900 423 715
Prueba gratuita
PSD2: nuevas medidas de seguridad para pagos en línea

PSD2: nuevas medidas de seguridad para pagos en línea

  • Consejos para autónomos

La entrada en vigor de la nueva directiva europea sobre la seguridad y la transparencia de las transferencias bancarias introduce algunas novedades importantes en el ámbito de los pagos digitales.

Cómo cambia la relación entre bancos y clientes

La directiva 2015/2366, aprobada por el Parlamento Europeo en noviembre de 2015 y que entró en vigor el 14 de septiembre de 2015, prevé la adopción de una serie de medidas de seguridad adicionales para identificar a los titulares de cuentas bancarias, pero también parece destinada a cambiar radicalmente la relación entre bancos y clientes. La legislación, denominada PSD2, modifica también la forma en la que se intercambia la información entre las entidades de crédito y las empresas externas, como las que se dedican a la intermediación de los pagos.

 

Según lo dispuesto en la nueva legislación, desde septiembre de 2015 los bancos están obligados a compartir información sobre sus clientes con terceros, si el cliente ha proporcionado previamente a su banco un permiso explícito para compartir sus datos. La disposición se concibió para promover la innovación y el desarrollo en el ámbito de los pagos digitales y para favorecer al más conocido TPP (o third party players), es decir, a las empresas de intermediación. El nuevo Reglamento permite integrar más fácilmente los servicios de operadores externos al sector bancario, como las empresas PISP (o payment initiation service provider) que gestionan transacciones entre bancos y consumidores y permiten pagar en línea, y CISP (o card issuer service provider), es decir, empresas que emiten tarjetas de crédito o débito. La posibilidad de otorgar acceso a su información financiera también permitirá utilizar eficazmente los servicios AISP (o account information service provider). En otras palabras, todas las aplicaciones que supervisan las actividades de cuenta corrientes para proporcionar informes periódicos sobre el desarrollo de las finanzas personales y los datos sobre los hábitos de gastos.

 

Pagos en línea más seguros

Las nuevas medidas de seguridad se refieren principalmente a la forma en la que se verifican las identidades de los clientes utilizadas para garantizar el acceso a los servicios bancarios en línea. La legislación introduce el concepto de “autenticación fuerte del cliente” y establece que la verificación de la identidad para autorizar una compra se basa en al menos dos de estos tres factores:

  • algo que el usuario sabe (contraseña o PIN),
  • algo que el usuario tiene (número de teléfono o token),
  • y un parámetro biométrico directamente atribuible a la persona, como la huella digital.

 

En este caso, el objetivo de la directiva es prevenir el fraude en los pagos en línea y hacer que las transacciones en formato digital, que ahora representan un volumen de negocio de más de 80.000 millones de euros al año, sean más transparentes.

 

Junto con la autenticación de dos factores, se ha introducido también la posibilidad de que los clientes de las entidades de crédito creen una lista de sus minoristas en línea favoritos para activar un modo de autenticación simplificado que evite tener que identificarse cada vez. Por conveniente que sea para los usuarios, esta opción representa una vulnerabilidad, especialmente en términos de privacidad, ya que fomenta un seguimiento aún más intenso de los consumidores y de su comportamiento al comprar en el comercio electrónico. Incluso los que hacen transacciones a través de PISP están expuestos al mismo riesgo: los PISP, de hecho, permiten hacer pagos a proveedores como Amazon sin introducir los detalles de su tarjeta de crédito, dejando que sea el vendedor el que acceda directamente a la cuenta del usuario para el pago. En el futuro, esta posibilidad también podría ser utilizada por gigantes digitales como Google y Facebook para cobrar sin necesitar ninguna tarjeta.

 

PSD2 y legislación RGPD sobre la protección de datos personales

El nuevo régimen de intercambio de información entre bancos y TPP debe tener en cuenta, por supuesto, la entrada en vigor de la legislación RGPD que otorga a todo ciudadano el derecho a ser informado sobre la forma en la que sus datos serán tratados y a controlar el acceso a los mismos. El problema, sin embargo, es que los nuevos servicios basados en la intermediación de empresas externas requieren que las entidades de crédito garanticen el acceso directo a los datos por parte de las empresas de intermediación, que debe ser capaz de verificar en tiempo real la información de pago de los usuarios.

 

El texto de la legislación todavía no aclara quién debe ser considerado responsable del tratamiento de los datos de los clientes si deciden utilizar los servicios de un proveedor externo: los bancos no pueden denegar el acceso a los datos requeridos por el proveedor para prestar los servicios suscritos por el cliente, pero al mismo tiempo no tienen manera de verificar o intervenir en las modalidades de gestión de los datos personales del cliente por las compañías de corretaje. Por lo tanto, queda por aclarar quién es responsable de los data breach (violación de datos) y cuáles son los riesgos reales para los usuarios cuando los datos son procesados por empresas que no están sujetas a las mismas regulaciones y controles que las instituciones bancarias.