Tenía que cumplirse a partir de este sábado, pero la obligación de utilizar dos factores para probar la identidad del consumidor a la hora de hacer una compra en internet ha sido postergada a una fecha todavía por determinar por el Banco de España, tras el visto bueno de la Autoridad Bancaria Europea (EBA, por sus siglas en inglés), como adelantó Cinco Días el 5 de septiembre. De esta forma, se ofrecerá a los operadores más tiempo para adaptarse a una de las novedades más importantes de la compleja segunda directiva europea sobre servicios de pago, la llamada PSD2. Esta normativa, aprobada en 2015, entró en vigor en España en 2018 con una implementación gradual de su contenido y prevé cambios no solo en lo que respecta a la seguridad y la agilidad de los pagos online, sino también a la gestión de sus propios datos bancarios por parte de los usuarios, que, estos sí, empiezan a ser efectivos este 14 de septiembre, según las fuentes consultadas.
“Hoy, la regla general es que para pagar por internet nos pidan los datos de la tarjeta y, en algunos casos, un PIN y una clave, entre otros”, explica Luis Domínguez, profesor del área fintech y mobile internet en The Valley Digital Business School. Por el contrario, con la nueva regulación, para confirmar la identidad del usuario se requerirán imperativamente dos de estos tres factores: “Algo que sepas, como el PIN o las claves; algo que tienes, como el móvil o el smartwatch; o algo que eres, como una huella, el reconocimiento facial o a través del iris”, añade Domínguez. Esta será la nueva costumbre a partir del próximo año (banca y comercios están pidiendo al Banco de España una moratoria de seis meses), excepto en pagos de importes inferiores a 30 euros o los que se consideran de bajo riesgo por tener el banco un histórico que así lo avale.
La importancia del móvil
Por ello, el teléfono móvil se va a convertir en la llave de las compras en los comercios electrónicos. En palabras de Alberto López, director de pagos digitales de Mastercard Iberia, la biometría incorporada en los dispositivos móviles tendrá un papel central, puesto que, para comprar online “solo tendrás que tener instalada en el móvil la app de tu banco y el reconocimiento facial o la huella dactilar, en lugar de recibir un SMS con un código que memorizar y copiar en el PC junto con las coordenadas de la tarjeta, como ocurre ahora”, subraya López. El objetivo de la PSD2 es claro: disminuir el fraude en los procesos de compra por internet y hacerlos menos tediosos, al no necesitar tener a mano la tarjeta y no estar obligados a transcribir claves y códigos.
Pero la llamada autenticación reforzada no afecta solo a las transacciones en el e-commerce, sino también al acceso a los datos bancarios. Si antes estos solían estar protegidos por un único factor, es decir, la clave de acceso, con la nueva regulación “se intenta que la experiencia de la autenticación de doble factor sea siempre la misma, independientemente de que se esté comprando en internet o se esté accediendo a la cuenta bancaria”, subraya López. Una novedad que ya se aplica.
Acceso directo de terceros a nuestros datos
Otro cambio que percibiremos es que al pagar no saldremos de la web de la marca en la que confiamos para entrar en la del proveedor de pagos, “algo que causaba abandono ante la percepción de inseguridad”, señala Domínguez. “Es por esta razón que las marcas, siempre que navegamos en el móvil, nos sugieren descargar la aplicación”, explica este experto, “pues la experiencia en las apps es justo esa: se paga sin abandonar el entorno de confianza”.
Esto es posible porque la nueva normativa obliga a los bancos a dar acceso a terceras empresas a los datos bancarios de los usuarios, siempre tras la autorización de estos. “Ahora la terceras partes podrán acceder a la información de históricos bancarios y también operar directamente con los bancos a través de una API, es decir, un software que permite la comunicación directa y segura entre partes”, subraya el socio director del despacho de abogados Letslaw, José María Baños. De esta forma, se saltan todos los intermediarios entre el e-commerce y el banco del usuario con los que el primero tenía que contactar para completar el proceso de pago, como las compañías propietarias de tarjetas o los proveedores de pagos electrónicos.
Servicios personalizados
Una de las consecuencias de la aplicación de este apartado de la PSD2 es que terceras empresas pueden ofrecer a los usuarios servicios financieros personalizados. “La entrada de nuevos operadores en el mercado supondrá una reducción de los costes originados por el mantenimiento de la cuenta o transferencias, entre otros, puesto que los procesos podrán simplificarse, y el usuario podrá conocer de forma detallada toda su información financiera, teniendo un control total de sus finanzas”, apunta Baños.
Bien es verdad que los bancos también ofrecen estos servicios, pero, en opinión de este experto, “la sencillez y agilidad que ofrecen estos terceros están suponiendo una importante competencia en el sector”. De todas formas, el control del usuario será “completo”, según Baños, ya que podrá rescindir sus contratos con estas terceras partes sin previo aviso y podrá anular cualquier operación no autorizada. Al opuesto de lo que ocurre ahora, será la tercera parte quien tendrá que demostrar que tenía la autorización del usuario, y no al revés. Además, “la responsabilidad del usuario en los pagos no autorizados o cuando haya un robo de tarjeta pasa de los 150 euros actuales a 50 euros”, añade Baños, y “cualquier queja a un proveedor de servicios de pago deberá ser respondida por escrito en un plazo máximo de 15 días”, agrega Domínguez.
“La regulación prohíbe también cobrar a los clientes por el uso de medios de pago que el comercio electrónico acepte, es decir, ya no se pueden aplicar recargos si, por ejemplo, se paga con una tarjeta de American Express o vía PayPal”, señala Domínguez. “No obstante, se permite promocionar el uso de unos medios frente a otros ofreciendo descuentos o ventajas”, concluye.
Un entorno privilegiado
“Quizá no somos conscientes de que en España tenemos un ecosistema privilegiado: una penetración de la telefonía por encima del 100% (sí, algunos tenemos dos móviles), un acceso tanto de banda ancha como de móvil de alta calidad a tarifas abordables, más de 80 millones de tarjetas de crédito y débito en circulación y algunos de los bancos tradicionales más avanzados del mundo”, constata Luis Domínguez, profesor del área fintech y mobile internet en The Valley Digital Business School. ¿La consecuencia de todo ello? “Que el comercio electrónico en España crece cada año cerca del 30%”, contesta.
En este marco, para este experto la PSD2 es una respuesta a la necesidad de mayor seguridad y privacidad y de reducción de costes para los pagos online. El socio director del despacho de abogados Letslaw, José María Baños, opina que la mejor palabra que define esta directiva es “adaptación, dado que el usuario ya venía abrazando las comodidades de empresas ajenas al sector bancario tradicional y necesitaba que se normalizase su uso”.
“Estoy convencido de que, dentro de cinco años o más, tendremos que reformular la normativa, porque la tecnología evoluciona tan rápido que habrá que adaptarse”, apunta el director de pagos digitales de Mastercard Iberia, Alberto López. De hecho, una primera revisión sobre el funcionamiento de la PSD2 ya está prevista para el 13 de enero de 2021.