Los españoles ya están empezando a notar los efectos de la directiva PSD2. Una de las consecuencias más inmediatas de su entrada en vigor ha sido la implementación del sistema de autenticación reforzada del cliente (SCA), que de momento afecta al acceso a la banca online, aunque en el futuro también se implementará en los pagos electrónicos.
La norma europea, en vigor desde el pasado 14 de septiembre, exige a los proveedores de servicios de pago que verifiquen la identidad de sus clientes con al menos dos elementos de seguridad de tres posibles: un elemento de conocimiento (algo que sepa el usuario), un elemento de posesión (algo que tenga) y un elemento inherente (algo que sea el cliente).
Para cumplir con la normativa, desde el pasado sábado algunas entidades solicitan al cliente un código de un solo uso recibido por SMS para acceder a la banca online, que se debe introducir junto con las credenciales habituales (así se combinan dos elementos de seguridad), mientras que otras requieren que el usuario confirme una notificación enviada a su móvil a través de la app del banco, explican los expertos del comparador de productos bancarios HelpMyCash.com. En cualquier caso, una de las principales consecuencias de la PSD2 es que ahora los españoles necesitan un teléfono móvil para acceder a la banca online a través de un ordenador o de una tableta. Y no solo eso, sino que es fundamental haber informado a la entidad del número de teléfono correcto para poder operar por Internet.
Pagos ‘contactless’: cambian los límites
Las compras abonadas con tarjeta en comercios físicos deben validarse como hasta ahora, ya sea usando un código pin o bien un elemento biométrico. Lo que cambia con la PSD2 son los límites establecidos en los pagos contactless. Las compras por importe inferior a 20 euros se pueden pagar sin necesidad de introducir el código pin, siempre y cuando no se hayan realizado más de cinco operaciones seguidas sin validar o no se hayan acumulado más de 150 euros en compras consecutivas sin pin. Una vez se superen esos límites, en la siguiente compra se deberá teclear el código.
En principio, las operaciones realizadas con Apple Pay y Samsung Pay no se verán afectadas por estos límites, ya que, aunque no se use el código pin, se autentifican mediante biometría (huella o reconocimiento facial). Tampoco se solicitará el segundo factor de seguridad cuando se abonen pagos en terminales no atendidos de parkings o del sector de los transportes, como los peajes.
La tarjeta de coordenadas se jubila
Varios bancos ya han anunciado que sus tarjetas de coordenadas dejarán de ser útiles, al menos para operar por canales digitales. Y no es que la banca se haya puesto de acuerdo para jubilarlas, sino que la Autoridad Bancaria Europea (EBA) ha aclarado que no computan como elemento de seguridad y que no cumplen con la SCA, por lo que no se podrán usar para verificar la identidad del cliente. En el caso de las operaciones por banca online, se han sustituido por códigos enviados por mensaje de texto o por notificaciones vía app, tal y como explica HelpMyCash.
Menor responsabilidad en caso de fraude
La directiva europea reduce la responsabilidad de los consumidores en caso de fraude. Si sufrimos un pago no autorizado, nuestra responsabilidad se reducirá a los primeros 50 euros gastados de forma fraudulenta antes de notificar el incidente. Antes la cifra era de 150 euros.
Tú decides con quien compartir tus datos
La PSD2 permite a los consumidores tomar el control sobre sus datos financieros y les otorga el derecho a compartirlos con terceros. Aunque los bancos sigan siendo los custodios de esa información, deberán dar acceso a otras compañías, mediante una API, a esos datos cuando el titular haya dado permiso.
Una de las principales ventajas de esta medida es el uso de agregadores financieros. Gracias al Open Banking, estos actores recopilan nuestros datos y nos permiten conocer el saldo y los movimientos de todas nuestras cuentas corrientes desde una sola plataforma, lo que nos facilita la gestión de nuestras finanzas personales.
Los pagos electrónicos, más seguros
La PSD2 afecta de lleno a los pagos electrónicos y no solo porque se reduzcan los intermediarios entre el comercio y el banco, sino porque a causa de la entrada en vigor de la SCA, al comprar por Internet ya no será suficiente con introducir los datos de una tarjeta (nombre del titular, numeración, fecha de caducidad y CVV) para validar la operación, sino que se requerirán otros datos de seguridad adicionales (los ya mencionados elementos de conocimiento, de posesión o de inherencia).
¿Y qué ocurre con los bancos que mandan un SMS para confirmar una compra online? Sería lógico pensar que si la SCA exige que una operación se valide con dos factores, la mezcla de los datos de la tarjeta y, por ejemplo, un código recibido por SMS es más que suficiente. Pero no es así. La EBA ha señalado que los datos impresos en una tarjeta no constituyen un factor de verificación que cumpla con la SCA y por lo tanto no son válidos para autentificar la identidad del cliente, apuntan fuentes de HelpMyCash.
De hecho, la PSD2 no solo resta validez a las tarjetas como medida de seguridad, sino que directamente prescinde de ellas, ya que permite abonar compras por Internet directamente con la cuenta bancaria, como si se realizase una transferencia.
No obstante, debido al desafío que supone la implementación de la SCA en los pagos electrónicos, especialmente para los ecommerces, se ha aprobado una moratoria para su implementación que cuenta con el apoyo de la EBA y de los bancos centrales de distintos países de la eurozona, entre ellos España. Los actores que todavía no estén preparados para implementar la SCA disfrutarán de una prórroga de entre 14 y 18 meses (el plazo final no está decidido todavía).
Pero ¿cada vez que compremos por Internet tendremos que usar dos factores de seguridad para verificar nuestra identidad? Lo cierto es que no, ya que la PSD2 recoge algunas excepciones para agilizar los pagos; eso sí, la decisión final sobre aplicarlas o no corresponde a cada banco.
Por ejemplo, cuando Netflix, HBO o Spotify nos cobre la cuota mensual en nuestra tarjeta no cambiará nada, ya que la directiva PSD2 exime del uso de la SCA en los pagos recurrentes por un mismo importe y con un mismo beneficiario (la primera vez que se pague sí será necesaria la autenticación reforzada). Asimismo, algunos bancos ya han informado de que están trabajando en la creación de una lista blanca, en la que los consumidores podrán incluir beneficiarios de confianza para que los pagos dirigidos a ellos no requieran la SCA.
Por otra parte, los pagos en comercios electrónicos de escaso importe también disfrutarán de una medida de gracia, como los contactless, para que los consumidores puedan operar más rápidamente. Si no superan los 30 euros, no será obligatorio aplicar la SCA, siempre y cuando no se hayan hecho más de cinco operaciones seguidas sin validar ni se hayan acumulado más de 100 euros consecutivos.
Los cambios tecnológicos producidos en los últimos años y el volumen creciente de negocio, a través del comercio electrónico, ha llevado a que sea preciso avanzar en una regulación adaptada a la era digital. Esta directiva tiene como objetivo reforzar la seguridad del uso de sistemas de pago a través de internet y reforzar la protección del usuario contra fraudes y abusos derivados de los agentes que van implantándose en el mercado.
Los usuarios de los servicios de pago que deseen comprar en la web se preguntarán en qué va a cambiar la operativa usual de compra por internet o móvil. En primer lugar, cuando llegue el momento de pago del producto elegido, algunas webs ya no nos derivarán a una plataforma de pago donde introduciremos los datos de nuestra tarjeta, sino que vamos a pagar en la misma tienda en la que hemos seleccionado el producto.
En segundo lugar, a partir de ahora, será totalmente imprescindible tener móvil para pagar por internet. Antes introducíamos nuestros datos de tarjeta y el código que nos llegaba a través de SMS o bien, el número de tarjeta de coordenadas. Ahora el proceso será más sencillo y rápido, porque ya no habrá que introducir nuestro número de tarjeta en cada pago online que realicemos, sino que bastará con nuestra identificación por DNI o vía móvil y la posterior confirmación a través de un código SMS, o bien, aceptando una notificación recibida en la App del banco o a través de reconocimiento de huella o iris.
El banco autorizará a terceros de confianza el uso de los datos para ejecutar el pago a través de la cuenta bancaria del cliente, siempre que éste último previamente haya autorizado a que se compartan sus datos bancarios.
La normativa europea exceptúa la autenticación reforzada en aquellas operaciones de pago electrónico que no superen los 50€ o que el importe acumulado de estas operaciones desde la última autenticación reforzada no exceda de 150€ o de 5 operaciones. Ahora bien, el operador de servicios de pago debe cumplir unos requisitos mínimos de autenticación y, deben disponer de mecanismos de supervisión y medidas de seguridad que detecten operaciones no autorizadas o fraudulentas.
La entrada vigor de la norma ya está aquí, pero incluso antes de la fecha algunos bancos ya habían informado a sus clientes sobre cómo pondrán en práctica esta medida.
Esta medida comporta importantes cambios informáticos y tecnológicos para los bancos y comercios. El Banco de España es consciente de ello por lo que se ha mostrado flexible y aumentará el plazo para que los operadores se adapten a las novedades y exigencias requeridas. De igual modo, en otros Estados Miembros, se ampliará dicho plazo por parte de las autoridades de supervisión bancaria.
