II Informe AEFI Voice: PSD2 y medios de pagos en España La Asociación Española de Fintech e Insurtech (AEFI) ha elaborado su segundo informe AEFI Voice en el que analiza cuál es la situación de los medios de pago en España, ante la reciente aprobación de la autenticación fuerte del cliente (SCA), que termina de…
II Informe AEFI Voice: PSD2 y medios de pagos en España
La Asociación Española de Fintech e Insurtech (AEFI) ha elaborado su segundo informe AEFI Voice en el que analiza cuál es la situación de los medios de pago en España, ante la reciente aprobación de la autenticación fuerte del cliente (SCA), que termina de completar la trasposición de la Directiva Europea de medios de pago más conocida como PSD2.
¿En qué consiste la Directiva PSD2?
PSD2 (Payment Service Directive 2) es una directiva europea que nace con el objetivo de mejorar la seguridad en los pagos y proteger al usuario contra fraudes en las operaciones bancarias hechas a través de internet y el acceso indebido a su información sensible. Además, la nueva directiva también regula el acceso, con consentimiento, de los datos de las cuentas bancarias a terceros, pasando a ser obligatorio utilizar la SCA para confirmar por parte de la entidad bancaria el consentimiento del usuario
La directiva europea de medios de pago (PSD2), que sustituye a la anterior de 2009, entró en vigor el pasado 23 de noviembre de 2018, y el 14 de septiembre, con el lanzamiento directo de la llamada autenticación fuerte del cliente (Strong Customer Autenticación SCA, por sus siglas en inglés), se completó su transposición definitiva, aunque se ha acordado una moratoria para SCA en pagos de tarjeta hasta el 31 de diciembre de 2020.
La SCA busca proteger los servicios de pago electrónico de aquellos riesgos relacionados con fuentes de fraude vinculadas al robo o extravío de credenciales de usuarios que provoque una suplantación ilegítima de la identidad.
¿Cómo afecta la nueva directiva a las entidades bancarias?
La nueva normativa obliga a las entidades bancarias a habilitar los medios técnicos que permitan a terceros acceder a los datos sobre cuentas de pago de sus clientes. Además, les obliga a adoptar las medidas de seguridad necesarias que garanticen el control total sobre quién y cuándo acceden a esos datos, implementando la SCA para garantizar que realmente es el usuario el que está dando permiso para acceder a dichos datos.
¿Qué nuevos tipos de entidades surgirán con PSD2?
Con la normativa PSD2, surgen dos nuevos tipos de entidades: los PISP (Proveedores de Servicios de Iniciación de Pagos) y los AISP (Proveedores de Servicios de Información de Cuenta).
Los PISP ofrecen a un cliente la realización de un pago a través de sus plataformas y conectar éstas a un banco para finalizar la operación.
Los AISP integran y agrupan la información financiera de un cliente, para ofrecerle de forma conjunta que acceda y gestione todas sus cuentas desde una sola plataforma, independientemente de que estén en varias entidades bancarias. En este caso, se requiere la autorización del usuario y su principal ventaja es ofrecer una variedad de servicios a partir de la obtención de la información financiera del usuario.
¿Cuál es el impacto de la PSD2 sobre los pagos recurrentes?
Marta Cid Sanz, responsable comercial de SlimPay en España, explica que “toda suscripción o pago recurrente conlleva dos pasos: uno, la obtención del consentimiento del cliente y dos, la ejecución del pago”. PSD2 introduce novedades en cuanto a los pagos recurrentes a través de tarjeta, ya que los comercios deberán obtener el consentimiento del cliente a través de una autenticación reforzada, combinando, al menos, 2 de estos 3 factores:
Posesión: Algo que solo posee el usuario, como por ejemplo el teléfono móvil
Conocimiento: una información que solo sepa el usuario, como el código PIN
Inherencia: Algo que solo sea del usuario e intransmisible: una huella dactilar o la lectura del iris.
En el momento de la ejecución del pago, las suscripciones se consideran como Pagos Iniciados por el Comercio, un nuevo concepto que introduce PSD2 y conocido como MIT (Merchant Initiated Transactions), que establece que los pagos recurrentes no requieren la presencia online del cliente y están exentos de realizar una autenticación reforzada en cada pago.
En resumen, todo comercio tiene que saber que, con la entrada en vigor de la PSD2, queda exento de una autenticación reforzada en cada pago, siempre y cuando obtenga el consentimiento del cliente cumpliendo con las reglas establecidas. Los pagos recurrentes, a través de domiciliación, no se ven afectados por la nueva directiva ya que, gracias al mandato, el comercio obtiene el consentimiento del cliente y podrá ejecutar sus adeudos directos de manera recurrente. De esta forma, los comercios que ya hacían firmar mandatos a sus clientes han podido seguir usando el mismo proceso con la entrada en vigor de PS2D.
¿Cómo se obtendrá el consentimiento del cliente?
Dependiendo del método de pago (a través de tarjeta o domiciliación bancaria SEPA), la información que debe proporcionarse al cliente puede variar ligeramente para obtener consentimiento. En el caso de los pagos con tarjeta, el cliente debe dar su consentimiento explícito para pagos futuros y el comercio debe informar al cliente sobre el importe, frecuencia y condiciones, así como sobre el proceso de reembolso en el caso de una transacción fallida.
A la hora de realizar pagos recurrentes con domiciliación bancaria, el cliente tiene que firmar un mandato donde permita que se active la orden de pago y a su banco debitar la cuenta IBAN para el comercio.