PSD2: luces y sombras de la nueva directiva europea de pagos

Javier Bartolomé. Vocal de Medios de Pago de AEFI y CTO de IM Solutions El pasado 23 de noviembre de 2018 se transpuso la directiva europea de medios de pago conocida como PSD2, que sustituye a la anterior de 2009 y será de aplicación a partir del próximo mes de septiembre. Dentro del sector bancario…

11 de abril de 2019 porRedacción AEFI

Javier Bartolomé. Vocal de Medios de Pago de AEFI y CTO de IM Solutions

El pasado 23 de noviembre de 2018 se transpuso la directiva europea de medios de pago conocida como PSD2, que sustituye a la anterior de 2009 y será de aplicación a partir del próximo mes de septiembre.

Dentro del sector bancario ha creado mucha polémica ya que, en principio, se planteaba como una directiva que se posicionaba del lado de las Fintech, obligando a los bancos a compartir su activo más importante: los datos de sus clientes. De este modo, el propietario de los datos que una entidad bancaria maneja sobre sus clientes no es el banco sino el cliente, que tiene la potestad de decidir con quién los comparte.

El nuevo escenario que introduce este principio obliga a las entidades bancarias a habilitar los medios técnicos que permitan a terceros acceder a los datos sobre cuentas de pago de sus clientes. Además, les obliga a adoptar las medidas de seguridad necesarias que garanticen el control total sobre quién y cuándo acceden a esos datos, implementando lo que se conoce como SCA (Strong Customer Authentication) para garantizar que realmente es el usuario el que está dando permiso para acceder a dichos datos. Estas medidas persiguen proteger al usuario de un posible acceso indebido a su información sensible.

La directiva crea, en la práctica, tres nuevos actores que pasarán a ser regulados por el Banco de España, los PISP (Payment Initiating Service Providers), más conocidos como iniciadores de pagos, los AISP (Account Information Services Providers), más conocidos como agregadores bancarios, y los ASPSP (Account Servicing Payment Service Providers), la unión de los dos anteriores.

Uno de los objetivos de esta directiva PSD2 es dotar a las Fintech de un marco legal que, bajo un control regulatorio, facilite su crecimiento y la aparición de nuevas empresas que, bajo una rápida gestión de la tecnología, impulsen el desarrollo de nuevos modelos de negocio. No obstante, han sido las propias entidades bancarias las primeras en sacar partido de la directiva ya que, a través del desarrollo de los agregadores bancarios, son varias las entidades en España que ya han incluido dentro de su portfolio de servicios la posibilidad de tener una visión única de todas las entidades, desde su propia aplicación.

Además, PSD2 trata de liberar la información que poseían los bancos, cediéndola a los clientes de las entidades, lo que favorece la aparición de nuevas empresas que sepan aprovechar dicha información, creando un sector más competitivo y acelerador de soluciones. Sin embargo, el exceso de protagonismo de algunos reguladores y el recelo de las grandes compañías a facilitar acceso a otros gigantes como Facebook, Google y Amazon, acostumbrados a gestionar los datos de una manera más ágil y con una mejor imagen y control sobre los usuarios, ha provocado que la letra pequeña de la directiva esté generando mucha controversia antes de su entrada en vigor.

La directiva establece que la EBA (European Banking Authority), en colaboración con el BCE (Banco Central Europeo), sea la encargada de desarrollar el marco jurídico detallado que debe regir la seguridad de los pagos electrónicos. A pesar de que la EBA es un organismo independiente, no deja de estar influenciada por las entidades bancarias a la hora de publicar las RTS (Normas Técnicas de Reglamentación), donde se dirimen los detalles de la autenticación del cliente.

Algunas de estas medidas limitan el plazo que un AISP tiene para acceder a la cuenta bancaria sin necesidad de volver a renovar las claves del usuario, limitando también el número de veces al día que puede acceder a la información. Además, en el caso de los PISP, no se les permite acceder a las cuentas de pago, lo que conlleva que, aunque puedan ejecutar transferencias en nombre del cliente, necesiten que éste les facilite el IBAN de origen desde el que iniciarán el pago, dificultando así la experiencia del usuario.

En este escenario, grandes marcas como Visa y MasterCard están intentando impulsar sus propias soluciones como marcas emisoras de tarjetas (ya hace años se publicó el nuevo estándar del conocido 3D Secure con su versión 2.0, aunque todavía no hay muchas empresas que lo hayan implantado). Y también, hay algunas empresas independientes que están intentando ofrecer sus soluciones como alternativa para el cumplimiento de las normas de autenticación.

PSD2 supone un paso más, con el objetivo de agilizar los procesos y mejorar la protección al cliente, que sabrá bajo qué criterios dejará la información, con la garantía del Banco de España, para que no haya problemas en el acceso ni suplantaciones.

Para leer la tribuna en Cinco Días, haz click aquí.