La tecnología de las FinTech ya se encuentra entre nosotros. Puede que no la detectes a simple vista, pero está detrás de los servicios que ahora ofrece tu banco y, como veremos a continuación, es clave para la adaptación a la nueva regulación sobre servicios de pago de la Unión Europea.
PSD2: final de la prórroga.
En 2009 entró en vigor la primera normativa PSD, o normativa sobre proveedores de servicios de pago (Payment Service Providers). Con ella arrancó el mercado único de pagos en Europa, se reforzó la seguridad de las operaciones y en ellas se permitió la actuación de agentes no bancarios. Esa mayor competencia en la gestión de los pagos también se tradujo en la bajada de precio de las transacciones (menores comisiones).
En 2015 se renovó aquella normativa pionera con la aprobación de la PSD2. Pero como suele suceder, la transposición de reglas comunitarias se ha extendido más de lo previsto. El complejo marco legal y técnico necesario para alcanzar las metas de la PSD2 retrasó su implantación hasta enero de 2018 y ni así ha sido suficiente para algunos bancos tradicionales.
Las especificaciones técnicas (RTS) que permitirán la aplicación efectiva de la normativa se aprobaron en marzo de 2018, pero luego se concedió una extensa prórroga o período definitivo de adaptación, que termina en septiembre de 2019.
¿En qué consiste la PSD2? Pues podríamos concluir que la extensa documentación sobre la PSD2 disponible en la web de la Autoridad Bancaria Europea (EBA) pretende fomentar el open banking: mayor competencia, transparencia e innovación en el sector financiero. Y busca lograrlo autorizando la intervención de terceras empresas (FinTech) para mejorar la experiencia del cliente y garantizar la seguridad de los sistemas de pago.
Esta nueva interacción se lleva a cabo mediante APIs (Aplication Programming Interface), un software a disposición de terceros (debidamente autorizados) que hace de puente entre la cuenta bancaria del cliente y el comercio. La directiva comunitaria obliga a todos los bancos europeos a desarrollar esas APIs y a hacerlas públicas en septiembre de 2019, como muy tarde.
Autenticación en los pagos hasta la llegada de la PSD2.
Como una primera aproximación, piensa en cómo pagas en una tienda hasta ahora:
- Sacas tu tarjeta, dispositivo con NFC o pegatina NFC.
- Insertas tu tarjeta en el datáfono, o acercas el dispositivo o la tarjeta al TPV.
- Tecleas el PIN, o pones tu huella o rostro en el teléfono.
Observa que han sido necesarios dos elementos:
- Físico: la tarjeta o el chip NFC.
- Algo que solo tienes tú: el PIN en tu memoria, o tu rostro o huella dactilar.
En cuanto a las compras online, desde octubre de 2008 los pagos con tarjeta se encuentran protegidos con 3D Secure, también llamado MasterCard SecureCode o Verified by VISA. Con 3D Secure cada vez que se realiza una petición de pago en un comercio online se requiere una verificación en dos pasos. Es decir, no basta con que el cliente tenga delante la tarjeta física con su numeración, fecha de caducidad y código CVV, sino que, además es necesaria una tarjeta de coordenadas, un código enviado por teléfono móvil o una contraseña específica para este tipo de compras online.
Detrás de toda transacción hay una pasarela de pago entre la cuenta bancaria del cliente (de donde sale el dinero) y la cuenta bancaria del comercio (destino del dinero). Y por ese servicio de conexión de cuentas el proveedor de servicios de pago se lleva una comisión, cuyos máximos controla la normativa europea.
SCA: la autenticación reforzada que llega con la PSD2.
Con la aplicación de la PSD2 el comercio podrá directamente conectarse con el banco, sin que intervenga un PSP (proveedor de medios de pago) con sus tarjetas (VISA, MasterCard, American Express, etc.). La novedad está en que la API del banco servirá de enlace entre el cliente y el negocio, sin una tarjeta del cliente de por medio.
Entre los estándares de regulación técnicos de la PSD2 se encuentra la SCA, o autenticación reforzada del cliente, como clave para garantizar la seguridad de las operaciones, sin dificultarlas, ni restar comodidad al cliente.
La SCA requiere el uso de dos o más elementos, descritos en la PSD2 como:
- De conocimiento: un número secreto o PIN que solo conoce el usuario.
- De posesión: algo físico que posee el usuario: token, chip NFC, etc.
- De inherencia: algo que solo tiene el usuario por ser él. Mediante reconocimiento de huella, rostro, iris o retina.
Para asegurar la inviolabilidad del sistema de pagos es imprescindible que los elementos anteriores sean independientes y que no se puedan relacionar. Dicha información no será almacenada, ni interconectada, de forma que si se consiguiera replicar uno de los elementos, los demás permaneciesen seguros.
Queda claro que el objetivo directo es reducir el riesgo de fraude, pero también reducir el coste de detectar operaciones fraudulentas e indirectamente, incrementar la confianza de los ciudadanos europeos en las transacciones de pago y en el comercio online en general.
Cabe señalar que la autenticación reforzada se solicita en las operaciones iniciadas por el cliente, por lo que la mayoría de pagos online y transferencias bancarias la requieren. Sin embargo, quedan excluidas las operaciones iniciadas por un comercio online previamente autorizado por el cliente (comercio de confianza), las transacciones recurrentes y, en general, aquellas que pasen el filtro del TRA (Transaction Risk Analysis).
El análisis de riesgo de transacción (TRA) nace para garantizar la seguridad de la operación, sin restar comodidad al usuario. Sus algoritmos analizan el comportamiento de las partes durante el proceso de pago, de modo que si hay algún movimiento susceptible de ser fraudulento, entonces se pide un elemento de autenticación más; en caso contrario, la operación se completaría sin ese paso. Gracias al TRA, no todas las operaciones requieren la incomodidad (ni el coste) de verificar un paso más.
El protocolo de autenticación hasta ahora utilizado y antes mencionado, el 3D Secure, con la llegada de la PSD2, evoluciona a 3D Secure 2, cumpliendo con los nuevos requisitos de SCA impuestos por la normativa comunitaria. Se trata de un protocolo de verificación de nueva generación que analiza mayor cantidad de datos procedentes de operaciones previas de la misma red de pagos, para facilitar la autorización sin restar seguridad.