PSD (per les seves sigles en anglès, Payment Services Directive) són les sigles per les quals es coneix col·loquialment la normativa europea sobre Serveis de Pagament. La denominada PSD2 (Directiva 2015/2366 sobre serveis de pagament al mercat interior) és la segona de les directives europees que ha vingut a substituir la primera directiva sobre aquesta matèria (PSD1) arran del fet que importants sectors del mercat de pagaments europeu, en particular els pagaments amb targeta, els pagaments per internet i els pagaments mòbils, segueixen estant fragmentats segons les fronteres nacionals. Molts productes o serveis de pagament innovadors sorgits en els últims anys no entraven, íntegrament o en gran part, en l’àmbit d’aplicació de la PSD1.
PSD2 ha estat traslladada a l’ordenament jurídic espanyol a través del Reial decret-llei 19/2018 de serveis de pagament i altres mesures urgents en matèria financera. Aquest reial decret-llei va entrar en vigor el 24 de novembre de 2018, excepte la part relativa a transparència i els drets i obligacions que van entrar en vigor el 24 de febrer de 2019, així com les mesures de seguretat, autenticació reforçada de clients i uns estàndards de comunicació oberts, comuns i segurs que entraran en vigor el 14 de setembre de 2019.
Però, què és exactament la PSD2?
És una norma que té com a objectiu principal establir un marc regulador en el mercat europeu dels serveis de pagament, fonamentalment en l’entorn digital, amb els propòsits bàsics següents:
- Facilitar i millorar la seguretat en l’ús de sistemes de pagament a través d’internet.
- Reforçar el nivell de protecció a l’usuari contra fraus i abusos potencials.
- Promoure la innovació en els serveis de pagament a través del mòbil i d’internet.
¿Com afecta els clients?
Millorant tant l’oferta de serveis com la seguretat i la protecció a l’usuari:
1. Nous serveis
Als serveis de pagament tradicionals (ingressos, reintegraments, domiciliacions, transferències, targetes, TPV i enviament de diners) se n’afegeixen dos de nous que requereixen l’accés als teus comptes de pagament per part d’un tercer proveïdor de serveis de pagament amb el teu consentiment previ. En aquest sentit, et recordem que les teves credencials d’identificació no s’han de comunicar a tercers. Aquests dos nous serveis són:
- Servei d’iniciació de pagaments. Amb aquest servei podràs iniciar un pagament directament des del teu compte a través d’un proveïdor de serveis de pagament (per exemple, un banc). Això sí, has de donar el teu consentiment expressament amb els mitjans online que es posin al teu abast.
- Serveis d’informació de comptes. Aquest servei és conegut com a agregació de comptes bancaris. Amb aquest servei podràs permetre que tercers proveïdors de serveis de pagament accedeixin a la informació dels comptes dels quals ets titular. Aquest servei és exclusivament online i perquè Unicaja Banco faciliti aquesta informació a un tercer has de prestar prèviament el teu consentiment exprés a través de l’esmentat tercer i el pots retirar igualment a través d’aquest. A més, des de la Banca Digital (UniVía) pots consultar quins tercers tenen la teva autorització d’accés a la informació dels teus comptes.
També es regula per la PSD2 un servei de confirmació de fons que permet que un proveïdor de serveis de pagament que emet una targeta consulti, amb el teu consentiment previ, al teu banc, proveïdor de serveis de pagament del compte associat a la targeta, si hi ha fons disponibles per atendre el pagament. Aquesta confirmació de fons consisteix en un “SÍ” o un “NO” a la quantitat consultada. Per tant, aquest servei es podria aplicar a la targeta de dèbit que tinguis contractada amb un proveïdor de serveis de pagament (per exemple, el Banc A) però que estigui domiciliada al compte d’un altre proveïdor de serveis de pagament diferent (per exemple, el Banc B). En cap cas es donaria informació concreta sobre l’import del teu saldo i únicament serà possible si el teu compte és accessible a través de la Banca Digital (UniVía).
El banc pot denegar aquest possible accés de tercers als teus comptes amb el teu consentiment per raons objectivament justificades i degudament documentades relacionades amb l’accés no autoritzat o fraudulent al compte de pagament per part del tercer proveïdor de serveis de pagament.
2. Seguretat i protecció a l’usuari.
- Amb l’objectiu de millorar la seguretat, s’exigeix, amb excepcions, una autenticació reforçada del client en l’accés online a comptes basada en la utilització de dos o més elements identificatius categoritzats que són independents —és a dir, que la vulneració d’un no compromet la fiabilitat dels altres—, i concebuda de manera que es protegeixi la confidencialitat de les dades d’autenticació.
- D’altra banda, es redueix de 150 a 50 euros les pèrdues màximes que un consumidor o microempresa han d’assumir en cas que es produeixi una operació de pagament no autoritzada com a conseqüència de la utilització d’un instrument de pagament extraviat, sostret o apropiat indegudament per un tercer.
- Es redueix el termini de resposta a les reclamacions sobre serveis de pagament a 15 dies i en situacions excepcionals fins a un màxim d’un mes.
- S’amplia la protecció prevista per als consumidors a les microempreses en relació amb la transparència de les condicions i requisits d’informació aplicables als serveis de pagament, resolució i modificació del contracte marc i els drets i obligacions en relació amb la prestació i ús de serveis de pagament. No obstant això, s’exceptua les microempreses de l’aplicació del dret a ordenar la devolució dels càrrecs domiciliats com a conseqüència d’una operació de pagament autoritzada iniciada per un beneficiari o a través d’aquest, durant un termini de vuit setmanes comptades a partir de la data de càrrec dels fons al seu compte.
- La normativa regula un dret irrenunciable per al consumidor o microempresa sobre la resolució del contracte en qualsevol moment i sense necessitat de cap mena de preavís amb efectes abans de transcorregudes 24 hores des de la recepció de la sol·licitud, tret que tingués serveis vinculats en vigor. La resolució és gratuïta tret que el contracte hagi estat en vigor menys de sis mesos. En aquest cas, el banc pot cobrar una comissió per aquesta resolució.
3. Requisits de seguretat més estrictes en els pagaments electrònics (autenticació reforçada del client)
La PSD2 ha fet de la seguretat en els pagaments electrònics un dels seus eixos vertebradors. La norma prescriu l’aplicació obligatòria de mesures i procediments de seguretat específics en les operacions de pagament electròniques, i especialment en les que tenen lloc a distància. Aquestes mesures i procediments s’articulen entorn del concepte d’“autenticació reforçada del client” (Strong Customer Authentication, “SCA”, per les seves sigles en anglès).
Pel que fa a la seguretat en les operacions de pagament, la PSD2 se centra especialment en les transaccions de caràcter remot realitzades a través d’internet. Aquesta èmfasi és una conseqüència directa del notable increment que aquestes transaccions, especialment les realitzades per dispositius mòbils, han experimentat en els últims anys, impulsades per l’auge del comerç electrònic.
El requisit de realitzar autenticació reforçada del client quan s’inicia una transacció de pagament electrònic consisteix en l’obligació dels proveïdors de serveis de pagament (PSP) que emeten instruments de pagament d’autenticar la identitat de l’ordenant, basant-se en l’ús de dos elements de seguretat independents (factors d’autenticació) cada vegada que aquest faci un pagament en un comerç físic o electrònic.
L’autenticació reforçada del client es basa en l’ús combinat de dos dels següents tipus de factors d’autenticació:
- Una cosa que només l’ordenant coneix (CONEIXEMENT); per exemple, una contrasenya.
- Una cosa que només l’ordenant posseeix (POSSESSIÓ); per exemple, un telèfon mòbil.
- Una cosa que l’ordenant és (INHERÈNCIA); per exemple, un tret biomètric com l’empremta digital, l’iris.
D’aquesta manera, el PSP emissor de l’instrument de pagament pot estar segur que l’ordenant és qui diu ser.
No obstant això, hi ha una sèrie d’exempcions i excepcions legals que permeten no haver de demanar els dos factors d’autenticació sempre, la qual cosa beneficia l’experiència de l’usuari sense que per això deixi de ser segur el pagament.
A més, el requisit d’SCA només s’aplica quan tant el PSP de l’ordenant com el PSP del comerç estan a l’Espai Econòmic Europeu (EEE), per la qual cosa els pagaments amb targetes emeses fora de l’EEE no estan sotmesos a SCA.
D’altra banda, es preveuen una sèrie de situacions en les quals es permet que els PSP emissors d’instruments de pagament no apliquin SCA, perquè es consideren de menys risc. Aquestes situacions són:
- Pagaments presencials amb targeta contactless per un import inferior a 20 €, fins a un màxim de 5 operacions o un import acumulat de 150 €.
- Pagaments a internet per un import inferior a 30 €, fins a un màxim de 5 operacions o un import acumulat de 100 €.
- Pagaments recurrents, per la mateixa quantia i al mateix comerç.
- Pagaments en terminals no ateses d’autopistes, peatges i pàrquings.
- Pagaments als comerços de confiança del titular, indicats com a tals a l’entitat emissora.
- Alguns pagaments corporatius.
- Pagaments en comerç electrònic amb baix risc de frau.
Els nous requisits d’SCA, lligats als supòsits d’exempcions i excepcions a la seva aplicació, suposen un canvi en la forma en què els usuaris de serveis de pagament duran a terme les compres.
No obstant això, cal destacar que, si bé l’autenticació reforçada de clients entrarà en vigor el 14 de setembre de 2019, hi ha una moratòria per a l’aplicació d’SCA en els pagaments per internet, així que de moment en aquest tipus d’operacions els usuaris de serveis de pagament no notaran canvis.
MÉS INFORMACIÓ: a les Preguntes Freqüents de la nostra web s’aclareixen situacions que es poden donar a causa d’aquesta nova regulació.
RECORDA:
- Has de prendre mesures raonables de custòdia i ús de les teves credencials de seguretat i targetes. Et recomanem que consultis les mesures de seguretat que t’aconsellem per a les teves targetes i la Banca Digital d’Unicaja Banco.
- En el moment de donar l’autorització a un tercer per consultar els teus comptes t’aconsellem llegir atentament totes les condicions i termes del servei, així com que siguis conscient que en permetre l’accés als teus moviments seràs tu qui deixa la responsabilitat de l’ús de les teves dades en mans d’aquest tercer.
Drets dels consumidors per realitzar pagaments a la Unió Europea.