¿Está tu ‘ecommerce’ preparado para la PSD2?

PSD2 para comercio electrónico

Pymes

El 14 de septiembre entra en vigor la última fase normativa de la PSD2. El reglamento europeo que media entre los consumidores y todos los productos y servicios financieros. ¿Están las compañías de ecommerce preparadas?

La respuesta rápida es no. De hecho, bancos, proveedores de servicios de pago (PSP) y diferentes asociaciones de comerciantes han insistido en que los requisitos de la nueva norma son demasiado complejos como para lograr una implementación rápida. Como consecuencia, el Banco de España, siguiendo las recomendaciones de la Autoridad Bancaria Europea, aplicará una moratoria de entre 14 y 18 meses para la obligatoriedad del PSD2 en su totalidad.

Aun así, la fecha oficial de entrada en vigor de los nuevos estándares de autenticación de los usuarios, conocidos como Regulatory Technical Standards (RTS) on Strong Customer Authentication, se mantiene como el 14 de septiembre. Y no son pocas las empresas que la han tomado como referencia y han adaptado ya sus formas de pago.

[hde_related]

Qué es la PSD2

En la Unión Europea existe un mercado único de pagos desde 2007. En ese año se inició la implementación de la primera directiva europea en medios de pago (PSD, por sus siglas en inglés). Ahora, su continuación, la PSD2, pretende “reforzar la seguridad de las transacciones, impulsar la transparencia, la competencia y la innovación de los servicios de pago del sector financiero, permitiendo que terceras empresas también intervengan en los pagos y garanticen la seguridad del sistema”, como señalan desde el banco Triodos.

La PSD2 tiene dos grandes objetivos. Por un lado, busca reforzar la seguridad y la protección contra fraudes, así como regular el acceso a los datos bancarios por parte de terceras compañías. Por otro, elimina la necesidad de intermediarios (los bancos) en operaciones de pagos online. Esto último amplía la competencia en el mercado de los pagos electrónicos. Y permite que los comercios y las plataformas trabajen directamente con proveedores de pago y no con bancos, como sucedía hasta ahora.

Mientras este segundo objetivo ha sido aceptado sin mucho revuelo, el tema de la seguridad es más complicado. “La PSD2 ha hecho de la seguridad en los pagos electrónicos uno de sus ejes vertebradores”, indican desde el Banco de España. Para ello, ha delineado una serie de medidas que “se articulan en torno al concepto de autenticación reforzada del cliente”.

Y han sido la Autoridad Bancaria Europea (EBA) y el Banco Central Europeo los que han desarrollado esas medidas. El resultado son los Regulatory Technical Standards (RTS) on Strong Customer Authentication que entran en vigor el 14 de septiembre.

pago electrónico en un comercio

SCA y 3DS v2: la complejidad de la doble autenticación

Liberalizar el sistema de pagos, sí. Pero sin poner en jaque la seguridad del sistema financiero ni de los ciudadanos. Aquí entran en juego las medidas de doble autenticación o Strong Customer Authentication (SCA). En la práctica, tal como señala la EBA, esto supone que el cliente debe autorizar siempre una operación mediante, al menos, dos de estos métodos:

Esto quiere decir que, a la hora de pagar, no bastará con poner un PIN. Habrá que combinarlo con una huella dactilar o con una contraseña enviada al móvil, por ejemplo. Dado que la mayoría de comercios y plataformas de ecommerce confían en bancos y otros proveedores de servicios de pago para este tipo de operaciones, son ellos los que llevan el peso de la implementación de la SCA.

reconocimiento de huella dactilar

Además del proceso de doble autenticación, otra de las dificultades del PSD2 reside en el envío de datos entre el comercio y el gestor del pago. Hasta ahora, se cubría mediante el protocolo 3D Secure o 3DS. Mediante la versión 2 del 3DS, los proveedores de servicios de pago (sean o no bancos) recibirán todos los datos del cliente recogidos por el negocio.

Además, a través de una API (Application Programming Interface) pública de cada banco, los proveedores podrán acceder a los datos bancarios del cliente (si este lo autoriza). Con toda esta información (doble autenticación, datos enviados por el comercio y datos bancarios), el proveedor de pagos podrá autorizar o no la transacción.

5 consejos para una correcta implementación de la PSD2

A pesar de que su entrada en vigor pueda sufrir una moratoria, su aplicación será obligatoria en algún momento. La mayoría de los cambios serán implementados directamente por la empresa que gestione los pagos. Aun así, las plataformas de ecommerce y otros servicios online no estarán libres de responsabilidad. Así pueden asegurarse de que están haciendo las cosas bien.

PSD2 para comercio electrónico

Imágenes | Unsplash/Blake Wisz, Lukenn Sabellano, Alexandre Godreau

Archivado en
Subir