¿Qué es la PSD2?
Para proteger a los consumidores de tratar con empresas poco confiables, la Comisión Europea adoptó una versión revisada de la Directiva de servicios de pago en 2015. ¿Qué es exactamente la PSD2? Aunque se aplica principalmente dentro de la UE, las empresas de EE. UU. que ofrezcan servicios de pago a clientes europeos también deben cumplir con sus requisitos.
¿Qué es la PSD2?
La PSD2 es una versión revisada de la Directiva de servicios de pago (Payment Services Directive o PSD) inicialmente introducida en 2007. Fue adoptada por el Consejo de la Unión Europea el 16 de noviembre de 2015 e implementada en las leyes nacionales a principios de 2018. La PSD2 regula las transacciones de pago en toda Europa realizadas por empresas que no están clasificadas como bancos tradicionales. Su propósito es permitir que estas empresas no bancarias ofrezcan servicios de pago a través de Internet, estimulando y regulando la competencia dentro de este sector de la industria financiera.
Por lo tanto, la Directiva de servicios de pago 1 y 2 sirven para diferentes propósitos:
- Abrir la competencia en los servicios de pago
- Reducir los costes para los consumidores
- Regular y apoyar a las startups en el sector de la tecnología financiera (Fintech)
- Aumentar la seguridad de los pagos en línea
La PSD2 en detalle
La segunda versión de la Directiva de servicios de pago se implementó en varias etapas en toda la UE. Una de sus innovaciones más importantes es que los bancos deben proporcionar a otras empresas acceso a la información de sus clientes, pero solo si el cliente ha dado su consentimiento.
Los bancos están obligados a ofrecer una interfaz a los proveedores autorizados, permitiéndoles iniciar transferencias directamente y acceder a información sobre los saldos de las cuentas y otros detalles financieros. Especialmente en el sector fintech, muchas empresas ofrecen software innovador para ayudar a los usuarios a gestionar sus finanzas. Las aplicaciones para ahorrar, seguros o trading de acciones dependen de los datos bancarios. Desde que la PSD2 entró en vigor, los bancos han estado obligados a proporcionar a las empresas certificadas una interfaz a través de la cual estos proveedores de servicios pueden recuperar la información necesaria y realizar pagos o transferencias.
A pesar de la PSD2, las empresas no pueden acceder arbitrariamente a tus datos financieros sensibles. Además de la aprobación regulatoria, los proveedores de servicios necesitan específicamente tu consentimiento explícito para obtener datos de tu banco.
¿Cómo funciona la PSD2?
Los proveedores de servicios ya habían accedido a la información de las cuentas bancarias, pero no existía un método estandarizado. A nivel internacional, las empresas a menudo recurrían a una técnica llamada web scraping, donde el proveedor de servicios extrae información directamente del sitio web de la banca en línea. Este método es ineficiente y propenso a errores. La PSD2 requiere que los bancos establezcan una interfaz de Acceso a la Cuenta (XS2A) que permita a los proveedores de servicios autorizados acceder de manera segura a los datos de las cuentas de los clientes.
La PSD2 también ofrece medidas para garantizar la transmisión segura de datos sensibles a través de interfaces, protegiendo a los consumidores de posibles riesgos. La seguridad de los datos se asegura mediante dos mecanismos principales:
- QWAC: este certificado permite que los proveedores y los bancos se autentiquen mutuamente. También cifra la transmisión de los datos.
- QSeal: este sello se adjunta a los datos y los vincula a una empresa específica. Permite rastrear qué empresas han accedido a la cuenta bancaria y transmitido datos a través de la interfaz. Además, el sello asegura que los datos permanezcan inalterados y que cualquier cambio sea detectable.
Para obtener estas licencias o sellos, los proveedores deben recibir la aprobación de una autoridad supervisora nacional. La PSD2 distingue entre dos tipos de autorizaciones:
- Proveedor de Servicios de Información de Cuentas (AISP): los proveedores en esta categoría acceden a la información de la cuenta bancaria del cliente para fines de procesamiento. Solo se requiere registro, no una licencia completa.
- Proveedor de Servicios de Iniciación de Pagos (PISP): las empresas con esta licencia pueden iniciar pagos o transferencias en nombre del cliente.
¿Qué implica la Directiva de servicios de pago para las tiendas online?
La Directiva de servicios de pago afecta principalmente a los bancos y otros proveedores de servicios financieros. Los usuarios no notarán muchos de los cambios que ocurren en segundo plano. Y, hasta ahora, incluso para los comercios online, no ha habido muchos cambios.
La PSD2 desde el punto de vista del usuario
La versión revisada de la PSD ha mejorado la seguridad de los pagos. La emisión de licencias para soluciones técnicas, así como la supervisión por parte de las autoridades reguladoras, ha asegurado una protección más confiable de los datos sensibles desde su implementación. En particular, la autenticación en dos factores obligatoria —por ejemplo, a través de un SMS con una contraseña de un solo uso (OTP)— juega un papel crucial en esto.
Con la introducción de la autenticación en dos factores, las ahora obsoletas listas iTAN (método de seguridad utilizado principalmente por algunos bancos europeos para la banca en línea) están siendo eliminadas gradualmente. Los bancos están confiando cada vez más en SMS, aplicaciones o dispositivos de autenticación dedicados para la verificación de transacciones.
La Directiva PSD2 y el comercio electrónico
Si eres propietario de una tienda en línea en EE. UU. que vende productos o servicios a clientes en la Unión Europea, y procesas pagos a través de bancos o proveedores de pago de la UE, la PSD2 se aplica a tu negocio. Esto significa que debes cumplir con los requisitos de seguridad de la regulación al manejar pagos de clientes de la UE.
La Autenticación Reforzada del Cliente (SCA) exige que los clientes verifiquen los pagos utilizando al menos dos de los siguientes: algo que sepan (como una contraseña o PIN), algo que tengan (como una tarjeta o un smartphone), o algo que sean (datos biométricos como huellas dactilares o reconocimiento facial). La SCA es obligatoria para pagos superiores a €30 (aproximadamente $34), o si varias transacciones en un solo día suman más de €100 (unos $113).
Para cumplir con la PSD2, debes trabajar con proveedores de pagos que soporten los protocolos de PSD2, como Stripe, PayPal o Adyen, que han implementado funciones de seguridad como 3D Secure 2.0. Es importante integrar correctamente estas soluciones de pago en tu proceso de pago para asegurarte de que los clientes de la UE puedan completar las transacciones sin problemas. También se recomienda realizar pruebas de tu flujo de pago para confirmar que los pasos de autenticación funcionen correctamente con los métodos de pago europeos.
Ciertos tipos de pago, como el débito directo (pagos por débito), están exentos de la SCA bajo la PSD2. Además, los pagos por debajo de los umbrales especificados pueden no requerir los pasos adicionales de autenticación.
Desde el 14 de septiembre de 2019, la mayoría de los pagos electrónicos dentro de la UE deben cumplir con la SCA, que impone la autenticación multifactor. En los Estados Unidos, la autenticación en dos factores se ha convertido en una medida de seguridad ampliamente recomendada para las tiendas en línea, con una creciente adopción fomentada por estándares y regulaciones de la industria como el PCI DSS. Aunque actualmente no existe una ley federal que obligue la autenticación en dos factores para plataformas de comercio electrónico, muchos procesadores de pagos y regulaciones estatales aconsejan o exigen fuertemente su implementación para mejorar la seguridad y proteger los datos de los clientes.
El recargo ya no está permitido gracias a la PSD2. Antes de que se implementara la directiva, era común que los comerciantes cobraran una tarifa adicional por los pagos realizados con tarjeta de crédito para evitar asumir ellos mismos los costos adicionales.
Historia de las directivas de servicios de pago: PSD1 y PSD2
Con la primera versión de la Directiva de servicios de pago, la Comisión Europea dio un paso significativo para regular las transacciones de pagos internacionales. En aras de armonizar los pagos europeos (destaca aquí la SEPA), la PSD estableció el marco legal para los proveedores de servicios en este ámbito. Esto se aplicaba explícitamente, como lo hace ahora, a los proveedores fuera del sector bancario tradicional. Así, la PSD rompió efectivamente el monopolio que las instituciones de crédito tenían sobre los servicios de pago.
Sin embargo, no todas las empresas pueden operar como una llamada institución de pagos. La Directiva de servicios de pago estableció criterios vinculantes que deben cumplir esos proveedores. A pesar de muchas reglas claras, algunos aspectos de la normativa dejaban incertidumbres y flexibilidad — algunos de estos problemas incluso fueron creados por la propia directiva. La PSD2 cerró estas brechas y, además, proporcionó una mayor seguridad para los consumidores.
Esto se logra, por ejemplo, mediante la emisión de certificados y sellos vinculantes que solo pueden obtenerse de organizaciones reconocidas. Además, las empresas requieren aprobación de la autoridad nacional de supervisión financiera.
Por favor, ten en cuenta el aviso legal relativo a este artículo.