La Directiva PSD2
El 31 de diciembre de 2020 finalizó el periodo transitorio para implementar las medidas relativas a las obligaciones de autentificación y acceso a terceros impuestas por la Directiva PSD2 (Payment Service Directive 2).
Esta Directiva entró en vigor en enero de 2018 y, aunque se estableció el 14 de septiembre de 2019 como fecha en la que debía hacerse efectiva, la Autoridad Bancaria Europea (ABE) aprobó una prórroga para la efectividad de algunos de los requisitos técnicos, la cual finaliza el 31 de diciembre de 2020.
Aunque, como puede comprobarse, la normativa lleva tiempo en circulación, según un reciente estudio de la Asociación Española de la Economía Digital (Adigital), un 40% de los comercios electrónicos desconoce las obligaciones que impone esta normativa en los pagos realizados a través de su plataforma o página web.
¿Cuáles son las novedades de la PSD2?
Una de las novedades principales de la PSD2 es que se obliga a las entidades bancarias a proporcionar a otras empresas (siempre que tengan las licencias y permisos pertinentes y cumplan con ciertos requisitos de seguridad) acceso a la información de sus clientes, cuando dicho cliente haya dado su consentimiento. Por ello, las entidades bancarias deben poner a disposición de los proveedores los medios para que estos puedan acceder a la información requerida sobre el cliente y, en su caso, realizar pagos o transferencias.
Por otro lado, la PSD2 también introduce nuevos requisitos de seguridad para la realización de pagos o para el acceso a las cuentas bancarias, lo que denomina la Autenticación Reforzada de Clientes (SCA), que explicamos más adelante.
¿Qué tipo de empresas podrían acceder a la información bancaria de un cliente?
Se regula dos tipos de servicios que podrán suponer el acceso a la información bancaria para diferentes fines:
- Servicios de Iniciación de pagos o, en inglés, Payment Initiation Services (PIS): Los PIS son aquellos servicios que permiten realizar pagos o transferencias en nombre del cliente.
- Servicios de Información de Cuenta o, en inglés, Account Information Services (AIS): Los AIS son los servicios para los que necesitan recibir información de la cuenta bancaria del cliente para poder utilizarla, por ejemplo, para organizar la información de las cuentas (ingresos, gastos, etc.).
Los proveedores que presten este tipo de servicios tendrán que cumplir con ciertos requerimientos: registro o autorización y supervisión por las autoridades competentes.
¿En qué consiste la Autenticación Reforzada de Clientes (SCA)?
Con el objetivo de reforzar los mecanismos de seguridad en los comercios electrónicos, la normativa requiere que, para que se puedan realizar un pago electrónico, los compradores efectúen una autenticación reforzada (o verificación en dos pasos), lo que garantiza que la persona que ordena el pago está realmente autorizada a hacerlo.
Esta autenticación reforzada consiste en que el comprador confirma su identidad, combinándose dos de los tres posibles factores de autenticación:
- Conocimiento (algo que el usuario sabe, por ejemplo, una contraseña o código);
- Posesión (algo que el usuario tiene, por ejemplo, una tarjeta o su teléfono); o
- Inherencia (algo que forma parte de la persona del usuario, por ejemplo, datos biométricos como la huella dactilar o el reconocimiento facial u otros, como la voz).
Esta autentificación tiene excepciones, por ejemplo, cuando el valor de la transacción realizada on-line no supera los 30 euros (con límites), cuando son pagos de suscripciones periódicas de importe fijo o, por ejemplo, cuando el proveedor de servicios de pago realiza una valoración del riesgo en la transacción y considera que el riesgo es bajo (aunque en este caso, será la entidad bancaria la que apruebe o no finalmente que se realice el pago sin más autenticación).
¿Cómo afecta a los comercios que operan en internet?
Según la Directiva PSD2, el mecanismo de autenticación reforzada será obligatoria para realizar los pagos electrónicos, por lo tanto, cualquier tienda online deberá tenerlo implementado a partir del 1 de enero de 2021 (teniendo en cuenta, como se ha indicado, que existen excepciones).
No obstante, las tiendas online normalmente no realizan estos pagos por sí mismos, sino que recurren a un proveedor de servicios para efectuar los pagos. En estos casos, por tanto, será el proveedor de servicios de pago el que deberá tener implementados los requisitos de la normativa PSD2 en su sistema (obtención de la licencia e incorporación de las medidas de autenticación reforzada).
Aun así, las empresas que dispongan de una tienda online tendrán que asegurarse y verificar que el proveedor de servicios de pago utilizado cumple con dichos requisitos y ha implementado los requerimientos de seguridad de la Directiva PSD2.
¿Y en el caso de los Marketplace?
Si la plataforma actúa como un intermediario entre compradores y vendedores (lo que se conoce como un Marketplace) está deberá obtener su propia licencia de pagos ante la autoridad competente si esta es la que administra los pagos entre el comprador y el vendedor, a menos que pueda acogerse a una exención, en concreto, la de configurarse como “agente comercial”.
Esta exención, sin embargo, solo aplicaría cuando la plataforma (el pretendido “agente comercial”) actúa por cuenta exclusiva del pagador o del beneficiario, pero no en beneficio tanto de comprador como vendedor. Si actúa por cuenta de ambos, la exclusión solo podría aplicarse en tanto los fondos del cliente no estén en su poder ni bajo su control en ningún momento (considerando 11 de la directiva PSD2).
En el caso de que se recurra o quiera recurrirse a un proveedor de servicios de pago la obligación del Marketplace será, como en el apartado anterior, verificar y asegurarse que el proveedor está adaptado a la nueva normativa.
¿Cuáles son las consecuencias del incumplimiento de la Directiva?
El régimen sancionador, que se aplicaría a las entidades sujetas a la normativa PSD2 como los proveedores de servicios de pago, se reguló en el Real Decreto 736/2019 de régimen jurídico de los servicios de pago y de las entidades de pago, que entró en vigor el 25 de diciembre de 2019 y es el Banco de España es el organismo que tiene competencias de supervisión y control del cumplimiento de las obligaciones de la PSD2.
Este podrá iniciar procedimientos de inspección e imponer sanciones económicas o, incluso, cuando la infracción sea muy grave, revocar la autorización concedida para operar como entidad de pago.
Si tienes un ecommerce o un marketplace y todavía no has implementado esta normativa, recuerda que la fecha límite para la implementación fue el 31 de diciembre de 2020.
Artículo escrito por:
Metricson es una firma de servicios legales especializada en negocios tecnológicos e innovadores y ayuda a empresas de todo el mundo a desarrollar y proteger su actividad con las máximas garantías legales.
Si quieres más información o quieres saber más acerca de nuestros servicios, no dudes en ponerte en contacto con nosotros aquí
Photo by rupixen.com on Unsplash