones. La SCA requiere que el cliente utilice al menos dos de los siguientes elementos para autenticarse:

• Algo que solo el cliente conoce: una contraseña o un código PIN

• Algo que solo el cliente tiene: un teléfono móvil o una tableta

• Algo que el cliente es: una huella dactilar o el reconocimiento facial

La SCA se aplica a las operaciones con tarjetas y otros medios de pago electrónicos como los pagos por banca abierta o las transferencias SEPA.

Gracias a estos nuevos métodos de seguridad, los pagos elecrónicos se vuelven más seguros y menos propensos al fraude, ya que los comerciantes deben solicitar autorización para cada pago, y los clientes tienen que confirmar su identidad antes de operar.

¿Cómo afecta la normativa PSD2 a las empresas?

Si bien esta normativa plantea un reto importante para las empresas, ya que deben adaptarse a las nuevas reglas del juego, también supone una oportunidad para ofrecer nuevos servicios a sus clientes, mejorar la relación con ellos y reducir en gran medida el riesgo de fraude. 

En especial, esto afecta a todas aquellas empresas que se dedican al comercio electrónico o que reciben pagos en línea. 

En conformidad con la PSD2, las tiendas online deben ofrecer a los usuarios la posibilidad de utilizar una clave o un código PIN para confirmar sus compras y la posibilidad de guardar sus datos de pago en una plataforma segura.

Estas plataformas seguras, por su parte, deben incluir una interfaz abierta que les permita a los usuarios acceder a sus datos de pago y utilizarlos en otras tiendas online.

En la actualidad, existen más de 500 empresas autorizadas que prestan servicios de banca abierta a clientes de toda la UE, mientras que antes de la PSD2 solo existían unas pocas. Y esto ha dado lugar a una gran innovación, con la que las empresas pueden combinar los pagos con los datos para la verificación de usuarios, las comprobaciones de asequibilidad y la incorporación de nuevos clientes. 

¿Cuándo entró en vigor la directiva PSD2 en España?

Si bien la Comisión Europea propuso la PSD2 en julio de 2013, los diferentes países de la UE la fueron implementando en diferentes momentos según la realidad particular de cada uno.

En el caso de España, para facilitar la transición, se estableció un plazo específico para que las empresas se adaptaran a la nueva normativa, y este plazo finalizó el 14 de septiembre de 2019, cuando finalmente la directiva PSD2 entró en vigor.

Su implementación se llevó a cabo a través de la Ley 36/2014, de 26 de diciembre, de regulación del sector financiero. Según esta ley, el Banco de España sería el supervisor encargado de velar por el correcto cumplimiento de la normativa.

Desde entonces, los españoles han podido disfrutar de un mayor nivel de protección y seguridad en sus pagos en línea. 

¿Cómo implementar la normativa europea PSD2?

Como ya hemos mencionado, la PSD2 establece un marco legal para la banca abierta. El Parlamento Europeo y el Consejo la aprobaron en noviembre de 2015 y comenzó a implementarse en todos los estados miembros de la Unión Europea (UE) a partir del 13 de enero de 2018.   

En concreto, para implementar esta normativa, los bancos deben brindar acceso a terceros a sus cuentas de pago. Para poder permitir el acceso a terceros, los bancos deben contar con API de banca abierta. De esta forma, los clientes pueden autorizar a estos terceros el acceso a sus cuentas para iniciar pagos. Los clientes deben brindar una autorización explícita a los terceros para que tengan acceso a sus cuentas y deben confirmar cada pago antes de que se realice.

La normativa PSD2 también establece requisitos de seguridad y autenticación más estrictos para proteger los datos y los fondos de los clientes, lo que grarantizará que las operaciones sean más que seguras.

TrueLayer cumple con la normativa PSD2 y cuenta con el permiso para brindar Servicios de información de cuentas (AIS) y Servicios de iniciación de pagos (PIS). Para conocer más acerca de cómo TrueLayer puede ayudar a las empresas a sacar el máximo partido de la PSD2 y la banca abierta, ponte en contacto con nosotros.