Directiva sobre PSD2

Conoce la Directiva (UE) 2015/2366, de 25 de noviembre, sobre los servicios de pago en el mercado interior (PSD2) que entró en vigor en 2016 pero que se ha modificado en septiembre de 2019 para reforzar a los clientes.

Saber más

1. Introducción

"PSD2" es el acrónimo utilizado para denominar a la segunda Directiva (UE) 2015/2366, de 25 de noviembre, de servicios de pago. Esta directiva es la regulación europea que recoge el marco normativo que aplica a los pagos electrónicos en Europa. La PSD2 regula la ejecución de pagos electrónicos en todos los países de la Unión Europea, así como los derechos y obligaciones de los usuarios de servicios de pago frente a sus "proveedores de servicios de pago" (bancos, entidades de dinero electrónico, etc) así como las relaciones entre dichos proveedores.

Además, esta directiva trata de adaptar la normativa a los cambios experimentados en el panorama de los pagos y regular la aparición de nuevos servicios de pagos electrónicos. En este sentido, los tres objetivos principales de la PSD2 son:

  • Aumentar la protección de los consumidores y la transparencia.
  • Promover la competencia y la innovación
  • Aumentar la seguridad de los pagos electrónicos.

La PSD2 entró en vigor en enero de 2016 y resulta de aplicación desde enero de 2018. Sin embargo, algunas de sus disposiciones, como las relativas a la autenticación reforzada de clientes, entraron en vigor el 14 de septiembre de 2019.

2. Aspectos clave de la PSD2

1. Requisitos de seguridad más estrictos en los pagos electrónicos (autenticación reforzada del cliente).

La PSD2 ha hecho de la seguridad en los pagos electrónicos uno de sus ejes vertebradores. La norma prescribe la aplicación obligatoria de medidas y procedimientos de seguridad específicos en las operaciones de pago electrónicas, y en especial, en las que tienen lugar a distancia. Estas medidas y procedimientos se articulan en torno al concepto de “autenticación reforzada del cliente” ("SCA", por sus siglas en inglés). En lo relativo a la seguridad en las operaciones de pago, la PSD2 se centra especialmente en las transacciones de carácter remoto realizadas a través de Internet. Este énfasis es una consecuencia directa del notable incremento que dichas transacciones, especialmente las realizadas por dispositivos móviles, han experimentado en los últimos años, impulsadas por el auge del comercio electrónico. El requisito de realizar autenticación reforzada del cliente cuando se inicia una transacción de pago electrónico, consiste en la obligación de los proveedores de servicios de pago (PSPs) que emiten instrumentos de pago, de autenticar la identidad del ordenante, basándose en el uso de dos elementos de seguridad independientes (factores de autenticación) cada vez que éste realice un pago en un comercio físico o electrónico.

La autenticación reforzada del cliente se basa en el uso combinado de dos de los siguientes tipos de factores de autenticación:

  • PIN

    Algo que solamente el ordenante conoce (CONOCIMIENTO); por ejemplo, el PIN de su tarjeta.

  • Teléfono y tarjeta

    Algo que solamente el ordenante posee (POSESIÓN); por ejemplo, una tarjeta, un teléfono móvil.

  • huella

    Algo que el ordenante es (INHERENCIA); por ejemplo, un rasgo biométrico como la huella digital, el iris.

De esta manera, el PSP emisor del instrumento de pago puede estar seguro de que el ordenante es quien dice ser.

No obstante lo anterior, existen una serie de exenciones y excepciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin reducir la seguridad del pago.

Por un lado, hay varios tipos de pagos que, por su propia naturaleza, la PSD2 los excluye del requisito de solicitar autenticación reforzada. Se trata de: pagos iniciados por correo postal o por teléfono; pagos de productos o servicios cuando exista un acuerdo entre el comercio y el titular que permita al comercio realizar los cargos sin que el titular tenga que realizar una acción anterior que lo desencadene (por ejemplo, pago de suscripciones, de suministros etc.), y los pagos con tarjetas prepago anónimas.

Además, el requisito de SCA solo aplica cuando tanto el PSP del ordenante, como el PSP del comercio están en el Espacio Económico Europeo (EEE) por lo que los pagos con tarjetas emitidas fuera del EEE no están sometidos a SCA.

Por otro lado, se prevén una serie de situaciones en las cuales se permite que los PSPs emisores de instrumentos de pago no apliquen SCA, por considerarse de menor riesgo. Estas situaciones son:

  • Pagos presenciales con tarjeta contactless por un importe inferior a 20€, hasta un máximo de 5 operaciones o un importe acumulado de 150€.
  • Pagos en internet por un importe inferior a 30€, hasta un máximo de 5 operaciones o un importe acumulado de 100€.
  • Pagos recurrentes, por la misma cuantía y al mismo comercio.
  • Pagos en terminales no atendidos de autopistas, peajes y parkings.
  • Pagos a los comercios de confianza del titular, indicados como tales a la entidad Emisora.
  • Algunos pagos corporativos.
  • Pagos en comercio electrónico con bajo riesgo de fraude.

Los nuevos requisitos de SCA, ligados a los supuestos de exenciones y excepciones a su aplicación, suponen un cambio en la forma en que los usuarios de servicios de pago van a realizan sus compras.

Así, en los pagos presenciales con tarjeta física, el uso de tarjetas EMV chip y la introducción del PIN, será suficiente para cumplir los requisitos de autenticación reforzada, al existir un factor de posesión (la tarjeta EMV) y un factor de conocimiento (el PIN), pero es posible que el usuario de servicios de pago note que se le solicita el PIN con mayor frecuencia, incluso en pagos de bajo importe, ya que a partir de ahora, además del importe de la operación, se tendrá en cuenta para solicitar o no el PIN, el número de pagos que se realicen con un mismo instrumento de pago, o la suma de sus importes hasta un límite.

En los pagos por Internet, el cambio en la forma de pago se notará un poco más, pues los ordenantes ya no podrán realizar pagos online introduciendo únicamente la información impresa de sus tarjetas (número de tarjeta, fecha de caducidad y código de seguridad). En su lugar, tendrán que, por ejemplo, verificar su identidad introduciendo durante el proceso de pago un código adicional que recibirán en su móvil o mediante la aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella dactilar para aprobar una transacción, o con el mismo PIN de la tarjeta utilizado en la operativa presencial.

No obstante lo anterior, cabe destacar, que si bien la autenticación reforzada de clientes entró en vigor el 14 de septiembre de 2019, existe una moratoria para la aplicación de SCA en los pagos por internet, por lo que de momento en este tipo de operaciones los usuarios de servicios de pago no notarán cambios.

Novedades fundamentales de la PSD2

2. Nuevos servicios de pago basados en el acceso a las cuentas por terceros.

Otra de las novedades fundamentales de la PSD2, es la obligación para los bancos de permitir el acceso a las cuentas de sus clientes a terceros proveedores de servicios de pago para que estos puedan prestar determinados servicios de pago. Los servicios basados en el acceso a las cuentas bancarias por terceros, se conocen como servicios de "Open Banking". El objetivo de esta nueva obligación es, según la PSD2, fomentar la competencia y la innovación. Así, la PSD2 obliga fundamentalmente a los bancos, a conceder a terceros ("Proveedores de Servicios de Pago Terceros" o "TPP") acceso a las cuentas de sus clientes, para que puedan prestar dos tipos de servicios: iniciación de pagos e información sobre cuentas.

- Servicios de iniciación de pagos:

La PSD2 define el servicio de iniciación de pagos como aquel "servicio que permite iniciar una orden de pago, a petición del usuario del servicio de pago, respecto de una cuenta de pago abierta con otro proveedor de servicios de pago".

En la práctica, se trata de un servicio que permite pagar en internet utilizando los datos de la cuenta bancaria, en lugar de la tarjeta de pago. En general, cuando el usuario (consumidor) utiliza estos servicios, comparte con el tercero las cuentas de su banca a distancia, para que el tercero inicie en su nombre una orden de pago (una orden de transferencia) por el importe de la compra que se trate y dirigida a la cuenta del comercio en internet.

La PSD2 garantiza el derecho de los usuarios a recurrir a estos servicios y el derecho del TPP a que el banco le informe de que el pago se ha iniciado correctamente.

- Servicios de información sobre cuentas:

El servicio de información sobre cuentas se definen en la PSD2 como aquel "servicio en línea cuya finalidad consiste en facilitar información agregada sobre una o varias cuentas de pago de las que es titular el usuario del servicio de pago bien en otro proveedor de servicios de pago, bien en varios proveedores de servicios de pago".

En este caso, se trata de un servicio en el que el TPP muestra de forma agregada, a través de una web, o una aplicación en el móvil, información de varias cuentas de la misma o distintas entidades. Así, el usuario puede ver de forma consolidada sus operaciones de pago y el balance de sus distintas cuentas bancarias.

Es importante destacar que la PSD2 se limita a regular el acceso de estos TPPs terceros a las "cuentas de pago", que la PSD2 define como "una cuenta a nombre de uno o varios usuarios de servicios de pago y utilizada para la ejecución de operaciones de pago".

Por lo tanto, quedan fuera de las obligaciones de acceso a las cuentas de la PSD2 otros productos financieros, que no entran en la definición de cuentas de pago. Estos productos pueden ser, por ejemplo, las hipotecas, los depósitos, las carteras de inversión o los seguros y, en general, cualquier cuenta que no permita realizar o recibir pagos directamente.

3. Se refuerzan los derechos de los consumidores.

La PSD2 incluye una serie de disposiciones que otorgan una mayor protección a los consumidores. En este sentido, la PSD2 aumenta los requisitos de información precontractual que los proveedores de servicios de pago deben proporcionar a los usuarios finales, especialmente en relación con las comisiones aplicables.

Derechos reforzados

Además, la PSD2 también impide que los comercios minoristas europeos pidan a los consumidores europeos gastos adicionales en función del medio de pago utilizado en la transacción (el llamado "recargo", que en España ya estaba prohibido para las tarjetas de los consumidores) o que los comercios minoristas cobren cantidades a las que el cliente no ha dado su consentimiento específico.

Asimismo, la PSD2 reduce la responsabilidad del usuario en pagos no autorizados. Salvo en caso de fraude o negligencia grave, el importe máximo que un usuario de servicios de pago podría verse obligado a desembolsar de realizarse una operación de pago no autorizada desciende de 150 a 50€.

Por último, se prohíben los métodos de fijación de precios no transparentes y se prevé la creación de una figura competente a nivel nacional para manejar las quejas de los servicios de pago de particulares y de las asociaciones de consumidores.