El rápido crecimiento en el volumen y los tipos de pagos electrónicos ha llevado a cambios significativos en las regulaciones legales en diferentes partes del mundo.
La Unión Europea ha introducido un conjunto de reglas en PSD2, que regulan los pagos electrónicos para garantizar una competencia leal y adaptarse a los cambios del mercado en curso.
Hoy en día, todas las empresas que reciben pagos en línea de los titulares de tarjetas de la UE deben saber qué es PSD2 y cómo se aplica a sus operaciones.
Este artículo describe cómo estas nuevas regulaciones afectan a los comerciantes y qué procesando pago mecanismos que necesitan para cumplir sus operaciones en la UE con PSD2.
¿Qué es PSD2?
La PSD2, la Directiva de servicios de pago revisada, es un conjunto de reglas que especifican los derechos de acceso a las cuentas bancarias de los consumidores por parte de proveedores de servicios de pago externos (TPP).
Es la versión actualizada de la Directiva de servicios de pago (PSD) de la UE, adoptada en 2007, que alinea las regulaciones de pago electrónico de la UE con los avances tecnológicos actuales y los cambios en curso del mercado.
Esta directiva tiene dos objetivos principales:
- Permitir que los consumidores utilicen su información bancaria con mayor facilidad.
- Especificar las reglas bajo las cuales los bancos pueden permitir que los TPP accedan a la cuenta de los consumidores y a los datos de pago para realizar transacciones.
Esta directiva define los requisitos de seguridad para el procesamiento de pagos electrónicos y garantiza la protección de los datos de pago de los consumidores.
El propósito de PSD2 es garantizar un alto nivel de transparencia de pago en el Espacio Económico Europeo (EEE) y proteger a los consumidores del fraude.
¿Cómo funciona PSD2?
El principal cambio que ha traído PSD2 es que los consumidores tienen más control sobre sus cuentas bancarias. Esto significa que los bancos ya no tienen derechos exclusivos para acceder a esta información.
Según la nueva directiva, los consumidores pueden otorgar acceso a sus datos bancarios a aplicaciones de terceros (por ejemplo, aplicaciones de contabilidad) o cualquier otra herramienta digital que ayude con la automatización de pagos, la planificación financiera, la facturación o cualquier otro servicio financiero.
Note: PSD2 especifica que todos los proveedores de servicios de pago de terceros deben someterse al proceso de registro, autorización y supervisión por parte de las instituciones pertinentes en cada estado miembro para llevar a cabo estos servicios. Esta directiva también define los organismos relevantes responsables de la supervisión de sus operaciones.
El nuevo sistema de pago en línea introducido por PSD2, también conocido como open banking, tiene como objetivo liberalizar el mercado de pagos en línea en el Espacio Económico Europeo brindando oportunidades a nuevos proveedores de servicios de pago y reduciendo el monopolio de los bancos tradicionales.
Una descripción general de la protección y seguridad del consumidor de PSD2
PSD2 ha introducido varios mecanismos y regulaciones avanzados para la protección y seguridad del consumidor que también benefician a los comerciantes. Estos cambios se describen a continuación.
Regulación de los proveedores de servicios de pago de terceros
Bajo PSD2, los proveedores de servicios de pago de terceros son elegibles para acceder a la información de las cuentas de los consumidores para habilitar tres nuevos tipos de servicios:
- Servicios de información de cuenta (AIS). Se puede permitir que entidades de terceros accedan a las cuentas bancarias de los consumidores y recopilen datos relevantes para proporcionar servicios de información de cuentas. Esto significa que si un consumidor tiene varias cuentas en diferentes bancos, bajo PSD2, puede autorizar a un TPP, por ejemplo, una aplicación de pago, para acceder a sus cuentas bancarias y agregar los datos necesarios bajo el perfil de la aplicación del consumidor.
- Servicios de inicio de pago (PIS). Otro beneficio de PSD2 es que los consumidores pueden autorizar a entidades de terceros a iniciar pagos en su nombre desde sus cuentas bancarias y proporcionar a los consumidores diferentes servicios de pago, como el pago de bienes y servicios en línea.
- Emisión de instrumento de pago con tarjetas. La nueva regulación permite a los TPP emitir instrumentos de pago basados en tarjetas a los clientes. Esto significa que los bancos deben otorgar acceso a la entidad emisora a los detalles de la cuenta de los clientes y a la información sobre la disponibilidad de fondos.
Note: PSD2 aporta beneficios adicionales a los comerciantes. Por ejemplo, puede ponerse en contacto con un proveedor de AIS para recopilar datos relevantes sobre consumidores potenciales de alto valor, como obtener más información sobre sus transacciones anteriores e información sobre el saldo de la cuenta para evaluar su nivel de riesgo. Sin embargo, tenga en cuenta que estas solicitudes y procedimientos deben cumplir con la GDPR. Aprender acerca RGPD y pagos en línea.
Como resultado de estos cambios, los estados miembros de la UE tuvieron que aprobar una legislación que evite que los bancos bloqueen a los proveedores de pagos de terceros autorizados para que no accedan a las cuentas bancarias de los consumidores. Si un consumidor permite que un TPP autorizado transfiera dinero desde su cuenta, el banco debe cumplir.
Este reglamento entró en vigor el 14 de septiembre de 2019.
Aclaración de cuestiones de responsabilidad
PSD2 define posibles problemas de responsabilidad entre el banco que administra la cuenta y el proveedor de servicios de pago externo.
Si no se ha iniciado una transacción no autorizada a través de un TPP, es el banco u otra parte que mantiene la cuenta quien debe reembolsar al consumidor.
Sin embargo, si el TPP es responsable de una transacción no autorizada, debe reembolsar al banco o a la parte que mantiene la cuenta de inmediato.
Protección del consumidor
PSD2 también trae un conjunto de medidas de protección al consumidor.
Cuando ocurre una transacción no autorizada, el consumidor debe recibir un reembolso de inmediato. Si el consumidor no estaba al tanto de una pérdida financiera que ocurrió debido a una violación de datos o datos de pago robados, no se considera responsable de la pérdida.
En caso de pérdida o robo de un instrumento de pago, el consumidor puede ser considerado responsable por la cantidad máxima de 50 €, siempre que haya informado al proveedor de servicios de pago del incidente y que no se haya comportado intencionalmente de manera fraudulenta o negligente.
Los consumidores tienen derecho a un reembolso incondicional de los adeudos domiciliados en euros dentro de las ocho semanas siguientes a la fecha de pago.
La prohibición de recargos
PSD2 prohíbe a los comerciantes cobrar tarifas adicionales por métodos de pago particulares, ya sea mediante tarjeta de débito o crédito, o transferencia directa.
La prohibición de recargos se impone cuando un consumidor inicia una transacción electrónica si tanto el emisor de la tarjeta o el banco del consumidor como el proveedor de servicios de pago del comerciante tienen su sede en el EEE.
Incluso si la prohibición de recargos no es aplicable y el comerciante cobra el recargo, el monto cobrado no debe superar el costo en el que incurre el comerciante por aceptar el método de pago en cuestión.
Requisitos de seguridad para pagos electrónicos
La flexibilidad y competitividad que aporta PSD2 al mercado europeo de pagos en línea conlleva requisitos de seguridad adicionales para evitar fraude y robo de datos.
La principal innovación de seguridad que trae PSD2 es la introducción de autenticación de cliente fuerte (SCA), que utiliza la verificación de pago de múltiples factores. La seguridad se garantiza mediante el uso de un autenticación de dos factores proceso, como requisito mínimo. Este proceso de autenticación se basa en los siguientes principios:
- Conocimiento del consumidor. El conocimiento del consumidor se refiere a una pieza de información que solo el titular de la tarjeta conoce, como una pregunta secreta, el PIN de la tarjeta o la contraseña.
- Datos biométricos del consumidor. Es posible que se solicite a los consumidores que proporcionen datos biométricos. Esto puede implicar verificar el pago con reconocimiento facial, con una huella dactilar o un escaneo de iris.
- Algo que le pertenece al consumidor. Ingresando un código de autenticación enviado al dispositivo móvil del consumidor o usando tokens de una sola vez son ejemplos del uso de artículos que posee un consumidor para garantizar la autenticación.
Estos elementos están destinados a ser independientes entre sí, de modo que una violación de un método de verificación no comprometa el uso de otros métodos de seguridad.
PSD2 enumera algunas excepciones a la aplicación de una autenticación de cliente sólida. Estos son:
- Transacciones con tarjeta ausente por debajo de 30 €. Si un consumidor hace una pago sin tarjeta presente de menos de 30 €, no se aplica la autenticación fuerte del cliente. Aún así, si el consumidor alcanza el límite de 100 €, realizando cuatro o más transacciones de 30 € seguidas, se aplica la autenticación.
- Pagos sin contacto por debajo de 50 €. Si un consumidor inicia un pago sin contacto de menos de 50 €, PSD2 no requiere una autenticación fuerte del cliente. Si el consumidor alcanza el límite de 150 €, realizando cuatro o más transacciones de 50 € seguidas, se aplica la SCA.
- Partes incluidas en la lista blanca. Un consumidor puede ponerse en contacto con el banco emisor de su tarjeta para incluir en la lista blanca a ciertos destinatarios a los que a menudo envía dinero y evitar una autenticación de cliente sólida para dichos pagos.
- Pagos de suscripción. Al pagar una suscripción, solo la solicitud de transacción inicial implica la autenticación de múltiples factores.
-
Propietarios de cuentas idénticos. En el caso de que la persona que inicia la transferencia bancaria sea también el titular de la cuenta receptora, no se requiere SCA.
Este uso de SCA entró en vigor el 14 de septiembre de 2019.
Implementación técnica de PSD2
PSD2 no es un conjunto de estándares técnicos sino un conjunto de regulaciones legales. Como tal, varias iniciativas han desarrollado especificaciones para implementar PSD2. Sin embargo, los bancos y los procesadores de pagos son libres de desarrollar sus propias soluciones siempre que cumplan con PSD2.
Los bancos y los procesadores de pagos tuvieron que cambiar sus procedimientos de pago para poner en práctica la regulación PSD2. Aquellos que aún no habían implementado SCA, necesitaban adaptar sus métodos de autenticación de pago mediante la introducción de códigos de autenticación por SMS y tokens de software. Además, los bancos y los procesadores de pagos han tenido que afinar sus sistemas y procedimientos tecnológicos para permitir exenciones de la fuerte autenticación de cliente impuesta.
Los comerciantes, por otro lado, deben tener en cuenta que si desean procesar pagos en el EEE, deben trabajar con un procesador de pagos que cumpla con PSD2.
Note: Como procesador de pagos global, CCBill es totalmente compatible con PSD2 y ha introducido nuevas funciones que inician una sólida autenticación del cliente. Los comerciantes que procesan pagos con CCBill pueden estar seguros de que sus transacciones europeas están aseguradas con SCA.
Independientemente de la implementación técnica de PSD2, el reglamento está diseñado para permitir que los consumidores autoricen a terceros a acceder a sus datos financieros y realizar pagos en su nombre de forma segura.
Conclusión
PSD2 es un marco que especifica los estándares y reglas para el manejo de pagos electrónicos en la Unión Europea.
Las definiciones, características y procedimientos explicados en esta guía ayudarán a los comerciantes y consumidores a comprender cómo la PSD2 mejora el mercado de pagos electrónicos y deja espacio para su mayor crecimiento.