¿Qué es la directiva PSD2 y cómo te afecta?
Como en todo, a medida que el comercio electrónico ha ido creciendo y mejorando ha ocurrido lo mismo con su seguridad. Especialmente si tenemos en cuenta que en estas transacciones se utiliza información tan sensible como nuestros datos bancarios. Para evitar que cada operador siguiera sus propios procesos y tiempos, en 2007 se adoptó la Directiva PSD1 (Payment Services Directive). Una norma que permitía homogeneizar los procesos estableciendo un marco común en todos los países de la Unión Europea. Más allá de la estandarización, la puesta en marcha de la primera versión de PSD sirvió para fomentar la competitividad en el sector y generar valor añadido en las tiendas online y sus consumidores. En los próximos días llegará PSD2, la nueva directiva para los pagos digitales.
PSD1, un antes y un después
Desde su puesta en marcha en 2007, PSD1 supuso un antes y un después en el comercio electrónico y sus agentes en toda la Unión Europea. Con la llegada de PSD1 se acabó el monopolio de los bancos como único agente autorizado para realizar operaciones económicas y aparecen nuevos conceptos de entidades y formas de pago. Entre ellas las llamadas entidades de pago, empresas cuya única función es gestionar cobros y pagos; actividad para la que habrán tenido que cumplir con ciertos criterios establecidos en la norma.
Junto con la llegada de las entidades de pago vinieron los iniciadores de pago. Un nuevo sistema de pago que se basa en transferencias instantáneas y directas desde la cuenta del usuario a la del comercio electrónico. Esto permitió integrar nuevas pasarelas de pago, como PayPal o Redsys, en las tiendas online.
La nueva versión: PSD2
Como era de esperar con tanto cambio en el comercio electrónico, ha sido necesario actualizar PSD1 para corregir algunos de sus problemas y, especialmente, mejorar la seguridad del consumidor. Este es el caso de algunas aplicaciones de ahorro o de seguros que requieren de nuestra información bancaria para poder funcionar, un acceso a los datos que hasta la llegada de PSD2 no estaba regulado. Con PSD2 todas las entidades que intervengan en el proceso habrán sido certificadas por una autoridad competente, en este caso el Banco de España.
Además, los bancos deberán facilitar una API a los proveedores para que se realicen las transferencias. De esta forma se acaba con el retraso en las transferencias bancarias, y la demora en el envío y recepción del producto, al realizarse una transacción directa entre usuario y comercio electrónico. Por ejemplo, si adquirimos varios productos en un Marketplace, con PSD2 cada una de las partes recibirá de manera directa e inmediata el dinero que le corresponde. En lugar de que sea el Marketplace quien distribuya, del importe total de la compra, lo que corresponde a cada una de las partes.
Asimismo, con la llegada de PSD2 no será necesario abandonar la web de una tienda online para poder realizar el pago. Es decir, ya no seremos redirigimos a su pasarela de paso, sino que el cobro se realizará dentro del mismo sitio web. Esto implica que compañías como Visa o Mastercard dejarán de tener visibilidad en todos los sitios web al ejecutarse una transacción directa entre el banco y el e-commerce mediante API.
Más seguridad
Con PSD2 los datos bancarios del usuario estarán protegidos en todo momento por dos certificados diferentes. Por un lado, QWAC, un certificado entre el proveedor y la entidad bancaria que se encarga de encriptar los datos en transmisión. Y, por el otro QSealC un sello de seguridad que viaja adjunto a los datos. Este último permite realizar un seguimiento de las empresas que han accedido a la cuenta bancaria y que transfirieron información a través de la API del banco en cuestión. Además, QSealC garantiza que los datos se puedan modificar. La emisión de estos certificados digitales es competencia del Banco de España. Para poder acceder a ellos es necesario, además de la aprobación de la autoridad competente, contar con alguno de los siguientes permisos:
- Servicio de agregación de información (AIS). Un permiso para proveedores que estén interesados en recibir información de una cuenta bancaria. Estas entidades se encargan de recopilar y mostrar los datos haciendo que el cliente pueda acceder a toda su información con mayor facilidad.
- Servicio de iniciación de pagos (PIS). Esta licencia está orientada a empresas que pueden realizar pagos o transferencias en nombre del cliente. Para ello recurren a un software que conecta las cuentas bancarias del comprador y la empresa y notifica a las partes cuando se ha realizado la transacción.
Además, con PSD2 no se permitirán recargos adicionales al finalizar el proceso de compra. Con la nueva normativa dejarán de aplicarse sobreprecios sobre el precio de compra por razones como el tipo de tarjeta de crédito.
Consecuencias de PSD2
Al igual que ocurrió con el RGPD, parece que solo hemos escuchado hablar de ella cuando su llegada es inminente. Pero lo cierto es que PSD2 fue adoptada en 2017 y su incorporación a la legislación española llegó en septiembre de 2018. En primer lugar, se estableció el 14 de septiembre como fecha límite, el plazo para su implantación se ha ampliado entre 14 y 18 meses.
La llegada de PSD2 afecta principalmente a los bancos y las entidades financieras, lo que hace de esta nueva directiva algo prácticamente inapreciable para usuarios y tiendas online. En cualquier caso, antes de la llegada de PSD2 te recomendamos asegurarte de que tu e-commerce está adaptado a esta nueva norma, evitando así cualquier tipo de penalización como consecuencia de su incumplimiento. Por ejemplo, en el caso de que no hayas implementado la autenticación en dos pasos en tu tienda online algunos pagos serán automáticamente cancelados. Esto afectará a:
- Pagos con un importe superior a los 30€, o con un coste superior a 100€ si se trata de varios productos.
- Transacciones económicas que tengan lugar dentro de la Unión Europea. En el caso de que se produzcan fuera del territorio europeo no será necesaria la doble autenticación.
- Transacciones solicitadas por el cliente. Para aquellas iniciadas por parte de las empresas, como las domiciliaciones bancarias, no se requiere de doble factor de autenticación.
Adiós a las tarjetas de coordenadas
Entre los principales cambios que llegan con la nueva PSD2 se encuentra el fin de las tarjetas de coordenadas. Sí, aquella que te dieron el primer día y que siempre necesitarías para realizar compras por internet. El método estandarizado de doble autenticación de los últimos años, también desaparece al no tener que salir de una tienda online para pagar por sus productos.
A partir de la llegada de la nueva norma, la seguridad adicional en tus compras vendrá desde tu móvil, indispensable para realizar cualquier pago a través de internet. Lo que provocará que también deje de tener importancia el CVV de tu tarjeta, otro de los códigos de seguridad tradicionales.
Activa la 2FA
Aunque las estadísticas indican que el fraude en el comercio electrónico se encuentra en niveles muy bajos gracias al uso de sistemas de seguridad en las aplicaciones, la autenticación en dos pasos reducirá aún más estas cifras. Desde el 14 de septiembre todos los pagos que se realicen en una tienda online deberán estar protegido por la autenticación en dos factores. La 2FA es un requisito indispensable en un e-commerce para cumplir con la nueva PSD2.
Con esta medida de seguridad adicional se garantiza el pago seguro y se protege al máximo la información más sensible solicitando al cliente al menos dos de los siguientes elementos:
- Algo que solo el cliente conozca. Como su contraseña o un PIN de acceso, el resto de su información bancaria, como el número de cuenta, no se consideran datos que el cliente tenga que conocer.
- Algo que solo el cliente posea. Por ejemplo, su teléfono móvil.
- Algo propio del cliente. El reconocimiento facial, mediante huella dactilar o a través de su voz.
Para ello puedes instalar un plugin, si se trata de un WooCommerce, o un módulo, en el caso de PrestaShop, que ofrezca esta funcionalidad. Eso sí, antes de instalar nada asegúrate de que el tema de tu e-commerce y los addons que se encuentren en ella son compatibles con el nuevo elemento.
Sencillez con PSD2
En un intento por hacerlo todo más sencillo, no será necesario introducir el segundo factor de autenticación cada vez que quieras realizar un pago. Durante un plazo de 90 días, el banco recordará que eres tú quien paga y no solicitará la comprobación.
Aunque cada banco llevará una estrategia diferente de cara a la adaptación a PSD2, lo cierto es que todos harán del móvil algo fundamental. Si antes debíamos tener a mano la tarjeta física para realizar pagos, ahora no podremos perder de vista nuestro smartphone; y siempre con conexión a internet, evidentemente. Bueno, y tener la aplicación de nuestro banco siempre actualizada, porque es muy probable que los códigos de confirmación se envíen desde la APP y no con un SMS, para evitar consecuencias del SIM swapping. Aunque por el momento son muy pocas las entidades bancarias que han rehusado utilizar los mensajes de texto como factor de doble autenticación.