PSD2: la nueva Directiva Europea de Servicios de Pago
Desde el día 14 de septiembre ya ha entrado en vigor la nueva Directiva Europea para la regulación de los servicios de pago y de los proveedores de servicios de pago en toda la Unión Europea (UE) y en el Espacio Económico Europeo (EEE), que sustituye a la anterior de 2009.
La nueva Directiva de Servicios de Pago – conocida como PSD2, por sus siglas en inglés-, es aplicable a todos los métodos de pago digitales. La forma exacta en la que se lleva a cabo la nueva autenticación compete al banco y protege al usuario/cliente de un posible acceso indebido a su información sensible. Al conocer en noviembre del año pasado su próxima aplicación, se creó mucha polémica dentro del sector bancario, ya que obliga a los bancos a compartir su activo más importante, que son los datos de sus clientes, y ahora son éstos los que pasan tener la potestad de decidir con quién los comparte.
El nuevo escenario que introduce obliga a las entidades bancarias a habilitar los medios técnicos que permitan a terceros acceder a los datos sobre cuentas de pago de sus clientes y les obliga a adoptar las medidas de seguridad necesarias que garanticen el control total sobre quién y cuándo acceden a esos datos, implementando lo que se conoce como SCA (Strong Customer Authentication) para garantizar que realmente es el usuario el que está dando permiso para acceder a dichos datos.
De conformidad con la PSD2, va a ser imprescindible el disponer de un número de teléfono móvil asociado a la cuenta corriente para acceder a la banca on line o para poder realizar pagos al efectuar transacciones a través de Internet.
Así, en cada pago deben emplearse dos formas diferentes y separadas de verificación de la identidad del usuario/cliente, es decir, una “autenticación reforzada”. Este doble sistema de certificación/legitimación por parte del cliente tiene como objetivo garantizar la seguridad de los pagos electrónicos y reducir al máximo posible el riesgo de fraude, mostrándose en consecuencia más seguros por ejemplo los pagos realizados en Internet.
Por tanto, a partir de ahora, el usuario/cliente que realice un pago electrónico deberá efectuar una doble identificación. A modo de síntesis destacaría:
- El protocolo 3D Secure incrementa la seguridad en los pagos online con tarjeta.
- El usuario/cliente realiza una confirmación adicional de su pago electrónico mediante una contraseña, un número de transacción o su huella digital. El protocolo de identificación varía en función de la entidad bancaria; con este propósito, numerosos bancos ponen a disposición del cliente una aplicación móvil especial o un dispositivo generador de números de transacción.
- Aunque se produzca un robo de los datos de la tarjeta, con el número y el código de control de la misma, no es posible realizar transacciones por Internet.
A mayor abundamiento, la autenticación y selección de los vendedores online que forman parte de la lista blanca de comercios de confianza corresponde al usuario/cliente. No obstante, esto solo es aplicable si el emisor de la tarjeta ofrece esta opción y si el cliente está de acuerdo con la elección de los comercios. Por tanto, si el usuario prefiere no realizar la autenticación adicional en sus transacciones o compras con una empresa/proveedor, tiene la posibilidad de ponerse en contacto con su banco, como emisor de la tarjeta, e incluirla dentro de su lista blanca de comercios de confianza.
La PSD2 supone un paso más, con el objetivo de agilizar los procesos on line y mejorar la protección a la clientela, que ahora sabrá bajo qué criterios dejará la información más sensible –sus datos-, contando con la garantía del Banco de España (BdE), para que no haya problemas en el acceso ni en posibles suplantaciones.
Pero como con la aplicación de cualquier protocolo más o menos exhaustivo y riguroso, como usuarios/clientes debemos de ser diligentes en la medida que nos es exigible, para evitar cualquier incidencia, porque ya sabemos que nada es infalible…
Por: María Isabel Iglesias Molins