Con fecha 25 de noviembre de 2015 el Parlamento Europeo publicó la Directiva 2015/2366 sobre Servicios de Pago, conocida como PSD2 o Segunda Directiva de Pagos. Los estados miembros de la UE debían trasponer esta regulación a la legislación nacional en enero de 2018, pero este trámite fue pospuesto a la espera de que el Parlamento Europeo aprobase las Normas Técnicas, conocidas como RTS, aspecto complementario y crítico para la implantación de esta normativa. Dado que el Parlamento Europeo aprobó y publicó el Reglamento que regula estas últimas el pasado 13 de marzo, concediendo un plazo de 18 meses para su implantación, se concluye como fecha límite para ello el 14 de septiembre de 2019, si bien algunos aspectos importantes y de los que luego hablaremos han de estar implantados con al menos seis meses de antelación.
Podemos concluir que, en este momento, y a falta de trasponer las normas comunitarias al ordenamiento jurídico español, y bajo el supuesto de que no habrá modificaciones de calado en ello, el marco normativo para que los actores comiencen a trabajar está dado.
Alcance de la PSD2
La Directiva PSD2 persigue abrir el mercado de los Servicios de Pago [i] a las denominadas Entidades de Pago, nuevos proveedores a sumar a los tradicionales Bancos Comerciales[ii]. Así, una mayor competencia derivará en un mercado más dinámico, transparente y eficiente para los usuarios de estos servicios, principalmente consumidores y empresas.
Si a esto unimos el importante crecimiento del comercio electrónico y la necesidad de fortalecer la seguridad de los pagos por Internet, tendremos una visión global del alcance de esta normativa.
La directiva regula las condiciones que deben cumplir estas Entidades (en cuanto a capital, recursos propios, estructura organizativa, plan de contingencias, etc.), en función de lo servicios que presten, así como la preceptiva autorización administrativa para poder actuar con las garantías legales suficientes.
En su Anexo I, la PSD2 detalla la lista de servicios que las Entidades de Pago pueden realizar y que van desde la apertura de cuentas de pago necesarias para ejecutar los servicios de pago (similares a las conocidas cuentas corrientes bancarias pero con una operatividad y funcionamiento más limitados) hasta la posibilidad de su financiación.
Nuevos Servicios de Pago
Como novedad, introduce la prestación de dos servicios que, por sus implicaciones de negocio y tecnológicas, son los que más atención están generando:
- Servicios de Iniciación de Pagos
- Servicio de Información sobre Cuentas
¿En qué consiste cada uno de estos servicios?
- Recogiendo la definición literal, el Servicio de Iniciación de Pagos “permite iniciar una orden de pago, a petición del usuario del servicio de pago, respecto de una cuenta abierta con otro proveedor de servicios de pago”. Así, este servicio abre la puerta a la posibilidad de, entre otras, pagar las compras por internet sin necesidad de disponer de una tarjeta de crédito, realizando el pago a través de una transferencia de fondos desde la cuenta corriente del usuario ordenante a la del comercio, sin que ambas tengas que pertenecer al mismo banco necesariamente.
- El Servicio de Información sobre Cuentas, también conocido como Servicio de Agregación Bancaria, se define como “un servicio en línea cuya finalidad consiste en facilitar información agregada sobre una o varias cuentas de pago de las que es titular el usuario de servicios de pago, bien en otro proveedor del servicio de pago bien en varios proveedores de servicios de pago”. Es decir, este servicio permite al usuario tener una visión agregada de su liquidez y, por tanto, planificar sus operaciones de pago de una forma más eficiente y/o segura que en la actualidad. Es un servicio de utilidad para los consumidores pero mucho más para las empresas.
La comunicación entre los usuarios de los servicios citados y sus cuentas bancarias se realiza, desde el punto de vista operativo a través de un tercero autorizado, lo que en la literatura sobre este tema se conoce como “Third Party Provider” (en adelante TPP), que intermedia la información entre el banco y el usuario.
Se requieren, por tanto, dos condiciones necesarias para la prestación de estos servicios:
- Que se pueda acceder en línea a las cuentas del usuario.
- Que los bancos “abran su información” y la cedan a los TPPs para que estos, previa contratación y autorización del usuario, puedan prestar sus servicios. Esta obligación para los bancos de ceder algunos los datos de los clientes y sus cuentas a terceros, “open banking”, es uno de los aspectos más novedosos de la directiva y se enmarca en el principio de que la propiedad de los datos es del cliente y, por tanto, es soberano para cederlos según su conveniencia. Los bancos establecidos también asumen el rol de TPP, por tanto, dependerá de su estrategia digital considerar la obligación de la cesión de los datos como una amenaza o una oportunidad para ofrecer servicios novedosos a sus clientes.
Y una obligación principal para el TPP es que el uso que puede hacer de esta información está limitada al ámbito de los servicios contratados por el usuario, quedando prohibido el uso inadecuado o espurio de los mismos.
Implicaciones tecnológicas
Dado que hablamos de una prestación de servicios en línea, el modelo de comunicación lógico debe garantizar unos altos estándares de seguridad que se articulan alrededor de tres conceptos:
- Autenticación Reforzada del usuario.
- Medidas para proteger la confidencialidad de las credenciales de seguridad.
- Una comunicación segura entre las partes.
De manera resumida, y en base a los RTS recientemente publicados, la Autenticación Reforzada del usuario va a exigir implementar al menos dos de las tres condiciones: conocimiento -algo solo conocido por el usuario- , posesión -algo solo en posesión del usuario- e inherencia -alguna característica propia del usuario-. A lo que habrá que unir medidas que vinculen la autenticación reforzada con los datos específicos de cada operación, lo que la norma señala como Vinculación Dinámica.
En lo referente a las medidas para proteger la confidencialidad de las credenciales, las normas exigen que sean creadas en entornos seguros evitando los riesgos de extravío o robo, y que haya una asociación segura entre el usuario del servicio y las credenciales otorgadas.
Y, por último, la comunicación segura se materializa en la obligación de utilizar interfaces seguras. Aunque la legislación no precisa el modelo y lo deja a la libertad de cada banco, hay un consenso generalizado en utilizar un API por ser la interfaz más segura. Diversas iniciativas sectoriales, entre las que destacan Open Banking en el Reino Unido, Berlin Group, o, en España, el BBVA Api Market se han inclinado por esta opción y tienen ya publicadas versiones de su API PSD2. En este sentido, el Reglamento de las RTS contempla la obligación de las entidades financieras de hacer públicas sus interfaces y entornos de pruebas antes del 14 de marzo de 2019, de manera que los desarrolladores dispongan de al menos 6 meses para desarrollar los nuevos servicios.
Algunas conclusiones
Sin ánimo de ser exhaustivos, podríamos concluir que PSD2 ofrece oportunidades a todos los actores:
- Para los clientes de los servicios de pago, tanto particulares como empresas, se abre un escenario presidido por un mayor número de proveedores y servicios que, resueltos en un entorno tecnológico más seguro que el actual, deberá redundar en un incremento de la oferta y calidad de servicios y una disminución del precio de los mismos.
- Para las entidades financieras, la oportunidad de establecer estrategias de colaboración con los TPPs autorizados ampliando la gama de servicios bancarios, lo que les da una oportunidad de monetizarlos.
- Para Fintech y proveedores de servicios tecnológicos, el reto de desarrollar e implantar servicios de calidad que ofrezcan soluciones eficientes al elevado número de clientes de los servicios de pago.
Xeridia trabaja en el desarrollo de soluciones que permiten abordar estos cambios desde los principales puntos de vista: negocio, regulación y tecnológico. Ponte en contacto con nosotros para conocer nuestros servicios y cómo podemos ayudarte a cumplir con la PSD2 en los plazos estipulados.
[i] Si bien los medios de pago son múltiples, la segunda directiva, como ampliación de la primera, es de aplicación a las Transferencias y Adeudos Sepa y los pagos con Tarjetas.
[ii] El texto de la norma habla de “proveedor de servicios de pago gestor de cuentas”, dado que la mayoría son los bancos, utilizamos esta expresión a efectos meramente didácticos.