Qué es eso de la PSD2?
Se trata de uno de los mayores cambios de los últimos años en la industria bancaria y financiera, especialmente desde el punto de vista digital y de las aplicaciones móviles. La nueva regulación europea en los servicios de pago, conocida como PSD2, permitirá a terceros acceder a la infraestructura de los bancos y mejorará la seguridad de los usuarios conectados a estas aplicaciones.
Entre otras cosas, este nuevo servicio facilitará la ejecución de los pagos en toda Europa y permitirá ofrecer un servicio bancario adaptado a las nuevas tecnologías, especialmente desde el punto de vista móvil.
¿Cuándo entra en vigor esta nueva Directiva de Servicios de Pago?
La norma conocida como como PSD2 (por sus siglas en inglés Payment Service Directive) se aplicará a partir de este sábado 14 de septiembre y es una actualización de la primera directiva PSD que se creó en 2007. Recordemos que el real decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgente en materia financiera, se publicó en el BOE el sábado 24 de noviembre.
¿Qué cambiará con esta nueva norma?
Según explica el Instituto de Ciberseguridad (Incibe), dependiente del Ministerio de Economía y Empresa, el primer gran cambio que traerá consigo esta normativa es que las entidades financieras deberán abrir sus sistemas a terceras partes o TPPs (Third Party Payment Service Providers), acción que se denomina open banking.
Esto permitirá que terceras partes accedan a la cuenta del cliente y así puedan realizar pagos en su nombre, previo consentimiento del titular de la cuenta. Esta apertura conlleva un aumento en la competencia que provocará la aparición de nuevas empresas, ya que hasta ahora las restricciones impuestas a los TPPs lo hacían muy complicado. Eso sí, deberán cumplir con la misma reglamentación que los servicios de pago tradicionales.
¿Se agilizarán los pagos online?
En efecto. El segundo cambio, consecuencia del anterior, es que los pagos online serán mucho más rápidos. Si el cliente ha autorizado a un TPP el acceso a su información bancaria, el cobro de un determinado producto o servicio será inmediato, de manera similar a como se realiza una transferencia bancaria.
¿Por qué la compraventa por Internet será ahora más segura y fácil? ¿Qué refuerza esta norma?
La seguridad es un elemento muy importante con la entrada en vigor de PSD2. Con esta nueva normativa, los titulares de la cuenta deberán dar permiso para que sus datos sean accedidos por un tercero que tenga licencia para ofrecer servicios de pago. Con estas premisas, podría parecer que la eliminación de intermediarios que ahora son innecesarios hace más vulnerables los pagos en línea. Pero nada más lejos de la realidad.
La propia directiva ha establecido un conjunto de elementos de seguridad, aunque algunos de ellos no serán vinculantes hasta septiembre de 2019 para dar tiempo a los bancos y firmas de tecnología para que puedan ajustar su tecnología. La verificación se realizará a través de dos factores, entre los cuales se encuentran una contraseña, código PIN, el número de la tarjeta, el teléfono móvil e incluso el escaneo del iris o la huella digital.
Además, al regularse el acceso a las cuentas bancarias del consumidor por parte de terceros, se evitan algunas tecnologías como el Screen Scraping, que realizan un rastreo de los datos de los clientes haciéndose pasar por un usuario normal y después utiliza esta información para facilitar los accesos o reducir el tiempo de comprobación y análisis al, por ejemplo, conceder un préstamo.
Todos los elementos seleccionados deberán ser independientes. De esta forma, aunque uno de los factores sea robado, no se podrá tener acceso al resto de los elementos.
¿Cómo afectará el PSD2 a los comercios online?
La entrada en vigor de la nueva directiva supondrá acciones mínimas en aquellos comercios online que, actualmente, ya tengan implementado un sistema de autenticación reforzada o de doble factor de autenticación. En cualquier caso, el Incibe dice que es recomendable contactar con la entidad que facilita la pasarela de pago para verificar que se cumple con la normativa.
Por el contrario, aquellos negocios online que no cuenten con un sistema de autenticación reforzada en sus pagos deberán adaptar la pasarela de pago a la nueva Directiva, y así provocar que sea obligatoria la autenticación reforzada. Para ello, deberán ponerse en contacto con el proveedor de la pasarela de pago y realizar el proceso de migración hacia este nuevo sistema más seguro y de obligado cumplimiento.
Existen varias excepciones a la hora de implementar métodos de autenticación reforzada que la pasarela de pago deberá contemplar, entre ellas las operaciones cuyo pago se ha iniciado por teléfono o correo electrónico o pagos realizados con tarjetas prepago anónimas.
El móvil será indispensable para acceder a la banca online
La Unión Europea quiere que tus medios de pago estén más protegidos y eso es, precisamente, lo que persigue la directiva PSD2. A partir del próximo 14 de septiembre, acceder a la banca online y realizar pagos electrónicos será más seguro gracias al nuevo sistema de autenticación reforzada (strong customer authentication, abreviado como SCA).
Hasta ahora, para acceder a una cuenta corriente por Internet bastaba un usuario y una contraseña o, en su lugar, algún tipo de información biométrica como la lectura de la huella dactilar o el reconocimiento del iris. Pero con la nueva directiva, el proceso cambia. En la práctica, cuando entre en vigor la PSD2 si quieres acceder a tu cuenta online, necesitarás disponer de un smartphone y, en algunos casos, tener instalada la app de tu banco, como nos explican los expertos de HelpMyCash.
En realidad, el sistema de doble autenticación no es totalmente nuevo. Por ejemplo, cuando se abona una compra en un comercio, se combina una tarjeta con un código pin o cuando se abona una compra por Internet, muchos comercios solicitan un código recibido por SMS para confirmar la operación. Asimismo, algunas entidades obligan al cliente a validar una operación con una clave de firma y un código recibido por mensaje de texto cuando el importe de la transacción es elevado. Pero con la PSD2, este sistema de doble autenticación se actualizará y afectará al acceso a las cuentas online.
A escasos días de que entre en vigor la medida, algunos bancos ya han informado sobre cómo la pondrán en práctica. La mayoría han optado por combinar una clave personal con un código temporal recibido por SMS, de manera que será necesario tener a mano el smartphone no solo para operar, sino también para entrar en la banca online, afirman fuentes de HelpMyCash.
¿Cómo acceder a tu banco online? Los detalles de cada entidad
Desde HelpMyCash han hecho una lista de algunos de los principales bancos. En el caso de los clientes de Banco Santander y de Openbank se necesitará su clave de acceso más un código recibido por SMS para acceder a la banca online. BBVA ha optado por la misma opción y ya ha notificado a sus clientes que a partir de septiembre el «móvil será imprescindible para acceder» a los canales digitales. Colonya y las cajas rurales combinarán los datos de acceso habituales (usuario, NIF y contraseña o bien huella y reconocimiento facial) con un código recibido por SMS.
Algunas entidades están aprovechando la entrada en vigor de la normativa PSD2 para eliminar la tarjeta de coordenadas. Laboral Kutxa ha avisado que «la actual tarjeta de firmas para operar en banca online será sustituida por claves que recibirás por SMS».
¿Qué debes hacer si eres de ING? La entidad quiere licenciar la tarjeta de coordenadas; sin embargo, en lugar de recurrir al popular SMS, enviará notificaciones a través de su app, por lo que a partir de este mes sus clientes estarán obligados a tenerla instalada en su móvil si quieren operar con normalidad a través de la web. ING avisa que antes del 10 de septiembre era necesario cumplir estos tres requisitos: descargar la app o actualizarla a la versión 2.5 o superior, activar las notificaciones y dar de alta la validación móvil, que sustituirá a la tarjeta de coordenadas.
A la hora de acceder a una cuenta de ING a través del ordenador (se podrá seguir operando por la web, aunque la app sea obligatoria), el cliente recibirá una notificación en su móvil para verificar su identidad. La app también será necesaria para validar operaciones realizadas desde el ordenador. En esos casos, el cliente recibirá una notificación en su smartphone que deberá aceptar y luego introducir una contraseña.
Pero ING no es el único banco que quiere que todos sus clientes tengan su app instalada. Targobank también quiere sustituir los mensajes de texto: «El servicio de Confirmación Móvil reemplaza el envío del SMS por una validación realizada directamente desde su smartphone y totalmente integrada en la aplicación de Targobank».
Obligar al cliente a operar a través de una notificación integrada en una app en lugar de enviarle un SMS implica que solo podrá operar cuando el smartphone tenga acceso a Internet. Asimismo, será necesario disponer de un terminal que soporte las últimas versiones de las aplicaciones bancarias y que tenga espacio suficiente para instalarlas, explican los expertos.
Autenticación reforzada cada 90 días. Para agilizar el proceso, la doble autenticación no será necesaria siempre que se acceda a la banca online, sino que los bancos que lo consideren oportuno podrán dar una tregua de 90 días a sus clientes durante los cuales estarán exentos de usar la SCA. Según el Reglamento Delegado 2018/389, que regula la autenticación reforzada, solo será necesario introducir el segundo factor de seguridad la primera vez que se acceda a una cuenta online y cuando hayan transcurrido más de 90 días desde la última vez que se solicitara la autenticación reforzada. Las cajas rurales, Colonya, Openbank e ING han avisado de que solo se solicitará el segundo factor (SMS o notificación) la primera vez que se acceda a la banca electrónica a partir del 14 de septiembre y luego cada 90 días