Quizá ya hayas oído hablar de la directiva europea PSD2, probablemente incluso tu banco te haya hablado de ella, pero ¿qué es exactamente? Detrás se esconde la Directiva (EU) 2015/2366 de servicios de pago, una normativa europea que refuerza la seguridad de los pagos electrónicos en la UE, incluidos los pagos online y los pagos móviles, y regula el acceso a nuestros datos bancarios por parte de terceros.
La PSD2 armoniza el mercado europeo de los pagos electrónicos, refuerza los derechos de los consumidores y les permite dar permiso a otras empresas para que accedan a sus datos bancarios. Además, introduce nuevas medidas para fortalecer la seguridad de los pagos online, como la autenticación en dos pasos.
A grandes rasgos, la normativa PSD2 tiene los siguientes objetivos:
Establecer un marco regulatorio para avanzar en el desarrollo del mercado de pagos electrónicos de la UE.
Conseguir que los pagos entre países de la UE "sean tan fáciles, eficientes y seguros como los pagos realizados dentro de un único país", gracias a la implementación de nuevas normas.
Aumentar la competencia en el sector de los pagos electrónicos con la entrada de nuevos actores, lo que ofrecerá a los consumidores más opciones entre las que escoger y precios más competitivos.
La directiva PSD2, impulsada por la Comisión Europea, es la evolución de la primera normativa europea sobre servicios de pago, que data de 2007 y que sirvió como base para la llamada Zona Única de Pagos en Euros, que garantiza que los pagos en la moneda única entre países de la UE se gestionen igual. Ahora, la nueva PSD2 busca mejorar el mercado de los pagos electrónicos y se adapta a los tiempos modernos, ya que tiene en cuenta los pagos móviles y los pagos online.
La PSD2 no solo afecta a los bancos y cajas, sino también a los comercios online, a los usuarios y, como gran novedad, a dos nuevos actores que la nueva normativa pretende regular: los servicios de información sobre cuentas (AISP) y los servicios de inicio de pagos (PISP).
La PSD2 trata principalmente sobre dos bloques, el acceso a los datos bancarios de los consumidores por parte de terceros (otros bancos o compañías fintech) y los pagos electrónicos. Además, también agiliza los plazos para resolver conflictos entre consumidores y entidades.
Con la PSD2, gestionar nuestras finanzas personales va a ser más sencillo. La directiva busca abrir el mercado de la UE a nuevas empresas, entre ellas a aquellas que ofrezcan un servicio de información sobre cuentas (conocidas como AISP - Account Information Services Provider). Aunque este nombre te suene a chino, seguramente ya hayas oído hablar de estos servicios; los agregadores financieros son un ejemplo. De hecho, es probable que tu propio banco te lo haya ofrecido.
Los agregadores financieros nos permiten tener una visión global de las distintas cuentas que tenemos abiertas en varios bancos desde una sola plataforma, de manera que no tenemos que entrar en la banca online de cada entidad para conocer el estado de cada una. El objetivo es que podamos gestionar nuestras finanzas de una forma más sencilla y que podamos consultar desde una sola web o app los gastos, los ingresos y el saldo de las distintas cuentas a nuestro nombre. Esta innovación puede llevarse a cabo gracias al Open Banking, que libera los datos personales de los clientes para que otras compañías puedan acceder a ellos.
Este servicio ya está disponible en España. Lo ofrecen tanto los propios bancos, que permiten conectar las cuentas de otras entidades a sus aplicaciones o sus páginas webs, como compañías fintech. Además, gracias a la PSD2, podrán ofrecer este servicio más empresas, entre ellas gigantes tecnológicos como Facebook.
El otro gran bloque que regula la directiva PSD2 es el de los pagos electrónicos. En este sentido, la nueva normativa nos traerá las siguientes ventajas:
Más seguridad en los pagos electrónicos, gracias al sistema de doble autenticación.
Más derechos, ya que se reduce nuestra responsabilidad de 150 a 50 euros en caso de fraude y entra en escena el derecho al reembolso incondicional para débitos directos.
Más ahorro, ya que los pagos con tarjeta no podrán tener recargos.
Más facilidades para realizar compras online.
Más control, gracias al registro público de instituciones de pago de la Autoridad Bancaria Europea (EBA).
Probablemente, la entrada en vigor de la autenticación en dos pasos o autenticación reforzada del cliente (strong customer authentication - SCA), tal y como aparece en la directiva PSD2, sea una de las medidas estrella de la normativa o, como mínimo, una de las que más está dando que hablar. Y no solo porque cambia la forma de realizar nuestras compras por Internet o como accederemos a la banca online, sino porque supone un desafío tecnológico para el que muchos comercios todavía no están preparados.
Gracias a la nueva normativa, a la hora de validar un pago electrónico en un comercio o de consultar una cuenta en línea será necesario un sistema de doble autenticación, con el objetivo de reducir el fraude y hacer que nuestras transacciones sean más seguras. El sistema de doble autenticación obligará a usar al menos dos elementos de los tres propuestos por la normativa:
Algo que solo conozcamos nosotros (elemento de conocimiento)
Algo que solo tengamos nosotros (elemento de posesión)
Algo que forme parte de nosotros (elemento inherente)
Ejemplos:
Debido a la confusión generada entre los propios proveedores de servicios de pago sobre qué elementos cumplen con el sistema de autenticación reforzada de la PSD2 y en qué categoría se incluye cada uno, la Autoridad Bancaria Europea (EBA) publicó una lista con ejemplos válidos para cada categoría (se deben combinar al menos dos elementos de categorías distintas). A continuación, algunos ejemplos:
| Conocimiento | Posesión | Inherencia |
|
Elementos válidos:
|
Elementos válidos:
|
Elementos válidos:
|
|
Elementos no válidos:
|
Elementos no válidos:
|
Elementos no válidos:
|
Excepciones en las que no se tendrá que usar la autenticación reforzada:
Pero ¿será cómodo recurrir constantemente a este sistema? La PSD2 ha concebido una serie de excepciones, reguladas mediante el Reglamento Delegado (UE) 2018/389, en las que no será necesario usar la autenticación reforzada del cliente.
Acceso a una cuenta corriente en línea cuando solo se pueda consultar el saldo y los movimientos de los últimos 90 días.
Pagos electrónicos remotos de hasta 30 euros, siempre y cuando no se haya acumulado un importe de más de 100 euros por este medio desde la última vez que se solicitó la autenticación en dos pasos o no se hayan hecho más de cinco operaciones seguidas.
Pagos contactless por un importe de hasta 50 euros, siempre y cuando no se haya acumulado un importe de más de 150 euros por este medio desde la última vez que se solicitó la autenticación en dos pasos o no se hayan hecho más de cinco operaciones seguidas.
Pagos en terminales no atendidos para el abono de tarifas de transporte (peajes, etc.) o aparcamientos.
Operaciones recurrentes con el mismo importe y el mismo beneficiario (cuotas regulares de servicios como Netflix o HBO).
Pagos a beneficiarios incluidos por el cliente en una lista de confianza.
Transferencias cuando el emisor y el receptor sean la misma persona y ambas cuentas estén en la misma entidad.
Pagos electrónicos por parte de personas jurídicas a través de procesos y protocolos de pago corporativos seguros.
Operaciones de pago electrónico remotas con bajo nivel de riesgo.
En caso de pagos no autorizados, nuestra responsabilidad se reduce de 150 a 50 euros. Hasta ahora, si perdíamos nuestra tarjeta y alguien la usaba sin nuestro consentimiento, los primeros 150 euros gastados hasta que notificábamos el incidente y cancelábamos la tarjeta corrían de nuestra cuenta. Ahora, con la PSD2, serán solo los primeros 50 euros.
Otro derecho que nos beneficia como consumidores y que añade la PSD2 es el “derecho al reembolso incondicional para débitos directos en euros”. En resumidas cuentas, cuando una operación de pago autorizada no especifique en la autorización el importe de la operación o dicho importe supere lo que podríamos esperar, teniendo en cuenta nuestra pauta de pagos anterior, tendremos derecho a que el proveedor de servicios de pago nos devuelva el dinero.
La PSD2 elimina los sobrecostes por pagar con tarjeta de crédito o de débito algo que, en realidad, hace tiempo que en España ya no se práctica. Antes era habitual que ciertos sectores, por ejemplo algunas compañías aéreas, cobrasen un extra por pagar con tarjeta, pero es algo que ya no se ve y menos ahora con la entrada en vigor de la nueva PSD2.
Otra de las grandes novedades de la PSD2 es la reducción de intermediarios a la hora de hacer una compra online, gracias a los servicios de inicio de pago, conocidos por sus siglas en inglés como PISP (Payment Initiation Services Provider).
Hasta ahora, al realizar un pago por Internet entraban en juego muchos actores: el comerciante, el banco, la plataforma de pagos y la compañía de la tarjeta (VISA, Mastercard…). Ahora, la comunicación podrá ser directa entre el comercio y el banco. Los PISP ofrecerán la tecnología necesaria para conectar los bancos con los comercios y permitirán que un comercio solicite directamente a nuestro banco que le transfiera el dinero que le debemos, siempre y cuando hayamos autorizado antes la operación.
La normativa refuerza las funciones de la Autoridad Bancaria Europea. Una de las novedades más interesantes es la creación de un registro público en el que aparecerán todas las instituciones de pago autorizadas, por lo que si desconfiamos de alguna, podremos comprobar si aparece en el registro.
La PSD2 establece que los proveedores de servicios de pago deben implantar procedimientos que sirvan para resolver las reclamaciones de sus usuarios. Según la normativa, el servicio de atención al cliente tendrá la obligación de resolver las quejas recibidas en un plazo máximo de 15 días hábiles y la respuesta deberá remitirse al cliente en papel o en otro soporte duradero si así lo pacta la empresa y el cliente.
No obstante, la PSD2 recoge la posibilidad de que, "en situaciones excepcionales", el plazo se alargue a 35 días hábiles. Eso sí, en ese caso el proveedor de servicios de pago tendrá que enviar al usuario una respuesta provisional en la que especifique por qué se ha retrasado la resolución de su queja e indique cuándo enviará la respuesta final.
La obligación de responder a las reclamaciones sobre servicios de pago en 15 días hábiles afecta no solo a los bancos, sino también a las compañías fintech.
La directiva entró en vigor el 12 de enero de 2016 y los estados comunitarios tenían hasta el 13 de enero de 2018 para transponerla.
En España, esta normativa ha llegado con un retraso de varios meses. El real decreto-ley que regula la implementación de la PSD2 entró en vigor el 25 de noviembre de 2018.
Por su parte, el Reglamento Delegado 2018/389, que regula específicamente el sistema de autenticación reforzada del cliente, rige desde el 14 de septiembre de 2019, fecha en la que se supone que la PSD2 en su totalidad debería haber estado vigente. Sin embargo, no ha sido así, ya que muchas compañías todavía no estaban preparadas para la implementación de la autenticación reforzada, ni en España ni en el resto de los países europeos. Por ello, la Autoridad Bancaria Europea (EBA) fijó en octubre una nueva fecha límite para la implementación total de la SCA en los pagos electrónicos: el 31 de diciembre de 2020.
Esta prórroga solo afecta a la implementación de la SCA en los pagos electrónicos, mientras que su uso sí es obligatorio en el acceso a la banca online desde el 14 de septiembre de 2019. Asimismo, esta prórroga no afecta al resto de las novedades que trae la PSD2 y que han ido incorporándose al sistema financiero español desde noviembre de 2018.
Ahora que ya sabemos cuáles son los principales puntos de la directiva PSD2, vamos a centrarmos en un aspecto que afecta de lleno a los consumidores: el acceso a la banca online.
Hasta ahora, cuando queríamos acceder a nuestra cuenta corriente por Internet (desde la web del banco), solo necesitábamos introducir un usuario y una contraseña o, si lo hacíamos desde el móvil, recurrir a nuestra huella dactilar o al reconocimiento facial. Rápido y sencillo. Sin embargo, la directiva PSD2 complica este proceso. La autenticación reforzada, de la que hemos hablado más arriba, también afecta al acceso a la banca online, por lo que una vez entre en vigor la normativa (oficialmente el 14 de septiembre), se necesitará un paso extra para acceder a una cuenta corriente por Internet, con el objetivo de reforzar la seguridad.
El primer paso para acceder a la banca online seguirá siendo el mismo que hasta ahora: usuario (normalmente el DNI) y contraseña o identificación mediante huella o reconocimiento facial. En cuanto al segundo paso, la banca se ha decantado por dos soluciones:
Opción 1 (la más popular): código de validación recibido por SMS.
Opción 2 (la menos popular): notificación integrada en la aplicación del banco.
| Banco | 2º factor de autenticación | Comentarios |
| Abanca | Código recibido por SMS o sistema de notificación integrada en su app | - Los clientes que tengan la app de Abanca instalada recibirán notificaciones y los que no la tengan recibirán códigos por SMS cuando se conecten a su área personal |
| Banco Pichincha | Código recibido por SMS | - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días |
| Banco Sabadell | Código recibido por SMS | |
| Banco Santander | Código recibido por SMS | |
| Bankia | Código recibido por SMS | |
| Bankinter | Código recibido por SMS | |
| BBVA | Código recibido por SMS | |
| CaixaBank | Código recibido por SMS o tarjeta de coordenadas o sistema CaixaBank Sign (app para firmar operaciones) |
- Los clientes tendrán que confirmar su identidad con el segundo factor de seguridad cada vez que se conecten a la banca online desde un nuevo dispositivo - CaixaBank permite a sus clientes seguir usando su sistema de firma habitual (tarjeta de coordenadas, SMS o app) - Es la única entidad que comunica que sigue permitiendo el uso de la tarjeta de coordenadas, aunque recomienda el uso de CaixaBank Sign, la app que sustituye la tarjeta de coordenadas |
| Cajamar | Código recibido por SMS o sistema Firma Móvil (notificación integrada en su app) |
- Los clientes que tengan la app de Cajamar instalada usarán el sistema Firma Móvil y los que no la tengan, recibirán códigos por SMS - Solo será necesario introducir el código recibido por SMS o confirmar la notificación vía app la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días |
| Cajas rurales | Código recibido por SMS | - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días |
| Colonya Caixa Pollença | Código recibido por SMS | - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días |
| EVO Banco | Código recibido por SMS | |
| ING | Sistema Validación Móvil: notificación integrada en su app |
- Se elimina la tarjeta de coordenadas - Obligatoriedad de tener instalada la app del banco en el smartphone - Solo se recibirá la notificación la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días |
| Laboral Kutxa | Código recibido por SMS | - Se elimina la tarjeta de coordenadas |
| MyInvestor | Código recibido por SMS | - Será necesario introducir el código recibido por SMS cada vez que se acceda a la banca online |
| N26 | Código recibido por SMS o sistema de notificación integrada en su app | - El segundo factor (código por SMS o notificación emergente en la app) se solicitará cuando se acceda a la cuenta a través de la web o desde un dispositivo no vinculado. No se solicitará cuando se acceda a la cuenta desde la app de N26 a través de un dispositivo vinculado |
| Openbank | Código recibido por SMS | - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días |
| Pibank | Código recibido por SMS | - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días |
| Targobank | Sistema Confirmación Móvil: notificación integrada en su app | - Obligatoriedad de tener instalada la app del banco en el smartphone |
| Triodos Bank | Código recibido por SMS | - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días |
A falta de conocer la estrategia que seguirán todos los bancos con la entrada en vigor de la PSD2, las entidades españolas se han dividido entre aquellas que cumplirán el sistema de autenticación reforzada con el envío de un código por SMS y aquellas que obligarán a sus clientes a tener instalada la app del banco para recibir notificaciones. Pero ¿qué opción es mejor?
A simple vista, los SMS son la opción menos intrusiva para el cliente, ya que no le obliga a descargar ninguna aplicación, solo a informar a la entidad de su número de teléfono, algo que ya hacemos al contratar una cuenta corriente. Además, recibir un SMS es gratuito y cualquier teléfono móvil, por muy antiguo que sea, los acepta. Eso sí, se trata de un canal menos seguros que las aplicaciones.
Por el contrario, al obligar al cliente a descargar una app, se gana en seguridad, pero hay inconvenientes para el usuario:
El smartphone debe soportar las últimas versiones de las aplicaciones bancarias, algo que no ocurre si es antiguo
El smartphone debe tener espacio suficiente para descargar y tener instalada la app
Es necesario tener conexión a Internet cada vez que se quiera operar
Se consumen datos al tener activa la aplicación, salvo que se use wifi
Únete a este reto y ahorra hasta 687 euros antes de Navidad. ¡Disfruta de los gastos de fin de año sin culpas!
Para controlar las finanzas controladas lo mejor es hacer un presupuesto mensual. Con este que hemos elaborado en HelpMyCash.com tendrás un modelo descargable y gratis para que gestiones tu economía cómodamente.
Recibir una buena educación financiera inculca, entre otros hábitos, la capacidad de ahorrar y gestionar nuestro capital. En este vídeo de mostramos los 10 mejores trucos para mejorar tus finanzas personales.
