Fuente: cuentasclaras.es
PSD2. ¿PSD2? ¿Sabes de qué estamos hablando? No es un robot de Star Wars y, aunque no lo hayas oído nunca, pronto lo harás, porque va a afectar a tu bolsillo y porque muy pronto comenzarás a recibir invitaciones de empresas no bancarias que te pedirán acceso a tus datos financieros.
La relación entre los bancos y sus clientes está cambiando. La digitalización de la sociedad afecta a empresas y consumidores y obliga también a administraciones y autoridades públicas a regular nuevas relaciones y espacios críticos, cuando de lo que se trata es de dinero y datos. Y de eso trata la PSD2, una legislación comunitaria que regula los pagos y el acceso a tu información financiera.
Para saber más sobre esta directiva europea y sobre sus implicaciones en materia de ciberseguridad y protección de datos hemos preparado este artículo en el que te contamos todo lo que debes saber sobre la PSD2 y qué debes tener en cuenta.
¿Qué es la PSD2?
El PSD2 (Payment Service Directive 2) es una directiva europea que tiene como objetivo mejorar la seguridad y reforzar la protección contra fraudes en las operaciones bancarias hechas a través de internet. Además, también regula el acceso, con consentimiento, de los datos de tus cuentas bancarias a terceros (Facebook, Amazon, etc.) Esta resolución supone para el consumidor la eliminación de intermediarios en operaciones de pagos electrónicos.
Se trata de una directiva europea que pretende ampliar la competencia en el mercado de los pagos electrónicos para reforzar la posición del consumidor, como explica la Comisión Europea en su propuesta.
La primera Directiva de Servicios de Pago (PSD) nació en 2007 y pretendía crear un mercado único de pagos en la Unión Europea. En 2013, la Comisión Europea propuso una revisión (PSD2) para unificar el sistema de servicios de pago electrónicos, los que se hacen online o a través del smartphone, entre países y proveedores.
Ya te hablábamos de los cambios en las formas de relacionarse que se están dando en la actualidad entre clientes, comercios y bancos; cambios que se materializan, por ejemplo, en la posibilidad de agrupar toda la información bancaria en un único lugar.
Esta es una de las principales novedades que trae la nueva normativa, dado que por ella las entidades financieras deben abrir sus sistemas a terceros, movimiento conocido como open banking.
Con todo, es imprescindible que este proceso se haga de forma segura, por lo que se requiere una adecuada gestión que no suponga problemas de ciberseguridad.
Y a mí, ¿cómo me afecta PSD2?
Como consumidor, la directiva te permitirá realizar tus gestiones financieras a través de terceros. Es decir, podrás comprar directamente un producto sin tener que hacer la operación a través de tu banco.
Esto significa mayor rapidez a la hora de comprar online, ya que podrás autorizar expresamente a cualquier comercio el cobro de una compra de forma inmediata y sin utilizar la tarjeta, como si fuera una simple transferencia.
Por ejemplo, vas a comprar un móvil y la tienda donde lo haces necesita de varios intermediarios para procesar el pago (comercio – proveedor de pagos electrónicos – compañía de la tarjeta – banco). Con PSD2 el proceso se acorta: comercio – banco. Un solo paso en vez de cuatro que se produce a través de una estructura de datos (conocida como API).
La PSD2 habilita el acceso a terceros -como pueden ser Google, Facebook, Amazon o AliPay-, acorta los procesos en el comercio electrónico y aumenta la oferta a nivel financiero. Evidentemente, este acceso dependerá de la aprobación del propio cliente.
Esta nueva normativa incluye mejoras en los derechos para los usuarios de los servicios de pago, entre los que destacan:
1. Transparencia e información
El acceso a la información no tendrá coste alguno para los usuarios que deberán conocer gratuitamente los gastos asociados a cada operación, las condiciones de la misma y el plazo de ejecución en que se llevará a cabo.
2. Facultad de rescisión
En todo momento, salvo que se pacte lo contrario, el usuario de los servicios PSD2 podrá rescindir su contrato marco sin aviso previo. En caso de existir pacto en contra, este no podrá superar el mes.
La rescisión de un contrato, además de contar con la libertad de acción que acabamos de mencionar, también será gratuita. Es más, la rescisión sólo pierde su carácter gratuito si el contrato ha tenido una duración inferior a seis meses.
3. Rectificación de operaciones no autorizadas
En caso de realizarse operaciones no autorizadas, la nueva directiva europea obliga a su corrección inmediata. El usuario deberá notificar a su proveedor tan pronto se dé cuenta de la operación.
Si la autorización de la operación no especifica un importe exacto o si el importe supera lo esperado, el usuario podrá solicitar la devolución del mismo.
Algo que también favorece al usuario y al consumidor es que, en caso de disputa, será el suministrador del servicio de pago el que tendrá que demostrar que la operación se ha realizado contando con la pertinente autorización y que su ejecución ha sido la correcta.
4. Responsabilidad por operaciones no autorizadas
Se limita la responsabilidad de los usuarios que sean víctimas de operaciones fraudulentas. La cantidad máxima que se tendrá que soportar será de 50 euros, frente a los 150 euros anteriores.
5. Autenticación reforzada
Una de las medidas de la directiva PSD2 es la de emplear medidas de autenticación reforzada o doble autenticación. Uno de los objetivos es reducir el fraude y aumentar la seguridad. Esto significa que para autorizar una operación será necesario emplear al menos dos de estos métodos:
- Elemento inherente: huella dactilar, iris o reconocimiento facial, sistemas habituales en los dispositivos móviles.
- Elemento poseído: algo físico como una tarjeta, un certificado digital o un teléfono móvil.
- Elemento conocido: un número PIN o contraseña.
Como estas medidas de control son independientes entre sí, en el caso de que una de ellas esté comprometida a efectos de ciberseguridad, el riesgo de amenaza disminuye dado que va a ser necesario pasar un doble filtro de control. Esto, sin duda, suma un motivo de tranquilidad para los usuarios en cuanto a la protección de sus datos y actividades financieras.
6. Compras online más rápidas
Con la nueva Directiva el intercambio monetario se hace de forma instantánea, al estilo de una transferencia.
Una vez que se ha autorizado la operación, no existirán retrasos motivados por procesos de confirmación de pago que alarguen la disponibilidad de los fondos implicados en la operación. Se apuesta por la agilidad de las operaciones y por la rapidez sí, pero respaldada por una mayor seguridad.
¿Cuándo entra en vigor la PSD2?
La fecha ya está marcada en el calendario. En septiembre de 2019 empizan a ser efectivas las medidas de la segunda directiva europea sobre servicios de pago, que se aprobó en 2015.
¿Qué medidas de actuación son recomendables por parte de los usuarios?
Actuar de forma responsable y tomar medidas de seguridad para verificar la legitimidad de los proveedores de servicios con los que actuamos es una tarea que no debes descuidar. nos compete a los usuarios de este tipo de servicios de pago electrónico.
Cuidado con los intentos de phishing
No olvides algunas premisas básicas de protección a la hora de navegar online. Por ejemplo, que tu banco nunca te va a contactar por correo electrónico o SMS para pedirte información personal como tu PIN, contraseña o para realizar operaciones o comprobaciones de seguridad. Si te encuentras en esta situación, lo más probable es que te encuentres ante un intento de phishing.
Si en algún momento tienes la sospecha de que estas siendo víctima de una ciberestafa, lo más recomendable es que pares la operación de inmediato y que no facilites ningún tipo de información que ponga en peligro tu seguridad financiera. Además, recuerda avisar a tu banco para que esté al tanto de los intentos de phishing que reciben sus clientes y pueda actuar en consecuencia.
Debes ser extremadamente cuidadoso con la divulgación de datos personales y financieros. Comprueba siempre que la plataforma cuenta con las todas las medidas de seguridad necesarias que acrediten que es una operación legítima. En la web de ABANCA puedes conocer todos los mecanismos de seguridad que empleamos.
Nuevos operadores de la PSD2: ¿qué son los AISP y los PISP?
Hace un momento hablábamos de “terceros” y es que con la nueva normativa surgen dos nuevos tipos de entidades:
- Los PISP, que son los Proveedores de Servicios de Iniciación de Pagos.
- Los AISP, que son los Proveedores de Servicios de Información de Cuenta.
A continuación, te hablamos de ellos más en profundidad para dejar claro quién es quién y qué aportan en este nuevo panorama de medios de pago al que nos estamos incorporando.
1. Los Proveedores de Servicios de Iniciación de Pagos o PISP
Los PISP son proveedores de servicios de pago que conectan al cliente con el banco para realizar una operación.
En este caso, el proveedor se mantiene en parte al margen de la información y acceso a las finanzas del usuario, ya que el dinero del usuario no pasa por el PISP.
Te encuentras antes un PISP cuando realizas una compra o pagas un servicio con una tarjeta de crédito y, antes de aceptar la operación y sin salir de la plataforma o web en la que estabas, te redirigen a una pasarela de pago donde certificas que aceptas la operación.
Pero este no es el único ejemplo representativo de servicio PISP. Este sistema también permite comprar en internet sin necesidad de contar con una tarjeta de crédito o incluso poder realizar transferencias entre particulares desde una aplicación que no es la del banco de origen de la transferencia.
2. Los Proveedores de Servicios de Información de Cuenta o AISP
Los AISP (Proveedores de Servicios de Información de Cuenta) integran y agrupan la información financiera de un cliente, que puede corresponder a uno o varios bancos, y se la ofrecen al cliente de forma conjunta para que desde una sola plataforma acceda y gestione todas sus cuentas, independientemente de que estén en varias entidades bancarias.
Evidentemente, se requiere la autorización del usuario y su principal ventaja es ofrecer una variedad de servicios a partir de la obtención de la información financiera del usuario.
Como quizás ya estés pensando, esta ventaja también puede ser una desventaja si el proveedor de este servicio no ofrece una serie de garantías en cuanto a ciberseguridad y protección de datos. Por eso es tan importante tener en cuenta las recomendaciones se seguridad que te dimos antes.
