La implementación en toda el área económica europea de la normativa comunitaria sobre servicios de pago, conocida como PSD2, viene a revolucionar la forma en que pagas tus compras y amplía el abanico de servicios financieros a tu disposición. Las FinTech dan otro paso al frente.
PSD y su actualización a PSD2.
PSD, la primera directiva europea en materia de medios de pago, fue aprobada en 2007 y se traspuso al ordenamiento interno mediante la Ley 16/2009, que entró en vigor en 2009. Aquella normativa sobre PSD (Payment Service Providers), creó un mercado único de pagos en el espacio económico europeo; un marco normativo común que insistía en reforzar la seguridad de las transacciones y donde, por primera vez, se permitieron agentes de servicios de pagos independientes de los bancos tradicionales. El cliente podría elegir mejor cómo pagar y se crearía una mayor competencia que rebajaría el precio de las operaciones.
Con las FinTech cada vez más presentes en nuestras finanzas, aquella PSD necesitaba una profunda renovación. Así, la nueva PSD, denominada PSD2, fue aprobada en noviembre de 2015, con un período de transposición hasta enero de 2018. La nueva directiva pretende impulsar la competencia, la transparencia y la innovación del sector financiero, permitiendo la actuación de terceras empresas o TTP (Third Party Providers) que faciliten la experiencia del cliente y garanticen la seguridad del sistema.
La directiva establece como principal novedad que los bancos permitan a terceras empresas debidamente autorizadas acceder a las cuentas de sus clientes, siempre que el cliente así lo solicite. De forma que el open banking, será utilizado:
- Para realizar un pago, mediante el PIS en inglés, o SIP: servicio de iniciación de pagos.
- Para consultar información del cliente, mediante el AIS en inglés, o SIC: servicio de información de cuentas.
La comunicación de datos entre el banco y la TTP se realiza a través de un software puente o, por sus siglas en inglés, API o Application Programming Interface. De hecho, la propia PSD2 exige a todos los bancos europeos el desarrollo de API abiertas para que sean usadas por las TTP en el desarrollo de su servicio, ya sea SIP o SIC.
SIP, ¿en qué me afecta la normativa PSD2 a la hora de pagar?
Pues como comprador te afecta, y bastante. Si la normativa nace para poner las cosas más fáciles al cliente europeo y hacer crecer la competencia, con la aparición de nuevos proveedores financieros (¡hola FinTech!), parece que va bien encaminada.
Por lo pronto, a la hora de pagar, en tiendas físicas y por Internet, podrás autorizar al comercio para que, conectándose con tu banco a través de una API, realice el cobro de tu cuenta bancaria. Hasta ahora, esto se hacía con un PSP (proveedor de servicios de pago) como MasterCard o Visa, mediante la lectura física de la banda magnética, del chip y más recientemente contactless, o bien mediante la autorización de cargos a tu tarjeta en un comercio online (como cuando pagas en Amazon) o dentro de una app que transmite por NFC desde el teléfono (como Apple Pay, Google Pay o la app de tu banco).
Por tanto, el uso de una tarjeta como identificación y autorización de cargo en cuenta dejará de ser imprescindible una vez que se ponga en marcha la PSD2. Sin embargo, su uso como medio de pago, seguirá siendo igualmente válido y la nueva normativa se actualiza al respecto, pues prohíbe los recargos en los pagos con tarjeta tanto en establecimientos físicos como en compras online que, según la Comisión Europea, venían afectando al 95% de las tarjetas. También reduce el máximo que debe asumir el cliente en caso de fraude en su medio de pago de 150 a 50 euros.
En cuanto a la seguridad de las transacciones, la PSD2 quiere que las API permitan una comunicación segura entre las partes para garantizar la confidencialidad de las credenciales y requerirá además una verificación reforzada con dos factores de autentificación, como pueden ser un código PIN, una tarjeta, un número de móvil, o medidas biométricas como la huella dactilar. Este punto resulta fundamental para la nueva regulación europea, pues aunque cada entidad bancaria es libre para elegir la configuración de seguridad de sus API, todas deben cumplir los RTS, o estándares de regulación técnicos establecidos por la EBA (Autoridad Bancaria Europea) en esos dos aspectos:
- SCA: autenticación reforzada del cliente.
- CSC: seguridad en las comunicaciones.
Una vez aprobados los RTS, los bancos tienen un plazo de 18 meses para ajustar sus API y hacerlas públicas, por lo que el límite máximo de aplicación de la PSD2 se sitúa en septiembre de 2019.
SIC, ¿y qué es eso del servicio de información de cuentas?
En los anteriores párrafos han quedado definidas las novedades que introduce la PSD2 a la hora de pagar, pero ¿en qué consiste la segunda modalidad de acceso (SIC) permitida a terceros proveedores?
Pues este servicio muestra información concreta y agregada de las cuentas del cliente, independientemente del proveedor del servicio de pago (no solo de la cuenta bancaria que estás usando para pagar, sino de todas tus cuentas). La razón de este servicio es permitir que terceros agentes puedan concentrar en un mismo extracto la situación financiera del cliente, para administrar mejor sus medios de pago o para visualizar y demostrar su liquidez ante una posible financiación. Se amplía todavía más el horizonte de las FinTech.