Directiva sobre PSD2

Conoce la Directiva (UE) 2015/2366, de 25 de noviembre, sobre los servicios de pago en el mercado interior (PSD2) que entró en vigor en 2016 pero que se ha modificado en septiembre de 2019 para reforzar a los clientes.

Saber más

1. Introducción

"PSD2" es el acrónimo utilizado para denominar a la segunda Directiva (UE) 2015/2366, de 25 de noviembre, de servicios de pago. Esta directiva es la regulación europea que recoge el marco normativo que aplica a los pagos electrónicos en Europa y está transpuesta completamente en España.

La PSD2 ha hecho de la seguridad en los pagos electrónicos uno de sus ejes vertebradores. La norma prescribe la aplicación obligatoria de medidas y procedimientos de seguridad específicos en las operaciones de pago electrónicas, y en especial en las que tienen lugar a distancia. Estas medidas y procedimientos se articulan en torno al concepto de “autenticación reforzada del cliente” ("SCA", por sus siglas en inglés).

En lo relativo a la seguridad en las operaciones de pago, la PSD2 se centra especialmente en las transacciones de carácter remoto realizadas a través de Internet. Este énfasis es una consecuencia directa del notable incremento que dichas transacciones, especialmente las realizadas por dispositivos móviles, han experimentado en los últimos años, impulsadas por el auge del comercio electrónico.

El requisito de realizar autenticación reforzada del cliente cuando se inicia una transacción de pago electrónico, consiste en la obligación de los proveedores de servicios de pago (PSPs) que emiten instrumentos de pago de autenticar la identidad del ordenante basándose en el uso de dos elementos de seguridad independientes (factores de autenticación) cada vez que este realice un pago en un comercio físico o electrónico.

La obligación de realizar SCA cuando se inicia una transacción de pago electrónico comenzó a aplicarse en compras presenciales desde el 14 de septiembre de 2019. Para las compras online ha comenzado a aplicarse en octubre de 2020, y los factores de autenticación que se piden no son los mismos que para las compras presenciales.

Novedades fundamentales de la PSD2

2. Aspectos clave en los pagos con tarjeta en comercio electrónico

La aplicación de SCA en los pagos con tarjeta por Internet va a suponer un cambio en la forma en que los usuarios de servicios de pago van a realizan sus compras, pues los ordenantes ya no podrán realizar pagos online utilizando únicamente la información impresa de sus tarjetas (número de tarjeta, fecha de caducidad y código de seguridad). En su lugar, tendrán que, por ejemplo, verificar su identidad introduciendo durante el proceso de pago un código adicional que recibirán en su móvil o mediante la aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella dactilar para aprobar una transacción.

La autenticación reforzada del cliente en los pagos por Internet se basa en el uso combinado de dos de los siguientes tipos de factores de autenticación:

  • PIN

    Algo que solamente el ordenante conoce (CONOCIMIENTO); por ejemplo, su contraseña de acceso a la banca electrónica, o determinadas posiciones del Pin de su tarjeta.

  • Teléfono y tarjeta

    Algo que solamente el ordenante posee (POSESIÓN); por ejemplo, la App del banco vinculada a su Smartphone, o el móvil en el que recibe las contraseñas de un solo uso que le enviamos por SMS.

  • huella

    Algo que el ordenante es (INHERENCIA); por ejemplo, elementos biométricos como el reconocimiento facial o la huella dactilar.

De esta manera, el PSP emisor del instrumento de pago puede estar seguro de que el ordenante es quien dice ser.

Cada banco emisor ha decidido qué factores de autenticación va a pedirle a sus clientes, por lo que la experiencia de compra puede variar dependiendo de la tarjeta que se utilice.

En Ibercaja queremos que todos nuestros clientes puedan beneficiarse de esta nueva forma de comprar online, por eso vamos a pedir los factores de autenticación que resulten más cómodos y fáciles de usar ajustándonos a sus preferencias en cuanto al uso de la tecnología y a la forma en la que se relacionan con nosotros.

  • Los dos pasos para validar una compra online en Ibercaja son SMS + PIN de una de las tarjetas del cliente o también SMS + Clave de Firma de su Banca Digital Ibercaja.

No obstante lo anterior, existen una serie de exenciones y excepciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.

Por un lado, hay varios tipos de pagos que, por su propia naturaleza, la PSD2 los excluye del requisito de solicitar autenticación reforzada. Se trata, de pagos de productos o servicios cuando exista un acuerdo entre el comercio y el titular de la tarjeta permita al comercio realizar los cargos sin que el titular tenga que realizar una acción anterior que lo desencadene, se requiere SCA en la primera compra pero no en la siguientes (por ejemplo, pago de suscripciones, de suministros, o cargos extras en el alquiler de un coche o de una reserva hotelera), y los pagos con tarjetas prepago anónimas.

Además el requisito de SCA solo aplica cuando tanto el PSP del ordenante como el PSP del comercio están en la Unión Europea o en alguno de los países del Espacio Económico Europeo (EEE), por lo que los pagos con tarjetas emitidas fuera del EEE no están sometidos a SCA.

Por otro lado, legalmente se prevén una serie de situaciones en las cuales se permite que los PSPs emisores de instrumentos de pago no apliquen SCA por considerarse de menor riesgo. Estas situaciones son:

  • Pagos por un importe inferior a 30€, hasta un máximo de 5 operaciones o un importe acumulado de 100€.
  • Pagos recurrentes, por la misma cuantía y al mismo comercio, se requiere autenticación en la primera transacción. Las suscripciones iniciadas con anterioridad al 1 de enero de 2021 no tendrán que ser autenticadas.
  • Pagos a los comercios de confianza del titular indicados como tal a la entidad emisora.
  • Algunos pagos corporativos.
  • Pagos con bajo riesgo de fraude.
Derechos reforzados

Los nuevos requisitos de SCA, ligados a los supuestos de exenciones y excepciones a su aplicación, suponen un cambio en la forma en que la que se van a hacer las compras online, pero esto no significa que el proceso de compra vaya a ser más complicado o engorroso, simplemente habrá que acostumbrarse a hacerlo de otra manera, y dependiendo de la digitalización del propio comprador, este proceso puede ser incluso más sencillo y ágil que el actual.

Por último, hay que recordar que esta nueva forma de comprar online comenzará a aplicarse en los próximos meses de forma progresiva, hasta que se implemente definitivamente en enero de 2021, por lo que conviene estar preparados para que el cambio no coja desprevenido a nadie.