La Directiva PSD2 (Payment Services Directive) es una norma aprobada por la Comisión Europea en 2015 para sustituir a la regulación anterior (PSD) de 2007, que regulaba el mercado de los pagos electrónicos en la zona euro. La finalidad de la norma es regular los servicios de pago (tales como transferencias, adeudos domiciliados, pagos con tarjetas, etc.), para mejorar la transparencia, la competencia y la innovación en estos servicios.
En España se aprobó el Real Decreto Ley 19/2018 de servicios de pago para transponer esta normativa a nuestro ordenamiento. Las principales novedades que aporta la norma son:
- La entrada en el mercado de nuevos operadores, lo que se denominan "Third Party Providers (TPP)", que son terceras empresas distintas a las entidades financieras que pueden ofrecer a sus clientes servicios de pago. Con ello lo que se pretende es ofrecer un servicio de "open banking" o banco abierto.
- Otra importante novedad de esta legislación es que los usuarios de servicios de pago se beneficien de las ventajas que ofrecen la innovación y la tecnología para que las operaciones financieras sean aún más seguras. Para ello una de las medidas que la Ley recoge es la denominada "Strong Customer Authentication (SCA)", o Autenticación Reforzada del Cliente.
A continuación le mostramos un extracto de las cuestiones referentes a esta normativa que más le pueden interesar.
La Directiva de Servicios de Pagos (PSD2) exige que se pongan en marcha unos mecanismos de autenticación reforzados (SCA - Strong Customer Authentication), con el objetivo de reforzar la seguridad en las transacciones online y de esta forma incrementar la confianza de los clientes en la realización de sus operaciones a través de medios electrónicos. Básicamente lo que exige PSD2, es que para asegurar la identificación del cliente se utilicen al menos 2 factores de entre los 3 siguientes:
- Algo que solo sabe el cliente (por ejemplo, la contraseña).
- Algo que solo tiene el cliente (por ejemplo, su móvil)
- Algo que el cliente es (por ejemplo, su huella dactilar, rostro o iris).
Por ello cuando el cliente inicie una transacción de pago electrónica, o acceda a su cuenta de pagos a través de canales online, se le solicitarán al menos 2 de estos factores.
Para acceder a nuestra Banca Digital (e-pueyo.com), además de su usuario y contraseña, va a recibir un código por SMS para verificar su identidad. Esta verificación solo se realizará, como máximo, cada 90 días.
¿Y si no tengo notificado un número de teléfono móvil al que enviar los SMS?
En este caso no podrá recibir los SMS y, por tanto, no podrá ni usar nuestra Banca Digital, ni podrá realizar transferencias.
Para solucionar este problema, debe pasar cuanto antes por cualquiera de nuestra red de oficinas, en la que procederán a incluir su número de teléfono móvil en este servicio.
Compras en comercio físico: cuando se le solicite que valide una compra en el caso de compras contactless, deberá introducir el PIN de su tarjeta.
Compras en comercio electrónico: el Banco pondrá a su disposición nuevos mecanismos para que pueda autorizar sus compras en comercio electrónico. Para poder hacer uso de estos mecanismos y poder seguir comprando en comercio electrónico, deberá:
- Disponer de acceso a nuestra banca digital (www.e-pueyo.com) o bien a la app e-pueyo, y tener asociado a la misma un teléfono móvil validado.
Recibirá por SMS en el teléfono móvil que tenga validado una clave de un solo uso (OTP) cada vez que realice una compra o una transacción online. Abrirá el SMS y confirmará la operación en nuestra banca digital mediante la clave de un solo uso (OTP) que le hemos enviado por SMS.
Si no dispone de acceso a nuestra banca digital (www.e-pueyo.com) o bien a la app e-pueyo, pero tiene validado su teléfono móvil, le ofrecemos un método alternativo; le pediremos por SMS el resultado de una operación matemática basada en el PIN de su tarjeta que tendrá que introducir al hacer el pago.
En PSD2 se regulan nuevos operadores relacionados con las cuentas de pago y con los propios pagos. Estos son los siguientes:
- Los “AISP” o “Agregadores de Cuentas”. Estos son proveedores de servicios de información de cuentas a los cuales se les permite acceder a las cuentas de los clientes, por supuesto siempre con su autorización, aunque estén abiertas en distintos bancos, así como ver sus movimientos, y mostrar esa información de manera agregada.
- Los “PISP” o “Iniciadores de Pagos”. Este otro es un proveedor de servicios de pagos, que lo que permite es realizar un pago desde la cuenta de un cliente hacia un comercio o proveedor del cliente.
Los Bancos podemos prestar servicios de Agregación de Cuentas y de Iniciación de Pagos. PSD2 también permite que pueda ser AISP y/o PISP a otras empresas que no sean Bancos, los llamados Terceras Partes Proveedoras de Servicios de Pago o TPP.
Los TPP deben cumplir con los requisitos de registro, autorización y supervisión por parte de las autoridades competentes indicadas en la Ley.
Si Vd. realiza algún contrato con un TPP, ello implicará que concede permiso para acceder a los movimientos de sus cuentas, o que Vd. permite que inicie un pago desde una de sus cuentas. Por ello nos permitimos darle algunos consejos:
- Es muy importante que tenga Vd. confianza con quien contrate la prestación de este tipo de servicios.
- Piense en que dar acceso a sus datos bancarios supone el acceso a mucha información personal: en qué gastas el dinero, cuánto y cuándo lo gasta.
- Debería leer detenidamente todos los términos legales antes de aceptarlos y hacer clic.
Y por último, le informamos que si decide permitir el acceso a sus cuentas y permitir la iniciación de pagos, en Banca Pueyo no seremos responsables del uso que ese TPP pueda hacer de sus datos y de sus pagos, ya que nuestra obligación legal finaliza al verificar su identidad y suministrar el servicio solicitado por el TPP.
Si está autorizado y registrado como TPP, Banca Pueyo como proveedor de servicios de pago le da acceso a los servicios de iniciación de pagos y a los de información sobre cuentas a través de una interfaz específica, en la que se encuentran publicadas nuestras API.
Puede acceder a la información de las API, a su registro, el entorno de pruebas, estadísticas y a toda la documentación de este servicio, a través de nuestro Api-Market.
Le informamos que Banca Pueyo no tiene la obligación de tener un mecanismo de contingencia (Fall back mechanism) para su interfaz específica ya que Banco de España le ha eximido de esta obligación al haber verificado que cumple los requisitos necesarios para su exención.
Con la finalidad de cumplir con la Autenticación Reforzada del Cliente (SCA), los comercios deben estar en disposición de aceptar y procesar operaciones de compra segura.
Para ello, deberán soportar el protocolo de autenticación de pagos denominado EMV 3DS como requisito, debiendo realizar las adaptaciones técnicas necesarias.
La ventaja de este protocolo es que está extendido a nivel de industria. La versión actual es la 1.0 y actualmente se está evolucionando a la versión más reciente: EMV 3DS 2.2.
Los cambios más relevantes de este nuevo protocolo es que permite la aplicación de exenciones, así como el uso de nuevos campos de información que permiten evaluar mejor los riesgos y los casos de fraude.
¿El comercio utiliza en la actualidad Comercio Seguro?
En este caso, las transacciones ya soportan el protocolo 3D Secure, en su versión 1.0. Si bien puede seguir operando con normalidad, recomendamos que el comercio migre a la versión 2.2 por las ventajas que esta ofrece.
En función de la tecnología de conexión de los TPV virtuales de Banca Pueyo, estos se migrarán automáticamente para ganar seguridad en los pagos y dar la posibilidad de aplicar exenciones.
¿El comercio utiliza en la actualidad Comercio No Seguro?
En este caso, es necesario que el comercio migre sus terminales antes del 31 de diciembre de 2020 para soportar SCA y poder continuar operando dentro del Espacio Económico Europeo, ya que, en caso contrario, sus ventas online podrían verse afectadas.
Recomendamos encarecidamente aplicar la versión 2.2 del protocolo y la posibilidad de aplicar exenciones.
