Lo que necesita saber sobre la normativa PSD2 y su cumplimiento

En el mercado de pagos electrónicos, las instituciones financieras y los proveedores de servicios de pago tienen mucho en común. En particular, ambas partes ahora permiten una nueva serie de transacciones en línea y, a su vez, están sujetas a normativas estrictas. Esto es especialmente cierto en Europa, donde la Directiva de servicios de pago de la región está elevando los estándares de autenticación robusta, banca abierta y cumplimiento.

Siga leyendo para comprender los aspectos básicos del cumplimiento de la PSD2, por qué es importante y qué puede hacer hoy para preparar su organización para el futuro.

La PSD2 es la segunda iteración de la Directiva de servicios de pago. Aunque se aplica específicamente a la Unión Europea (UE), en general, se considera una normativa de servicios de pago histórica que puede cambiar la forma de operar de bancos, procesadores de pagos y empresas afines en todo el mundo.

En 2007, la Comisión Europea promulgó la Directiva de servicios de pago original por dos motivos principales:

1. Para crear un mercado europeo de pagos más integrado, competitivo y eficaz
2. Para favorecer la seguridad de los pagos en la era digital

En otras palabras, el objetivo de la PSD1 era igualar las condiciones para todos los agentes financieros al instar a las instituciones poco tradicionales a participar. Permitió a nuevas empresas, como compañías de tecnología financiera y proveedores de servicios de pago externos, entrar en el mercado con más facilidad. También unificó las instituciones financieras bajo un marco regulador único, estableciendo normas comunes para todas.

La PSD1 también proporcionó al público más transparencia e información en torno a las tarifas, las responsabilidades y sus derechos como consumidores. Al facilitar la entrada al mercado de nuevos proveedores de servicios de pago, la normativa dio más libertad de elección a los consumidores.

No obstante, con el paso del tiempo, la Unión Europea reconoció la necesidad de actualizar y revisar la PSD1. En 2013, en vista de los cambios tecnológicos y las crecientes preocupaciones en materia de seguridad, la UE decidió formalmente hacerlo. Tres años después, los Estados miembros de la UE votaron a favor de aprobar la PSD2, cuya entrada en vigor estaba prevista para 2018. Sin embargo, algunos elementos de la normativa PSD2 actualizada se introdujeron de manera gradual, para que las instituciones financieras pudieran adaptarse.

El principal objetivo de la PSD2, una vez más, era fomentar la innovación, la competencia y la seguridad en toda la industria de servicios de pago de Europa.

¿Quiénes deben cumplir la PSD2?

La PSD2 tiene por objeto proteger a los consumidores en todos los Estados miembros de la UE. Como tal, se enfoca principalmente en las instituciones financieras de la UE, incluidos los procesadores de pagos, los bancos, los corredores de bolsa y las empresas de tecnología financiera, entre otros.

Sin embargo, las organizaciones con sede fuera de Europa también pueden estar sujetas a los requisitos de conformidad de la PSD2 si tienen clientes o usuarios en la región. En este caso, las empresas deben cumplir la normativa PSD2 si actualmente operan o tienen previsto operar en la UE.

Las instituciones que no cumplan los requisitos de la PSD2 pueden recibir sanciones económicas de hasta el 4 % de sus rendimientos anuales.

Antes de cumplir los requisitos de la PSD2, primero debe entender cómo esta directiva afectó la banca en toda la Unión Europea, en particular, mediante la introducción de la “banca abierta”.

¿Qué es la banca abierta?

La banca abierta es el proceso por el que un proveedor externo de servicios financieros obtiene acceso abierto a la banca de consumo, las transacciones y otros datos de bancos y otras instituciones financieras a través de interfaces de programación de aplicaciones (API). En pocas palabras, es el intercambio seguro de información financiera entre dos partes. Aunque este concepto existe desde hace mucho tiempo, la PSD2 fue pionera en su adopción en toda Europa.

La introducción de la banca abierta ayudó a cumplir el objetivo de la PSD2: aumentar la competencia, la transparencia y la seguridad en el mercado. A su vez, introdujo dos nuevos tipos de proveedores de servicios de pago regulados:

1. Los Proveedores de servicio de inicio de pago (PISP) permiten el uso de la banca digital para realizar un pago en línea. En resumen, le permiten pagar directamente desde su cuenta bancaria en lugar de utilizar una tarjeta de crédito o débito de terceros. “Inicio de pago” hace referencia al proceso que utilizan los PISP para conectar dos cuentas a través de una interfaz que facilita la transacción.
2. Los Proveedores de servicios de información de cuentas (AISP) facilitan la recopilación y el almacenamiento de la información de las cuentas bancarias de un cliente en un único lugar. Esto le permite al consumidor tener una visión global de sus finanzas y analizar los gastos con facilidad. Por ejemplo, las aplicaciones de presupuestos y los sitios web de comparación de precios pueden entrar en la categoría de Proveedores de servicios de información de cuentas, ya que alojan estos datos en un solo panel.

Según la normativa PSD2, estas dos partes deben solicitar el consentimiento del consumidor y están reguladas por el banco central.

¿Cómo afecta la PSD2 a las entidades financieras tradicionales?

Ahora, los bancos deben abrir acceso a las cuentas de sus clientes a proveedores externos (TPP) (AISP y PISP) siempre que el cliente haya dado su autorización. A su vez, el principal requisito tecnológico para cumplir la PSD2 es crear API abiertas, que el TPP necesita para acceder a la información de las cuentas.

Además, los consumidores tienen más opciones de servicios de pago. Ahora pueden elegir la mejor opción para sus necesidades, lo que significa que los bancos tendrán que competir más por su negocio.

¿Qué es la autenticación segura del consumidor?

La Directiva de servicios de pago revisada también presenta el concepto de Autenticación fuerte de cliente (SCA). De acuerdo con el requisito de la SCA, los consumidores deben utilizar al menos dos tipos de autenticación de factores múltiples (MFA) en todos los pagos. Estos métodos se organizan en tres categorías:

1. Conocimiento: Algo que el cliente ya conoce, como una contraseña.
2. Inherencia: Algo que forma parte del usuario, como su huella dactilar o el reconocimiento facial.
3. Posesión: Algo que tiene o puede enviar, como un código único.

El requisito de la SCA tiene por objeto aumentar la protección de los consumidores. Gracias a protecciones adicionales para el usuario y la información financiera confidencial, la autenticación fuerte dificulta la actividad de los criminales.

Con el objetivo de actualizar una vez más la Directiva de servicios de pago y mejorarla de forma constante, la Comisión Europea decidió reevaluar la normativa en 2022. En esta evaluación, se concluyó que la PSD2 tuvo un éxito limitado en el cumplimiento de sus objetivos. Aunque la introducción de la Autenticación fuerte de cliente tuvo un impacto significativo en la reducción del fraude, surgieron nuevos desafíos.

Para mayor especificidad, este es el lenguaje exacto comunicado por la Comisión Europea:

“Surgieron nuevos tipos de fraude que no contempla la PSD2. Por ejemplo, la PSD3 será más amplia que la PSD2 y abordará nuevos tipos de fraude como el ‘spoofing’ (suplantación de identidad), que dificulta la distinción entre transacciones autorizadas y no autorizadas, ya que el consentimiento del cliente para autorizar una transacción está sujeto a técnicas de manipulación empleadas por el estafador, quien, por ejemplo, utiliza el número de teléfono o la dirección de correo electrónico del banco. Los mecanismos de prevención, como la SCA, han sido insuficientes hasta el momento para evitar estos fraudes”.

Aparte de las cuestiones relacionadas con la seguridad, la Comisión también constató que sigue habiendo desigualdad de condiciones entre los proveedores de servicios de pago. Por lo tanto, con el asesoramiento de la Autoridad Bancaria Europea, la Comisión decidió proponer modificaciones que facilitarán lo siguiente:

• Reforzar las estrategias de prevención de fraude
• Permitir a los proveedores de servicios de pago no bancarios acceder a todos los sistemas de pago de la UE
• Mejorar la funcionalidad de la banca abierta
• Seguir optimizando la información y los derechos de los consumidores
• Aumentar la disponibilidad de dinero en efectivo
• Fusionar los marcos jurídicos aplicables al dinero electrónico y los servicios de pago

Todavía no hay un plazo definido para la implementación de los requisitos de conformidad de la PSD3. Sin embargo, si suponemos que la normativa revisada estará terminada para fines de 2024, los Estados miembros de la UE tendrán un período de transición de 18 meses. Esto quiere decir que la PSD3 podría entrar en vigor a fines de 2026.

Independientemente de los cambios, el cumplimiento de la PSD sigue siendo innegociable para las instituciones financieras y los proveedores de servicios de pago. Por eso, es importante tomar las medidas necesarias para preparar su empresa para el futuro y anticiparse a la PSD3, sobre todo en lo que respecta a la seguridad.

¿Las buenas noticias? Hay muchas soluciones disponibles para superar los requisitos de SCA y ofrecer a los consumidores el mayor nivel de fiabilidad posible. Por ejemplo, con un socio como Entrust, puede aprovechar las siguientes capacidades:

1. MFA resistente al phishing: Implemente una sólida gama de estrategias de autenticación, incluidas la autenticación basada en el riesgo, la autenticación basada en certificados y la autenticación reforzada adaptativa. Con el inicio de sesión único (SSO), los usuarios obtienen un acceso fluido y seguro a los servicios de pago sin perder un segundo. Además, el SSO evita la fatiga y la reutilización de contraseñas para garantizar su seguridad (y la de sus consumidores).
2. Certificados digitales: Los certificados cualificados de autenticación de sitios web (QWAC) cifran los datos confidenciales e identifican a proveedores de servicios de pago e instituciones financieras de conformidad con la Directiva de servicios de pago (PSD2). Los QWAC de Entrust ofrecen reemisiones y licencias de servidor ilimitadas, lo que le permite volver a emitir certificados e instalarlos sin costo adicional.
3. Análisis de riesgos relacionados con las transacciones: El monitoreo de transacciones y el análisis de riesgos tienen en cuenta la reputación del dispositivo, la autenticación adaptativa y el cumplimiento de la directiva 3DS para las transacciones sin tarjeta.
4. Acreditación de identidad: Verifique identidades en un instante para mejorar la experiencia del cliente y reducir las tasas de abandono. La solución de acreditación de identidad de Entrust admite diversos documentos emitidos por el gobierno y múltiples capas de seguridad reforzada.
5. Módulos de seguridad de hardware (HSM): Los HSM Entrust nShield® generan y almacenan claves de firma y cifrado, y facilitan las operaciones criptográficas desde un dispositivo certificado y seguro de modo que pueda emitir certificados y cifrar datos al contar con la seguridad de una sólida raíz de confianza.

La normativa PSD2 es de vital importancia y difícil de implementar. Sin embargo, con la gama de soluciones PSD2 y de banca abierta de Entrust, puede facilitar el cumplimiento y satisfacer sus requisitos a escala.

Podemos ayudarle a ofrecer a sus clientes una fiabilidad completa, desde MFA y acreditación de identidad hasta certificados digitales y HSM.