psd2

¿Para qué sirve la directiva PSD2?

La PSD2 armoniza el mercado europeo de los pagos electrónicos, refuerza los derechos de los consumidores y les permite dar permiso a otras empresas para que accedan a sus datos bancarios. Además, introduce nuevas medidas para fortalecer la seguridad de los pagos online, como la autenticación en dos pasos. 

A grandes rasgos, la normativa PSD2 tiene los siguientes objetivos:

  • Establecer un marco regulatorio para avanzar en el desarrollo del mercado de pagos electrónicos de la UE. 

  • Conseguir que los pagos entre países de la UE "sean tan fáciles, eficientes y seguros como los pagos realizados dentro de un único país", gracias a la implementación de nuevas normas.

  • Aumentar la competencia en el sector de los pagos electrónicos con la entrada de nuevos actores, lo que ofrecerá a los consumidores más opciones entre las que escoger y precios más competitivos.

La directiva PSD2, impulsada por la Comisión Europea, es la evolución de la primera normativa europea sobre servicios de pago, que data de 2007 y que sirvió como base para la llamada Zona Única de Pagos en Euros, que garantiza que los pagos en la moneda única entre países de la UE se gestionen igual. Ahora, la nueva PSD2 busca mejorar el mercado de los pagos electrónicos y se adapta a los tiempos modernos, ya que tiene en cuenta los pagos móviles y los pagos online.

La PSD2 no solo afecta a los bancos y cajas, sino también a los comercios online, a los usuarios y, como gran novedad, a dos nuevos actores que la nueva normativa pretende regular: los servicios de información sobre cuentas (AISP) y los servicios de inicio de pagos (PISP).

La PSD2 trata principalmente sobre dos bloques, el acceso a los datos bancarios de los consumidores por parte de terceros (otros bancos o compañías fintech) y los pagos electrónicos. Además, también agiliza los plazos para resolver conflictos entre consumidores y entidades.

Acceso a nuestros datos bancarios

Con la PSD2, gestionar nuestras finanzas personales va a ser más sencillo. La directiva busca abrir el mercado de la UE a nuevas empresas, entre ellas a aquellas que ofrezcan un servicio de información sobre cuentas (conocidas como AISP - Account Information Services Provider). Aunque este nombre te suene a chino, seguramente ya hayas oído hablar de estos servicios; los agregadores financieros son un ejemplo. De hecho, es probable que tu propio banco te lo haya ofrecido.

Los agregadores financieros nos permiten tener una visión global de las distintas cuentas que tenemos abiertas en varios bancos desde una sola plataforma, de manera que no tenemos que entrar en la banca online de cada entidad para conocer el estado de cada una. El objetivo es que podamos gestionar nuestras finanzas de una forma más sencilla y que podamos consultar desde una sola web o app los gastos, los ingresos y el saldo de las distintas cuentas a nuestro nombre. Esta innovación puede llevarse a cabo gracias al Open Banking, que libera los datos personales de los clientes para que otras compañías puedan acceder a ellos. 

Este servicio ya está disponible en España. Lo ofrecen tanto los propios bancos, que permiten conectar las cuentas de otras entidades a sus aplicaciones o sus páginas webs, como compañías fintech. Además, gracias a la PSD2, podrán ofrecer este servicio más empresas, entre ellas gigantes tecnológicos como Facebook.

Lógicamente, para que un agregador financiero tenga acceso a todos nuestros datos bancarios y pueda mostrárnoslos reunidos en un solo lugar, antes tenemos que darle permiso. Debemos tener cuidado con las empresas a las que autorizamos el acceso a nuestros datos bancarios y tener en cuenta que existe la posibilidad de que estas compañías saquen provecho de nuestra información, por ejemplo, ofreciéndonos sus propios productos en base a nuestra situación financiera.

Pagos electrónicos

El otro gran bloque que regula la directiva PSD2 es el de los pagos electrónicos. En este sentido, la nueva normativa nos traerá las siguientes ventajas:

  • Más seguridad en los pagos electrónicos, gracias al sistema de doble autenticación.

  • Más derechos, ya que se reduce nuestra responsabilidad de 150 a 50 euros en caso de fraude y entra en escena el derecho al reembolso incondicional para débitos directos.

  • Más ahorro, ya que los pagos con tarjeta no podrán tener recargos.

  • Más facilidades para realizar compras online.

  • Más control, gracias al registro público de instituciones de pago de la Autoridad Bancaria Europea (EBA).

1- Más seguridad gracias a la autenticación reforzada

Probablemente, la entrada en vigor de la autenticación en dos pasos o autenticación reforzada del cliente (strong customer authentication - SCA), tal y como aparece en la directiva PSD2, sea una de las medidas estrella de la normativa o, como mínimo, una de las que más está dando que hablar. Y no solo porque cambia la forma de realizar nuestras compras por Internet o como accederemos a la banca online, sino porque supone un desafío tecnológico para el que muchos comercios todavía no están preparados. 

Gracias a la nueva normativa, a la hora de validar un pago electrónico en un comercio o de consultar una cuenta en línea será necesario un sistema de doble autenticación, con el objetivo de reducir el fraude y hacer que nuestras transacciones sean más seguras. El sistema de doble autenticación obligará a usar al menos dos elementos de los tres propuestos por la normativa:

  • Algo que solo conozcamos nosotros (elemento de conocimiento)

  • Algo que solo tengamos nosotros (elemento de posesión)

  • Algo que forme parte de nosotros (elemento inherente)

Ejemplos:

Debido a la confusión generada entre los propios proveedores de servicios de pago sobre qué elementos cumplen con el sistema de autenticación reforzada de la PSD2 y en qué categoría se incluye cada uno, la Autoridad Bancaria Europea (EBA) publicó una lista con ejemplos válidos para cada categoría (se deben combinar al menos dos elementos de categorías distintas). A continuación, algunos ejemplos:

Conocimiento Posesión Inherencia

Elementos válidos:

  • Contraseña
  • Código pin
  • Passphrase (contraseña en forma de frase)
  • Preguntas cuya respuesta solo sepa el usuario

Elementos válidos:

  • Teléfono móvil cuya posesión quede demostrada por la recepción de un SMS con un código OTP (contraseña de un solo uso)
  • Tarjeta o dispositivo cuya posesión quede demostrada mediante el escaneo de un código QR
  • Tarjeta leída por un lector de tarjetas

Elementos válidos:

  • Iris o retina
  • Huella dactilar
  • Patrón de las venas
  • Reconocimiento de voz
  • Geometría de cara y manos
  • Dinámica de escritura (indentificación del usuario por la forma como pulsa las teclas)

Elementos no válidos:

  • Dirección de correo electrónico
  • Nombre de usuario
  • Datos de una tarjeta (número, fecha de caducidad, CVV)

Elementos no válidos:

  • App instalada en el móvil
  • Datos de la tarjeta (número, fecha de caducidad, CVV)
  • Tarjeta de coordenadas

Elementos no válidos:

  • Patrón de deslizamiento por teclas memorizado

 

Ni tarjetas de pago ni tarjetas de coordenadas son válidas. Hasta ahora, para validar una operación muchas veces bastaba con introducir los datos de una tarjeta (nombre del titular, número, fecha de caducidad y CVV) o un código de una tarjeta de coordenadas. Sin embargo, ninguno de los dos elementos anteriores cumple con el sistema de autenticación reforzada, por lo que ya no serán válidos para verificar la identidad del cliente.

 

Excepciones en las que no se tendrá que usar la autenticación reforzada:

Pero ¿será cómodo recurrir constantemente a este sistema? La PSD2 ha concebido una serie de excepciones, reguladas mediante el Reglamento Delegado (UE) 2018/389, en las que no será necesario usar la autenticación reforzada del cliente.

  • Acceso a una cuenta corriente en línea cuando solo se pueda consultar el saldo y los movimientos de los últimos 90 días.

  • Pagos electrónicos remotos de hasta 30 euros, siempre y cuando no se haya acumulado un importe de más de 100 euros por este medio desde la última vez que se solicitó la autenticación en dos pasos o no se hayan hecho más de cinco operaciones seguidas.

  • Pagos contactless por un importe de hasta 50 euros, siempre y cuando no se haya acumulado un importe de más de 150 euros por este medio desde la última vez que se solicitó la autenticación en dos pasos o no se hayan hecho más de cinco operaciones seguidas.

  • Pagos en terminales no atendidos para el abono de tarifas de transporte (peajes, etc.) o aparcamientos.

  • Operaciones recurrentes con el mismo importe y el mismo beneficiario (cuotas regulares de servicios como Netflix o HBO).

  • Pagos a beneficiarios incluidos por el cliente en una lista de confianza.

  • Transferencias cuando el emisor y el receptor sean la misma persona y ambas cuentas estén en la misma entidad.

  • Pagos electrónicos por parte de personas jurídicas a través de procesos y protocolos de pago corporativos seguros.

  • Operaciones de pago electrónico remotas con bajo nivel de riesgo.

autenticación reforzada psd2

2- Menos responsabilidad para el usuario ante pagos fraudulentos

En caso de pagos no autorizados, nuestra responsabilidad se reduce de 150 a 50 euros. Hasta ahora, si perdíamos nuestra tarjeta y alguien la usaba sin nuestro consentimiento, los primeros 150 euros gastados hasta que notificábamos el incidente y cancelábamos la tarjeta corrían de nuestra cuenta. Ahora, con la PSD2, serán solo los primeros 50 euros.

3- Derecho a que nos devuelvan el dinero

Otro derecho que nos beneficia como consumidores y que añade la PSD2 es el “derecho al reembolso incondicional para débitos directos en euros”. En resumidas cuentas, cuando una operación de pago autorizada no especifique en la autorización el importe de la operación o dicho importe supere lo que podríamos esperar, teniendo en cuenta nuestra pauta de pagos anterior, tendremos derecho a que el proveedor de servicios de pago nos devuelva el dinero.

4- Adiós a los recargos por pagar con tarjeta

La PSD2 elimina los sobrecostes por pagar con tarjeta de crédito o de débito algo que, en realidad, hace tiempo que en España ya no se práctica. Antes era habitual que ciertos sectores, por ejemplo algunas compañías aéreas, cobrasen un extra por pagar con tarjeta, pero es algo que ya no se ve y menos ahora con la entrada en vigor de la nueva PSD2.

5- Pagos electrónicos más sencillos con los PISP

Otra de las grandes novedades de la PSD2 es la reducción de intermediarios a la hora de hacer una compra online, gracias a los servicios de inicio de pago, conocidos por sus siglas en inglés como PISP (Payment Initiation Services Provider).

Hasta ahora, al realizar un pago por Internet entraban en juego muchos actores: el comerciante, el banco, la plataforma de pagos y la compañía de la tarjeta (VISA, Mastercard…). Ahora, la comunicación podrá ser directa entre el comercio y el banco. Los PISP ofrecerán la tecnología necesaria para conectar los bancos con los comercios y permitirán que un comercio solicite directamente a nuestro banco que le transfiera el dinero que le debemos, siempre y cuando hayamos autorizado antes la operación.

6- Registro público de todas las instituciones de pago

La normativa refuerza las funciones de la Autoridad Bancaria Europea. Una de las novedades más interesantes es la creación de un registro público en el que aparecerán todas las instituciones de pago autorizadas, por lo que si desconfiamos de alguna, podremos comprobar si aparece en el registro.

Servicio de reclamaciones: respuesta en 15 días

La PSD2 establece que los proveedores de servicios de pago deben implantar procedimientos que sirvan para resolver las reclamaciones de sus usuarios. Según la normativa, el servicio de atención al cliente tendrá la obligación de resolver las quejas recibidas en un plazo máximo de 15 días hábiles y la respuesta deberá remitirse al cliente en papel o en otro soporte duradero si así lo pacta la empresa y el cliente. 

No obstante, la PSD2 recoge la posibilidad de que, "en situaciones excepcionales", el plazo se alargue a 35 días hábiles. Eso sí, en ese caso el proveedor de servicios de pago tendrá que enviar al usuario una respuesta provisional en la que especifique por qué se ha retrasado la resolución de su queja e indique cuándo enviará la respuesta final.

La obligación de responder a las reclamaciones sobre servicios de pago en 15 días hábiles afecta no solo a los bancos, sino también a las compañías fintech.

¿Cuándo entra en vigor la PSD2?

La directiva entró en vigor el 12 de enero de 2016 y los estados comunitarios tenían hasta el 13 de enero de 2018 para transponerla.

En España, esta normativa ha llegado con un retraso de varios meses. El real decreto-ley que regula la implementación de la PSD2 entró en vigor el 25 de noviembre de 2018.

Por su parte, el Reglamento Delegado 2018/389, que regula específicamente el sistema de autenticación reforzada del cliente, rige desde el 14 de septiembre de 2019, fecha en la que se supone que la PSD2 en su totalidad debería haber estado vigente. Sin embargo, no ha sido así, ya que muchas compañías todavía no estaban preparadas para la implementación de la autenticación reforzada, ni en España ni en el resto de los países europeos. Por ello, la Autoridad Bancaria Europea (EBA) fijó en octubre una nueva fecha límite para la implementación total de la SCA en los pagos electrónicos: el 31 de diciembre de 2020.

Esta prórroga solo afecta a la implementación de la SCA en los pagos electrónicos, mientras que su uso sí es obligatorio en el acceso a la banca online desde el 14 de septiembre de 2019. Asimismo, esta prórroga no afecta al resto de las novedades que trae la PSD2 y que han ido incorporándose al sistema financiero español desde noviembre de 2018.

La EBA publicó en junio de 2019 un dictamen en el que reconocía el "desafío" que suponía la implementación de la autenticación reforzada, especialmente para los comercios electrónicos, y que era posible que hubiese actores que no estuviesen preparados el 14 de septiembre de 2019. Por ello, la EBA aceptó que, de forma excepcional, los organismos nacionales competentes pudiesen proporcionar un tiempo limitado a los proveedores de servicios de pago para adaptarse a la normativa PSD2. La mayoría de los países comunitarios señalaron estar a favor de ofrecer una prórroga a aquellos proveedores de servicios de pago que aún no se hubiesen adaptado a los criterios de la SCA. Se habló, en general, de un período de transición de 18 meses, según la asociación Ecommerce Europe. En cuanto a nuestro país, el Banco de España suscribió la concesión de dicha prórroga, aunque en un principio no dijo de cuánto tiempo sería. En ese momento, la banca y los comercios españoles apostaban por prorrogar la entrada en vigor de la autenticación reforzada hasta marzo de 2021 (18 meses de transición), para que su puesta en marcha no coincidiese con el black friday y la época de compras navideñas. Finalmente, ha sido la EBA la que ha fijado la fecha para la implementación de la SCA en Europa: diciembre de 2020, lo que se traduce en un período de transición de unos 15 meses. 

Acceder a la banca online, más complicado con la PSD2

Ahora que ya sabemos cuáles son los principales puntos de la directiva PSD2, vamos a centrarmos en un aspecto que afecta de lleno a los consumidores: el acceso a la banca online.

Hasta ahora, cuando queríamos acceder a nuestra cuenta corriente por Internet (desde la web del banco), solo necesitábamos introducir un usuario y una contraseña o, si lo hacíamos desde el móvil, recurrir a nuestra huella dactilar o al reconocimiento facial. Rápido y sencillo. Sin embargo, la directiva PSD2 complica este proceso. La autenticación reforzada, de la que hemos hablado más arriba, también afecta al acceso a la banca online, por lo que una vez entre en vigor la normativa (oficialmente el 14 de septiembre), se necesitará un paso extra para acceder a una cuenta corriente por Internet, con el objetivo de reforzar la seguridad.

El primer paso para acceder a la banca online seguirá siendo el mismo que hasta ahora: usuario (normalmente el DNI) y contraseña o identificación mediante huella o reconocimiento facial. En cuanto al segundo paso, la banca se ha decantado por dos soluciones:

  • Opción 1 (la más popular): código de validación recibido por SMS.

  • Opción 2 (la menos popular): notificación integrada en la aplicación del banco.

Sea cual sea la opción utilizada por el banco, a partir de ahora será imprescindible disponer de un smartphone para acceder a la banca online, ya que o bien se tendrá que recibir un código por SMS o bien aceptar una notificación integrada en la app del banco. No obstante, la mayoría de los bancos solo obligarán a introducir el segundo factor de autenticación la primera vez que se acceda a la banca online tras el 14 de septiembre y una vez cada 90 días.

¿Qué solución ha propuesto cada banco?

Banco 2º factor de autenticación Comentarios
Abanca Código recibido por SMS o sistema de notificación integrada en su app - Los clientes que tengan la app de Abanca instalada recibirán notificaciones y los que no la tengan recibirán códigos por SMS cuando se conecten a su área personal
Banco Pichincha Código recibido por SMS - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días
Banco Sabadell Código recibido por SMS  
Banco Santander Código recibido por SMS  
Bankia Código recibido por SMS  
Bankinter Código recibido por SMS  
BBVA Código recibido por SMS  
CaixaBank Código recibido por SMS o tarjeta de coordenadas o sistema CaixaBank Sign (app para firmar operaciones)

- Los clientes tendrán que confirmar su identidad con el segundo factor de seguridad cada vez que se conecten a la banca online desde un nuevo dispositivo

- CaixaBank permite a sus clientes seguir usando su sistema de firma habitual (tarjeta de coordenadas, SMS o app)

- Es la única entidad que comunica que sigue permitiendo el uso de la tarjeta de coordenadas, aunque recomienda el uso de CaixaBank Sign, la app que sustituye la tarjeta de coordenadas

Cajamar Código recibido por SMS o sistema Firma Móvil (notificación integrada en su app)

- Los clientes que tengan la app de Cajamar instalada usarán el sistema Firma Móvil y los que no la tengan, recibirán códigos por SMS

- Solo será necesario introducir el código recibido por SMS o confirmar la notificación vía app la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días

Cajas rurales Código recibido por SMS - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días
Colonya Caixa Pollença Código recibido por SMS - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días
EVO Banco Código recibido por SMS  
ING Sistema Validación Móvil: notificación integrada en su app 

- Se elimina la tarjeta de coordenadas

- Obligatoriedad de tener instalada la app del banco en el smartphone

- Solo se recibirá la notificación la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días

Laboral Kutxa Código recibido por SMS - Se elimina la tarjeta de coordenadas
MyInvestor Código recibido por SMS - Será necesario introducir el código recibido por SMS cada vez que se acceda a la banca online
N26 Código recibido por SMS o sistema de notificación integrada en su app - El segundo factor (código por SMS o notificación emergente en la app) se solicitará cuando se acceda a la cuenta a través de la web o desde un dispositivo no vinculado. No se solicitará cuando se acceda a la cuenta desde la app de N26 a través de un dispositivo vinculado
Openbank Código recibido por SMS - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días
Pibank Código recibido por SMS - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días
Targobank Sistema Confirmación Móvil: notificación integrada en su app - Obligatoriedad de tener instalada la app del banco en el smartphone
Triodos Bank Código recibido por SMS - Solo será necesario introducir el código recibido por SMS la primera vez que se acceda a la banca online a partir del 14 de septiembre y una vez cada 90 días

SMS o 'app': ¿qué opción es mejor?

A falta de conocer la estrategia que seguirán todos los bancos con la entrada en vigor de la PSD2, las entidades españolas se han dividido entre aquellas que cumplirán el sistema de autenticación reforzada con el envío de un código por SMS y aquellas que obligarán a sus clientes a tener instalada la app del banco para recibir notificaciones. Pero ¿qué opción es mejor?

A simple vista, los SMS son la opción menos intrusiva para el cliente, ya que no le obliga a descargar ninguna aplicación, solo a informar a la entidad de su número de teléfono, algo que ya hacemos al contratar una cuenta corriente. Además, recibir un SMS es gratuito y cualquier teléfono móvil, por muy antiguo que sea, los acepta. Eso sí, se trata de un canal menos seguros que las aplicaciones.

Por el contrario, al obligar al cliente a descargar una app, se gana en seguridad, pero hay inconvenientes para el usuario:

  • El smartphone debe soportar las últimas versiones de las aplicaciones bancarias, algo que no ocurre si es antiguo

  • El smartphone debe tener espacio suficiente para descargar y tener instalada la app

  • Es necesario tener conexión a Internet cada vez que se quiera operar

  • Se consumen datos al tener activa la aplicación, salvo que se use wifi

 

Herramientas sobre Educación financiera

Reto de ahorro: cómo ahorrar 687 euros antes de Navidad

Únete a este reto y ahorra hasta 687 euros antes de Navidad. ¡Disfruta de los gastos de fin de año sin culpas!

Guía para hacer un presupuesto mensual

Para controlar las finanzas controladas lo mejor es hacer un presupuesto mensual. Con este que hemos elaborado en HelpMyCash.com tendrás un modelo descargable y gratis para que gestiones tu economía cómodamente.

10 trucos para mejorar tus finanzas personales

Recibir una buena educación financiera inculca, entre otros hábitos, la capacidad de ahorrar y gestionar nuestro capital. En este vídeo de mostramos los 10 mejores trucos para mejorar tus finanzas personales.

Más sobre Educación financiera

Temas relacionados:
Solvencia bancos