El 14 de septiembre entra en vigor la última fase normativa de la PSD2. El reglamento europeo que media entre los consumidores y todos los productos y servicios financieros. ¿Están las compañías de ecommerce preparadas?
La respuesta rápida es no. De hecho, bancos, proveedores de servicios de pago (PSP) y diferentes asociaciones de comerciantes han insistido en que los requisitos de la nueva norma son demasiado complejos como para lograr una implementación rápida. Como consecuencia, el Banco de España, siguiendo las recomendaciones de la Autoridad Bancaria Europea, aplicará una moratoria de entre 14 y 18 meses para la obligatoriedad del PSD2 en su totalidad.
Aun así, la fecha oficial de entrada en vigor de los nuevos estándares de autenticación de los usuarios, conocidos como Regulatory Technical Standards (RTS) on Strong Customer Authentication, se mantiene como el 14 de septiembre. Y no son pocas las empresas que la han tomado como referencia y han adaptado ya sus formas de pago.
[hde_related]
Qué es la PSD2
En la Unión Europea existe un mercado único de pagos desde 2007. En ese año se inició la implementación de la primera directiva europea en medios de pago (PSD, por sus siglas en inglés). Ahora, su continuación, la PSD2, pretende “reforzar la seguridad de las transacciones, impulsar la transparencia, la competencia y la innovación de los servicios de pago del sector financiero, permitiendo que terceras empresas también intervengan en los pagos y garanticen la seguridad del sistema”, como señalan desde el banco Triodos.
La PSD2 tiene dos grandes objetivos. Por un lado, busca reforzar la seguridad y la protección contra fraudes, así como regular el acceso a los datos bancarios por parte de terceras compañías. Por otro, elimina la necesidad de intermediarios (los bancos) en operaciones de pagos online. Esto último amplía la competencia en el mercado de los pagos electrónicos. Y permite que los comercios y las plataformas trabajen directamente con proveedores de pago y no con bancos, como sucedía hasta ahora.
Mientras este segundo objetivo ha sido aceptado sin mucho revuelo, el tema de la seguridad es más complicado. “La PSD2 ha hecho de la seguridad en los pagos electrónicos uno de sus ejes vertebradores”, indican desde el Banco de España. Para ello, ha delineado una serie de medidas que “se articulan en torno al concepto de autenticación reforzada del cliente”.
Y han sido la Autoridad Bancaria Europea (EBA) y el Banco Central Europeo los que han desarrollado esas medidas. El resultado son los Regulatory Technical Standards (RTS) on Strong Customer Authentication que entran en vigor el 14 de septiembre.
SCA y 3DS v2: la complejidad de la doble autenticación
Liberalizar el sistema de pagos, sí. Pero sin poner en jaque la seguridad del sistema financiero ni de los ciudadanos. Aquí entran en juego las medidas de doble autenticación o Strong Customer Authentication (SCA). En la práctica, tal como señala la EBA, esto supone que el cliente debe autorizar siempre una operación mediante, al menos, dos de estos métodos:
- Elemento poseído. Un elemento físico propiedad del cliente, como una tarjeta, un smartphone, un smart watch o un certificado digital.
- Elemento inherente. Un elemento único que identifique al cliente, como la huella dactilar, el reconocimiento facial o del iris y otros sistemas biométricos.
- Elemento conocido. Una contraseña, un número PIN o un patrón establecido y conocido por el usuario.
Esto quiere decir que, a la hora de pagar, no bastará con poner un PIN. Habrá que combinarlo con una huella dactilar o con una contraseña enviada al móvil, por ejemplo. Dado que la mayoría de comercios y plataformas de ecommerce confían en bancos y otros proveedores de servicios de pago para este tipo de operaciones, son ellos los que llevan el peso de la implementación de la SCA.
Además del proceso de doble autenticación, otra de las dificultades del PSD2 reside en el envío de datos entre el comercio y el gestor del pago. Hasta ahora, se cubría mediante el protocolo 3D Secure o 3DS. Mediante la versión 2 del 3DS, los proveedores de servicios de pago (sean o no bancos) recibirán todos los datos del cliente recogidos por el negocio.
Además, a través de una API (Application Programming Interface) pública de cada banco, los proveedores podrán acceder a los datos bancarios del cliente (si este lo autoriza). Con toda esta información (doble autenticación, datos enviados por el comercio y datos bancarios), el proveedor de pagos podrá autorizar o no la transacción.
5 consejos para una correcta implementación de la PSD2
A pesar de que su entrada en vigor pueda sufrir una moratoria, su aplicación será obligatoria en algún momento. La mayoría de los cambios serán implementados directamente por la empresa que gestione los pagos. Aun así, las plataformas de ecommerce y otros servicios online no estarán libres de responsabilidad. Así pueden asegurarse de que están haciendo las cosas bien.
- Los Proveedores de Servicios de Pago pasan a ser las entidades a tener en cuenta. Con el PSD2, las empresas de comercio electrónico solo deberán negociar son los PSP. Compañías como PayPal o Visa, serán las que gestionen los pagos (y todos los riesgos asociados).
- Activar el protocolo 3D Secure. Algo que ya era recomendable en el pasado, a partir de ahora será imprescindible.
- Asegurarse de que se cumplen las medidas SCA. Si el comercio cuenta con una pasarela de pagos propia, será necesario que el equipo de desarrollo la adapte a la normativa para soportar procesos de doble autenticación. Si se trata de una plataforma de terceros, la adaptación a la SCA es su responsabilidad. Es probable que, como negocio, no haya que hacer nada más que asegurarse de que todo está en orden.
- Establecer medidas para que la PSD2 no afecte al negocio. Al tener que recoger datos adicionales por parte del cliente, es probable que muchos abandonen el proceso de compra si tienen que dar demasiados pasos para pagar.
- Informarse en bancos o PSP. Las plataformas de pago y los bancos son los que se tienen que poner las pilas con la aplicación de la PSD2. Son ellos los que manejan información de primera mano para resolver cualquier duda.
Imágenes | Unsplash/Blake Wisz, Lukenn Sabellano, Alexandre Godreau