El próximo 14 de septiembre entra en vigor la nueva ley de servicios de pago PSD2, aunque en España se prevé una moratoria de 14 meses (hasta diciembre del 2020), aún pendiente de confirmar tras la publicación de esta noticia.
La Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior (conocida por sus siglas en inglés PSD2) que es transpuesta al ordenamiento español mediante el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (RDl 19/2018) actualiza la normativa en pagos online que era de aplicación mediante la PSD de 2007.
CAMBIOS INTRODUCIDOS POR LA NUEVA LEY DE SERVICIOS DE PAGO PSD2
Autenticación forzada (SCA)
Se refuerza la seguridad con la incorporación de una doble autenticación, que veremos en este artículo con más profundidad.
Servicio de iniciación de pagos (PSIP) y entidades del servicio de información de cuenta (PSIC)
Una de las principales novedades es la regulación de:
- PSIP: entidades prestadoras del servicio de iniciación de pagos por terceros (tipo Paypal, Stripe…) .
- PSIC: las entidades que recopilan y consolidan la información de la situación financiera del cliente para darle una visión global de sus finanzas facilitando que pueda analizar su economía (tipo Fintonic, Yoddle…).
BENEFICIOS DE LA NUEVA LEY DE SERVICIOS DE PAGO PSD2
- Reducción del fraude: con esta normativa todas las partes implicadas de un pago online se ven beneficiadas por la seguridad que se transmite en cada una de las fases de la operación.
- Compatibilidad en entornos de aplicaciones móviles y nativas, lo que permite la autenticación de cualquier transacción desde diferentes dispositivos.
- Integración de la normativa en el proceso de checkout, incluyendo así la personalización de la página, lo que contribuye a que la experiencia del cliente sea más satisfactoria por no sentirse fuera de la tienda donde realiza la compra.
CÓMO AFECTA AL PROCESO DE PAGO LA NUEVA LEY DE SERVICIOS DE PAGO PSD2
Hasta ahora para hacer un pago online bastaba con poner el número de la tarjeta de crédito y el número de seguridad CCV, o mediante una plataforma PSIP como Paypal introduciendo usuario y contraseña.
A partir de la entrada en vigor de la PSD2 será necesario un segundo factor de seguridad para completar el pago, una autenticación forzada (SCA), es decir, que se introduzcan dos factores de autenticación de entre las tres categorías siguientes:
- “Conocimiento”, algo que sabes. Por ejemplo, una clave o pin.
- “Posesión”, algo que tienes. Por ejemplo, un móvil del que se es titular, al que enviaremos un código de verificación.
- “Inherencia”, algo que eres. Por ejemplo, tu huella dactilar, tu iris, reconocimiento facial, etc.
Esta doble autenticación correrá a cargo de los emisores de los sistemas de pago (bien sea un banco, una marca de tarjetas o una entidad que gestione los cobros a través de tarjetas). Serán ellos los encargados de adaptar los diferentes protocolos y facilitar a sus clientes los elementos necesarios para la autenticación.
Este nivel de seguridad ya era de aplicación habitual en las APP’s de banca online donde además de acceder con un usuario y contraseña nos encontrábamos un segundo nivel de validación que consistía en un código vinculado a una tarjeta de códigos que nos había sido entregada o bien con el uso de huella dactilar o reconocimiento facial de aquellos dispositivos móviles que incluyen ese servicio.
EXCEPCIONES SCA DE LA NUEVA LEY DE SERVICIOS DE PAGO PSD2
La autenticación reforzada será obligatoria a partir del 14 de septiembre de 2019 y sólo será necesaria en los pagos online iniciados por el cliente. Se excluye de ellos:
- Aquellos pagos recurrentes como pueden ser suscripciones a prensa, plataformas de televisión o páginas web donde es el propio comercio quien inicia el pago y se considera vinculado a la autorización que se da en el primer pago.
- Transacciones de bajo riesgo en el caso de que el proveedor de pagos y el banco no excedan de una cuota determinada de fraudes.
- Transacciones inferiores a 30€.
- Operaciones en un comercio online previamente clasificado como “de confianza” por el cliente (whitelist).
CÓMO AFECTA A BANCOS LA NUEVA LEY DE SERVICIOS DE PAGO PSD2
Con la PSD2 los bancos deben facilitar a los PISP y PISC el acceso a los datos financieros de los clientes, así como a otros bancos en caso de que presten servicios como PSIC mediante aplicativos propios ya sea para consultas o para iniciar un pago.
No obstante, la información accesible se limitará a la relativa a los fondos disponibles de la cuenta siempre antes de iniciar el pago y siempre con la seguridad para los datos que requiere el RGPD.
CÓMO AFECTA A CONSUMIDORES LA NUEVA LEY DE SERVICIOS DE PAGO PSD2
Con la nueva normativa los consumidores van a tener garantizada una protección reforzada debido al reconocimiento de los siguientes derechos:
- Prohibición de cargos adicionales por el uso de determinados instrumentos de pago.
- Obligación de responder a las reclamaciones de los usuarios en un plazo máximo de 15 días.
- Sólo de podrán bloquear fondos de la cuenta de pago si se ha obtenido consentimiento respecto del importe exacto
- Prohibición de fijación de medios no transparentes.
- Derecho del consumidor a recibir la información pertinente de forma gratuita y de forma previa a que le vincule el contrato de servicios de pago.
- En caso de fraude, el importe máximo que puede verse obligado a desembolsar el cliente por una operación de pago no autorizada pasa de 150€ a 50€.
- Se crea una figura de ámbito nacional para la gestión de las quejas de los servicios de pagos tanto de particulares como de asociaciones de consumidores.
CÓMO AFECTA A TU TIENDA LA NUEVA LEY DE SERVICIOS DE PAGO PSD2
Dependiendo del tipo de tienda nos afecta de diferente manera:
Tienda física
Estos nuevos requisitos tienen un impacto menor, gracias a las tarjetas con chip y PIN. En estos casos, ya se cumplen los requisitos de autenticación reforzada, porque existe un elemento de posesión (la tarjeta) y un elemento de conocimiento (el código PIN). No vas a tener que hacer ningún cambio en tu TPV, simplemente la experiencia de pago de tus clientes va a cambiar ligeramente. A partir del 14 de septiembre, al realizar un pago mediante contactless, el TPV en algunos casos denegará la transacción, y pedirá que se inserte la tarjeta para introducir el PIN.
Tienda on-line
Si aceptas pagos online el impacto será mayor, ya que los titulares de tarjetas ya no podrán realizar pagos en línea utilizando la información impresa de sus tarjetas (número de tarjeta, fecha de caducidad y código de seguridad).
En su lugar, tendrán que, por ejemplo, verificar su identidad introduciendo durante el proceso de pago un código adicional que recibirán en su móvil o mediante la aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella dactilar para aprobar una transacción.
Los encargados de implementar la SCA son los proveedores de pago, por lo que no supone ninguna gestión para la tienda online salvo que trabaje como proveedor de pagos por sí misma, en cuyo caso deberá incluir dos de los tres elementos de validación para validar el pago.
Para dar cumplimiento a ello aparece por ejemplo, el 3D Secure en su V2.2. Este sistema va a requerir un cambio en la integración de las tiendas online y los TPV eCommerce.
Aún así uno de los efectos negativos que puede producir al principio es algún abandono en el proceso de compra debido a la necesidad de registrar con el proveedor de pagos un método extra para validar la compra, que puede dar lugar a que algún cliente no pueda continuar el pago hasta tener dos de los tres elementos mencionados activados con su proveedor de pago.
Si tiene alguna consulta no dude en ponerse en contacto con nosotros.
