En 2007 la Unión Europea aprobó la Directiva 2007/64/CE conocida como Payment Service Directive (PSD) que reguló el sistema de pagos electrónicos en la zona euro. Sin embargo, la norma quedó obsoleta por la aparición de nuevos tipos de servicios de pago electrónico, que actúan de puente entre el sitio web en el que se compra y la plataforma bancaria. Por ello, en 2013 la Comisión Europea propuso su revisión lo que dio lugar a la Directiva (UE) 2015/2366 denominada PSD2, que entra en vigor el próximo sábado 14 de septiembre.

El objetivo de esta norma europea es aumentar la seguridad en las transacciones electrónicas mediante el sistema de doble autenticación, tanto para los pagos en comercio físico como vía online, así como la eliminación de intermediarios y unos férreos requisitos de transparencia.

Transparencia

Uno de los puntos en los que más insiste esta Directiva es la información bidireccional que debe existir entre las dos partes implicadas en una transacción. De esta forma, cuando el consumidor realice una compra, el proveedor de los servicios de pago, sin demoras injustificadas, debe ofrecerle una referencia clara que permita identificar:

– Cada operación y el beneficiario de la misma.

– El importe de la operación, así como el importe de los gastos adicionales desglosados.

– El tipo de cambio utilizado en casos de conversión de moneda.

– Fecha de valor del adeudo o de recepción de la orden de pago.

Eliminación de intermediarios

La norma europea plantea además la eliminación de los intermediarios, vinculando el acceso de terceros como Amazon (denominados TPPs o Third Party Payment Service Providers) a los datos de la cuenta bancaria, con el consentimiento del comprador. Este cambio supone la implantación del open banking, de forma que las entidades financieras deben abrir su sistema a terceros.
De este modo, la operación se simplifica y el consumidor podrá simplemente autorizar al comercio para que efectúe los pagos a través de su cuenta bancaria. No obstante, los TPPs deberán cumplir con las reglas de seguridad habituales para los proveedores mediante el registro, autorización y supervisión de las autoridades competentes.

Doble autenticación

Con el objetivo de crear medios de pago seguros y evitar las operaciones fraudulentas la Directiva crea la Autenticación Reforzada del Cliente (Strong Customer Authentication o SCA en su denominación original en inglés) basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), a la hora de realizar una transacción. Estas tres condiciones son independientes, por lo que la vulneración de una de ellas no compromete la fiabilidad de las demás.
Por lo tanto, cualquier operación de comercio electrónico requerirá el cumplimiento de mínimo dos de los tres elementos siguientes, que debe realizarse de manera que se proteja la confidencialidad de los datos de autenticación proporcionados:

– Elemento que solo conoce el usuario: contraseñas, PIN, preguntas secretas, etc.

– Elemento que posee el usuario: móvil, ordenador, tarjeta inteligente, token, etc.

– Elemento inherente al usuario: huella dactilar, reconocimiento facial, por voz u ocular, ADN, etc.

En este aspecto, los Estados miembros deben velar por que los proveedores de servicios de pago apliquen la autenticación reforzada en aquellos casos en los que el cliente acceda a su cuenta, pudiendo incluso obligar al proveedor a indemnizar si no se ofrece este servicio.

En el caso de operaciones de pago individuales de escasa cuantía, no superiores a 30 euros con un límite de gasto de 150 euros, o que permitan almacenar fondos que no exceden en ningún momento la cantidad de 150 euros, los proveedores de servicios de pago podrán acordar con los usuarios que no se apliquen todas o alguna de las obligaciones enumeradas en el artículo 63.1 de la Directiva, como por ejemplo que no corresponda al proveedor de servicios de pago demostrar que la operación de pago fue autenticada cuando el usuario la niegue.

Nuevos proveedores de servicios

La norma europea introduce además dos nuevas figuras que participan en el comercio electrónico: los Proveedores de Servicios de Iniciación de Pagos (PISP por sus siglas en inglés) y los Proveedores de Servicios de Información de Cuenta (AISP por sus siglas en inglés). Los primeros son aquellas plataformas que conectan con el banco para realizar el cobro, incluso sin la necesidad de la tarjeta de crédito, certificando que aceptas la operación. El ejemplo más representativo es Paypal.

Por su parte, los AISP son los que agrupan la información financiera de un cliente, para que desde una sola plataforma gestione todos sus gastos.

 

Fuente: Noticias Jurídicas