Índice
El mejor contenido en tu bandeja de entrada
PSD2 es el acrónimo de Payment Services Directive 2. Esta normativa ha transformado por completo la forma en la que los pagos online se llevan a cabo. Es más, es muy probable que al utilizar tu banco hayas recibido algún aviso sobre este estándar en el último año. Tanto las FinTech más digitales como las plataformas eCommerce deben adaptar sus métodos de pago para cumplir con lo establecido en esta directiva europea.
Junto con eIDAS (electronic IDentification, Authentication, and trust Services) y AML6 (Sixth Anti-money Laundering Directive) PSD2 avanza aún más en el objetivo de la Unión Europea por crear un marco de referencia seguro en el que operar con agilidad y garantías en un mercado de más de 500 millones de consumidores potenciales. Pese a que muchos negocios puedan llegar a pensar que la aprobación de este tipo de estándares es un freno a su actividad, la realidad es justo la contraria: esta armonización está dando como resultado una facilidad pasmosa para que los negocios se desarrollen y desplieguen en Europa en días sin grandes inversiones gracias a un marco online seguro.
Qué es PSD2
PSD2 es una directiva europea sobre los servicios de pago a través de internet y en entornos online que se aplica en los países miembros de la Unión Europea y en el Reino Unido. Es la segunda normativa que se implementa en este sentido, ya que la anterior - PSD - ya definía una serie de normas para que los pagos online se realizarán bajo estándares seguros y consolidados.
Esta segunda ley avanza en lo que ya inició su predecesora, incluyendo el concepto de Autenticación Reforzada (SCA). Este concepto es realmente importante, ya que es la principal novedad de la nueva normativa. La primera directiva se lanzó en 2007 y la segunda comenzó los trámites para su aprobación y desarrollo en 2013, siendo una revisión de su hermana pequeña.
Más que hablar de cambios, puede hablarse de ampliaciones. Como principales novedades podemos destacar el nuevo papel de las TTPs (Third Party Payment Service Providers), la regulación de de los servicios de iniciación de pagos (PIS) y la definición de estándares para los servicios de información de cuentas (AIS). Con esto, el sector financiero y bancario hablan un mismo lenguaje en toda Europa para proceder con sus operaciones, lo que facilita la intermediación, la creación de nuevas empresas y la facilidad para desarrollar nuevas verticales.
Ahora, se recoge y almacena información sensible de los clientes de una única forma y en un mismo lugar, permitiendo el surgimiento de los agregadores financieros. Del mismo modo, esta norma ha propiciado el nacimiento y la expansión de las llamadas tarjetas-monedero.
Ahora, un cliente puede realizar un pago a un tercero desde la aplicación de un banco teniendo como destino otra entidad bancaria diferente sin necesidad de trabas complejas. Esto es posible gracias al PIS y los servicios que prestan los TTPs.
La forma en la que van a cumplir las empresas con PSD2 es a través de integraciones API, principalmente. Este modelo, fácilmente integrable gracias a las mejores soluciones RPA (Robot Process Automation), automatiza el cumplimiento de la directiva PSD2 sin bloquear a los departamentos de IT y tecnología de las empresas ni grandes costes.
Como ventajas principales de la norma pueden destacarse la ampliación de seguridad de las empresas, eliminando los riesgos AML más allá de lo que ya las normas específicas como 6AMLD o AML5 venían aportando, así como la posibilidad de de dar rienda suelta a la innovación en cuanto a formas de pago se refiere. Esto permitirá a las FinTech y WealthTech ofrecer nuevos tipos de productos y servicios. Del mismo modo, contar con menos riesgos acelerará el crecimiento de los negocios y evitará los costes derivados de estos problemas.
También, y para los eCommerce, establecer pasarelas de pago confiables aumentará sus ventas online dada la mayor confianza de los usuarios en sus plataformas.
Fechas para adaptarse a PSD2 en la UE
¡Ya! PSD2 entró en vigor en enero del año 2018. Sin embargo, la UE y el Reino Unido dieron de plazo a las compañías para adaptarse a la norma hasta el 1 de enero de 2021. A partir de esta fecha, todas las compañías que no estén realizando sus actividades conforme a los estándares que marca la segunda directiva europea de pagos estarán expuestas a graves sanciones por las autoridades.
Los estándares técnicos de la norma fueron definidos por la ABE - Autoridad Bancaria Europea - y pueden consultarse libremente en sus webs. Por otro lado, las concreciones sobre accesos, login y SCA tuvieron lugar a mediados de septiembre de 2019, con lo que las compañías ya se han debido adaptar.
SCA: Strong Customer Authentication
La novedad estrella de PSD2 se centra en la forma en la que los usuarios que ya han superado un proceso de onboarding de cliente - conocido como Know Your Customer (KYC) en esta industria - se autentican para acceder a sus productos y servicios contratados, su panel de gestión y la realización de operaciones con base en sus clientas de cliente.
Sin embargo, podemos decir sin lugar a dudas que la adopción de los estándares SCA se ha realizado de una forma poco ambiciosa. Si bien la grandísima mayoría de bancos han establecido todos los controles necesarios para cumplir esto, todos ellos han dado soluciones temporales o “rudimentarias” que no están atendiendo las necesidades de agilidad y experiencia de los usuarios de hoy en día.
Todo se cimienta en un término: Estrategia de múltiples factores (MFA). Esto significa que para que consideremos un acceso seguro a una plataforma de cliente este debe darse bajo unos estándares de seguridad que soliciten, como mínimo, dos factores de autenticación (2FA). Además, estos factores deben ser absolutamente seguros y haberse creado bajo el más estricto orden.
La mejor forma de aplicar PSD2 en los negocios
En este sentido, la biometría facial está revolucionando el sector ya que es una de las formas más cómodas y habituales en las que los usuarios pueden acceder a sus dispositivos móviles. Las mejores soluciones de onboarding de cliente crean un patrón biométrico facial único para el usuario al registrarle por primera vez y validarle durante el proceso de adquisición. Este mismo, debería poderse usar para generar uno de los factores de autenticación dentro de la estrategia SCA exigida por PSD2.
Ahora, los bancos están apostando por los tokens SMS de un sólo uso (OTPs), los PINs, e incluso muchos siguen utilizando las tarjetas de coordenadas. Esto es un atraso ya no sólo a nivel de seguridad, sino para el usuario. Autenticar para la firma de operaciones con la misma validez que un KYC del máximo nivel y sellarlo con firma electrónica es la apuesta de futuro para aplicar PSD2.
