PSD (por sus siglas en inglés, Payment Services Directive) son las siglas por las que se conoce coloquialmente a la normativa europea sobre Servicios de Pago. La denominada PSD2 (Directiva 2015/2366 sobre servicios de pago en el mercado interior), es la segunda de las directivas europeas que ha venido a sustituir a la primera directiva sobre esta materia (PSD1) a raíz de que importantes sectores del mercado de pagos europeo, en particular los pagos con tarjeta, los pagos por internet y los pagos móviles, siguen estando fragmentados según las fronteras nacionales. Muchos productos o servicios de pago innovadores surgidos en los últimos años no entraban, en su totalidad o en gran parte, en el ámbito de aplicación de la PSD1.
PSD2 ha sido transpuesta al ordenamiento jurídico español a través del Real Decreto-ley 19/2018 de servicios de pago y otras medidas urgentes en materia financiera. Este Real Decreto-ley entró en vigor el 24 de noviembre de 2018, salvo la parte relativa a transparencia y los derechos y obligaciones que entraron en vigor el 24 de febrero de 2019, así como las medidas de seguridad autenticación reforzada de clientes y unos estándares de comunicación abiertos, comunes y seguros que entrarán en vigor el 14 de septiembre de 2019.
Pero, ¿qué es exactamente PSD2?
Es una norma cuyo principal objetivo es establecer un marco regulatorio en el mercado europeo de los servicios de pago, fundamentalmente en el entorno digital, teniendo como principales objetivos:
- Facilitar y mejorar la seguridad en el uso de sistemas de pago a través de internet.
- Reforzar el nivel de protección al usuario contra fraudes y abusos potenciales.
- Promover la innovación en los servicios de pago a través del móvil y de internet.
¿Cómo afecta a los clientes?
Mejorando tanto la oferta de servicios como la seguridad y protección al usuario:
1. Nuevos servicios
A los servicios de pago tradicionales (ingresos, reintegros, domiciliaciones, transferencias, tarjetas, TPV y envío de dinero) se añaden dos nuevos servicios que requieren del acceso a tus cuentas de pago por parte de un tercero proveedor de servicios de pago con tu consentimiento previo. En este sentido, te recordamos que tus credenciales de identificación no se deben comunicar a terceros. Estos dos nuevos servicios son:
- Servicio de iniciación de pagos. Con este servicio podrás iniciar un pago directamente desde tu cuenta a través de un proveedor de servicios de pago (por ejemplo un Banco). Eso sí, deberás dar tu consentimiento expresamente con los medios online que se pondrán a tu alcance.
- Servicios de información de cuentas. Este servicio es conocido como agregación de cuentas bancarias. Con este servicio podrás permitir que terceros proveedores de servicios de pago accedan a la información de las cuentas de las que eres titular. Este servicio es exclusivamente online y para que Unicaja Banco facilite esa información a un tercero deberás prestar previamente tu consentimiento expreso a través de dicho tercero y podrás igualmente retirarlo a través del mismo. Además, desde la Banca Digital (UniVía), podrás consultar qué terceros tienen tu autorización de acceso a la información de tus cuentas.
También se regula por PSD2 un servicio de confirmación de fondos que permite que un proveedor de servicios de pago que emite una tarjeta consulte, con tu consentimiento previo, a tu banco, proveedor de servicios de pago de la cuenta asociada a la tarjeta, si hay fondos disponibles para atender el pago. Esta confirmación de fondos consistirá en un “SÍ” o un “NO” a la cantidad consultada. Por tanto, este servicio podría aplicarse a la tarjeta de débito que tengas contratada con un proveedor de servicios de pago (por ejemplo el Banco A) pero que esté domiciliada en la cuenta de otro proveedor de servicios de pago diferente (por ejemplo el Banco B). En ningún caso se daría información concreta sobre el importe de tu saldo y solamente será posible si tu cuenta es accesible a través de la Banca Digital (UniVía).
Este posible acceso de terceros a tus cuentas con tu consentimiento podrá ser denegado por el banco por razones objetivamente justificadas y debidamente documentadas relacionadas con el acceso no autorizado o fraudulento a la cuenta de pago por parte del tercero proveedor de servicios de pago.
2. Seguridad y protección al usuario.
- Con el objetivo de mejorar la seguridad, se exigirá, con excepciones, una autenticación reforzada del cliente en el acceso online a cuentas basada en la utilización de dos o más elementos identificativos categorizados que son independientes —es decir, que la vulneración de uno no compromete la fiabilidad de los demás—, y concebida de manera que se proteja la confidencialidad de los datos de autenticación.
- Por otro lado, se reduce de 150 a 50 euros las pérdidas máximas que un consumidor o microempresa deberán asumir en el caso de que se produzca una operación de pago no autorizada como consecuencia de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero.
- Se reduce el plazo de respuesta a las reclamaciones sobre servicios de pago a 15 días y en situaciones excepcionales hasta un máximo de un mes.
- Se amplía la protección prevista para los consumidores a las microempresas en relación con la transparencia de las condiciones y requisitos de información aplicables a los servicios de pago, resolución y modificación del contrato marco y los derechos y obligaciones en relación con la prestación y utilización de servicios de pago. No obstante, se excepciona a las microempresas de la aplicación del derecho a ordenar la devolución de los adeudos domiciliados como consecuencia de una operación de pago autorizada iniciada por un beneficiario o a través del mismo, durante un plazo de ocho semanas contadas a partir de la fecha de adeudo de los fondos en su cuenta.
- La normativa regula un derecho irrenunciable para el consumidor o microempresa sobre la resolución del contrato en cualquier momento y sin necesidad de preaviso alguno con efectos antes de transcurridas 24 horas desde la recepción de la solicitud, salvo que tuviera servicios vinculados en vigor. La resolución será gratuita a menos que el contrato hubiera estado en vigor menos de seis meses en cuyo caso el banco podrá cobrar una comisión por dicha resolución.
3. Requisitos de seguridad más estrictos en los pagos electrónicos (autenticación reforzada del cliente)
La PSD2 ha hecho de la seguridad en los pagos electrónicos uno de sus ejes vertebradores. La norma prescribe la aplicación obligatoria de medidas y procedimientos de seguridad específicos en las operaciones de pago electrónicas, y en especial, en las que tienen lugar a distancia. Estas medidas y procedimientos se articulan en torno al concepto de "autenticación reforzada del cliente" (Strong Customer Authentication "SCA", por sus siglas en inglés).
En lo relativo a la seguridad en las operaciones de pago, la PSD2 se centra especialmente en las transacciones de carácter remoto realizadas a través de Internet. Este énfasis es una consecuencia directa del notable incremento que dichas transacciones, especialmente las realizadas por dispositivos móviles, han experimentado en los últimos años, impulsadas por el auge del comercio electrónico.
El requisito de realizar autenticación reforzada del cliente cuando se inicia una transacción de pago electrónico, consiste en la obligación de los proveedores de servicios de pago (PSPs) que emiten instrumentos de pago, de autenticar la identidad del ordenante, basándose en el uso de dos elementos de seguridad independientes (factores de autenticación) cada vez que éste realice un pago en un comercio físico o electrónico.
La autenticación reforzada del cliente se basa en el uso combinado de dos de los siguientes tipos de factores de autenticación:
- Algo que solamente el ordenante conoce (CONOCIMIENTO); por ejemplo, una contraseña.
- Algo que solamente el ordenante posee (POSESIÓN); por ejemplo, una tarjeta, un teléfono móvil.
- Algo que el ordenante es (INHERENCIA); por ejemplo, un rasgo biométrico como la huella digital, el iris.
De esta manera, el PSP emisor del instrumento de pago puede estar seguro de que el ordenante es quien dice ser.
No obstante lo anterior, existen una serie de exenciones y excepciones legales que permiten no tener que pedir los dos factores de autenticación siempre, lo que beneficia la experiencia del usuario sin que por ello deje de ser seguro el pago.
Además, el requisito de SCA solo aplica cuando tanto el PSP del ordenante, como el PSP del comercio están en el Espacio Económico Europeo (EEE) por lo que los pagos con tarjetas emitidas fuera del EEE no están sometidos a SCA.
Por otro lado, se prevén una serie de situaciones en las cuales se permite que los PSPs emisores de instrumentos de pago no apliquen SCA, por considerarse de menor riesgo. Estas situaciones son:
- Pagos presenciales con tarjeta contactless por un importe inferior a 20€, hasta un máximo de 5 operaciones o un importe acumulado de 150€.
- Pagos en internet por un importe inferior a 30€, hasta un máximo de 5 operaciones o un importe acumulado de 100€.
- Pagos recurrentes, por la misma cuantía y al mismo comercio.
- Pagos en terminales no atendidos de autopistas, peajes y parkings.
- Pagos a los comercios de confianza del titular, indicados como tales a la entidad Emisora.
- Algunos pagos corporativos.
- Pagos en comercio electrónico con bajo riesgo de fraude.
Los nuevos requisitos de SCA, ligados a los supuestos de exenciones y excepciones a su aplicación, suponen un cambio en la forma en que los usuarios de servicios de pago van a realizan sus compras.
No obstante lo anterior, cabe destacar, que si bien la autenticación reforzada de clientes entrará en vigor el 14 de septiembre de 2019, existe una moratoria para la aplicación de SCA en los pagos por internet, por lo que de momento en este tipo de operaciones los usuarios de servicios de pago no notarán cambios.
MÁS INFORMACIÓN: en las Preguntas Frecuentes de nuestra web se aclaran situaciones que se pueden dar debido a esta nueva regulación.
RECUERDA:
- Debes tomar medidas razonables de custodia y uso de tus credenciales de seguridad y tarjetas. Te recomendamos consultar las medidas de seguridad que te aconsejamos para tus tarjetas y la Banca Digital de Unicaja Banco.
- En el momento de dar la autorización a un tercero para consultar tus cuentas te aconsejamos leer atentamente todas las condiciones y términos del servicio, así como que seas consciente de que al permitir el acceso a tus movimientos serás tú el que deja la responsabilidad del uso de tus datos en manos de ese tercero.
Derechos de los consumidores para realizar pagos en la Unión Europea.