¿Cómo es la normativa que regulará los pagos online a partir de septiembre? El próximo día 14 entra en vigor la obligación de reforzar el proceso de identificación del usuario para posibilitar cualquier transacción sin recurrir a pasarelas de pago IRATXE BERNAL Martes, 27 agosto 2019, 00:43

«¿Tenemos tu número de móvil actualizado? Debido a las medidas de seguridad que se aplican en septiembre según la normativa europea de pagos, debes tener tu móvil validado para acceder a tus cuentas desde nuestra app o nuestra web». Si has utilizado Internet para realizar alguna gestión bancaria estos últimos días te habrás encontrado con avisos similares a este en los que la entidad te advierte de que a partir del mes que viene el móvil será imprescindible para acceder sus servicios online. Es una de las consecuencias de la entrada en vigor de la nueva normativa europea que regula la identificación segura de los servicios de pagos (conocida como PSD2) y que también cambiará nuestra forma de comprar en la Red.

Ahora, cuando queremos adquirir algún producto en una tienda online ésta nos redirige a una pasarela de pago en la que necesitamos ofrecer cierta información de nuestra tarjeta bancaria (número, fecha de caducidad y código CVV) para realizar la transacción. Esta medida se suele complementar con otras como el envío de un código a través de un mensaje de texto para cerrar la compra. Es decir, el comercio tiene que recurrir necesariamente a una serie de intermediarios (los proveedores de pagos electrónicos) para que contacten con la compañía emisora de la tarjeta, que es quien finalmente habla con el banco para cargar el cobro en nuestra cuenta corriente. Es decir, como poco hay cuatro agentes en el proceso.

De cuatro, a dos agentes

Sin embargo, a partir del próximo día 14, será posible realizar toda la operación desde la web del propio establecimiento. Bastará con que el comprador autorice al comercio a solicitar directamente el cobro a su cuenta bancaria. De cuatro pasamos a dos únicos agentes; comercio y banco. Con lo que agilizamos y abaratamos el proceso. Para eso, la directiva introduce el concepto de 'open banking'. Es decir, regula los requisitos necesarios para que los bancos proporcionen (con autorización expresa de los clientes) el acceso a sus datos a otras empresas, desde otro banco a una 'fintech' pasando por Amazon o Facebook. La información ofrecida variará según la naturaleza de esa empresa, que puede ser un comercio en el que se realice una compra puntual o una 'fintech' con la que el usuario controla sus finanzas aportando incluso datos de más una entidad bancaria.

Esta que entra ahora en vigor es en realidad la segunda normativa la PSD (Payment Services Directive) y, aunque en España su trasposición no fue aprobada hasta finales del año pasado, la UE la redactó en 2015. La primera fue publicada en 2007 y proporcionaba un marco legal para regular la acción de los distintos proveedores de servicios de pago digital en la zona euro. Pero el rápido incremento de las compras online, la sofisticación de los engaños de los ciberdelincuentes y la aparición de nuevos servicios, como los de las ya citadas 'fintech', han hecho de la PSD una norma desfasada en menos de una década.

Reforzar el proceso de identificación

La normativa PSD2 incrementará la seguridad obligando a los comercios online y entidades bancarias a reforzar el proceso de identificación. Así, antes de cerrar la compra, el cliente deberá demostrar que es quien dice ser gracias a «algo que conoce», como un PIN o una contraseña; «algo que posea», como el DNI, una tarjeta de coordenadas o un móvil al que enviar una clave por SMS; o «algo que sea», es decir a través de identificaciones biométricas de sus huellas dactilares, el iris o los rasgos faciales. La autenticación reforzada (también llamada SCA o 'strong customer authentication') del cliente exige que en cada transacción se realicen al menos dos de esas tres comprobaciones. Es lo que técnicamente se denomina 2FA, acrónimo de 'two factor authentification' (autentificación en dos pasos).

Por otra parte, la nueva normativa también ofrece una mayor protección de los consumidores en caso de robo o fraude. Desde su implantación, el usuario sólo deberá responder de los pagos no autorizados cuyo importe no supere los 50 euros en vez de los 150 actuales. Cuando se supere esa cifra si el cliente niega haber autorizado la operación (o señala que es incorrecta) será el proveedor del servicio de pago quien tendrá que demostrar tanto que la transacción se realizó con autorización como que su ejecución fue correcta. De no hacerlo, deberá hacerse cargo del importe estafado que, además, deberá devolver antes de que trascurran quince días.