PSD2 mejora la seguridad en los pagos electrónicos y la protección contra el fraude mediante autenticación reforzada (SCA).

¿En qué mejora la seguridad en los pagos electrónicos y la protección contra el fraude la PSD2?

La PSD2 (Payment Services Directive 2) es una directiva europea que tiene como objetivo mejorar la seguridad de los pagos electrónicos, adaptándose a los pagos móviles y online; así como reforzar la protección contra los fraudes en la validación de las operaciones bancarias realizadas con tarjeta, tanto en el comercio físico como en Internet.

A pesar de que la PSD2 data del año 2015, y previó su entrada en vigor el 12 de enero de 2016, los estados miembros de la Unión Europea tenían hasta el 13 de enero de 2018 para trasponerla.

Sin embargo, algunos estados miembros se retrasaron, como fue el caso de España, que traspuso la Directiva en noviembre de 2018.

Además, fue necesaria la definición de normas técnicas de regulación para la autenticación reforzada de clientes que concedió un plazo de adaptación hasta el 14 de abril de 2019.

PSD2 seguridad en los pagos electrónicos y protección contra el fraude

PSD2 seguridad en los pagos electrónicos y protección contra el fraude

A pesar de que en abril de 2019 ya debería haber estado implantada la autenticación reforzada, dada la complejidad de su implementación uniforme en todos los países de la Unión Europea, sobre todo para los comercios electrónicos, la Autoridad Bancaria Europea (ABE) concedió una moratoria hasta el 1 de enero de 2021.

Como consumidores, muchos no notaremos demasiados cambios porque la mayoría de las entidades bancarias se han ido adaptando en plazo. Sin embargo, todavía es el día de hoy que muchos comercios no tienen implantadas sus soluciones PSD2.

A partir del 1 de enero de 2021 los comercios que no cumplan con los requisitos de la PSD2 no podrán llevar a cabo transacciones, debiendo implantar medidas de verificación de la identidad del clientemediante sistemas autentificación reforzada de clientes (Strong Customer Authentication o SCA) para los pagos con tarjeta.

¿A quién afecta la PSD2?

La PSD2 afecta a las entidades bancarias; a los comercios físicos y online; a los consumidores y usuarios y, a dos nuevos actores regulados por la nueva normativa: los servicios de información sobre cuentas (AISP) y los servicios de inicio de pagos (PISP).

Los AISP son empresas que ofrecen un servicio de información sobre cuentas (Account Information Services Provider), como es el caso de los agregadores financieros, que nos permiten tener una visión global de las distintas cuentas que tenemos abiertas en varias entidades financieras desde una única plataforma.

Este tipo de plataformas son posibles debido al denominado Open Banking, que permite conectar las cuentas de otras entidades a las aplicaciones o webs de las entidades bancarias (Fintech) dándoles así acceso, con nuestro consentimiento, a los datos personales de los usuarios para que otras empresas puedan acceder a ellos en el cobro directo de las transacciones con tarjeta.

Es muy importante que seamos cautos y precavidos respecto de a quién autorizamos a acceder a nuestros datos financieros para servicios agregados, como es el caso del ejemplo; y revisar muy bien las cláusulas que aceptamos ya que, de lo contrario, podemos estar autorizando que utilicen nuestros datos personales para publicidad (ofrecernos sus productos en base a nuestra situación financiera) o para cederlos a terceros para segmentación de usuarios, toma de decisiones automatizadas, etc.

Por su parte, los PISP (Payment Initiation Services Provider) o servicios de inicio de pago, vienen a simplificar la operativa de los pagos ya que, ofrecen la tecnología necesaria para propiciar la comunicación directa entre el comercio y el banco (sin necesidad de la intervención de la entidad emisora de la tarjeta (VISA, Mastercard, etc) y de la pasarela de pagos) de tal manera que, siempre y cuando hayamos autorizado la operación de pago, el comercio solicita al banco que le transfiera directamente el importe de la operación.

¿En qué consiste la verificación de la identidad del titular de la tarjeta mediante sistemas de autenticación reforzada?.

Con la anterior regulación de servicios de pago de 2007 solo era necesario contar con el documento de identidad y la clave de acceso o PIN de la tarjeta.

Tras la entrada en vigor de la PSD2, y fruto de la enorme transformación digital que vivimos, nos hemos acostumbrado a introducir otros factores de autenticación para validar nuestra identidad en los pagos con tarjeta.

Bien introduciendo nuestra tarjeta o mediante contactless en el comercio físico, y los datos de nuestra tarjeta, fecha de caducidad y código CVV en el comercio online. Con ello, el comercio conecta con la pasarela de pagos de nuestra entidad financiera que nos solicita, bien el PIN en el comercio físico, o bien otro factor de autenticación, generalmente un código que recibimos por SMS en el móvil adscrito a la cuenta titular de la tarjeta para las compras online.

PSD2 seguridad en los pagos electrónicos y protección contra el fraude

PSD2 seguridad en los pagos electrónicos y protección contra el fraude

Con la PSD2 es necesario complementar esta medida con el fin de mejorar la seguridad de los pagos electrónicos, requiriéndose una autenticación reforzada, de dos o más factores de autenticación independientes, para poder autorizar una operación.

Es decir, además de los datos de la tarjeta y código recibido en el móvil por SMS, por ejemplo, otro código que puede ser el de acceso a nuestra cuenta de banca electrónica u otro código aleatorio de validación que nos proporcione la aplicación del banco.

Estos factores de autenticación deben combinar al menos dos elementos de las siguientes distintas categorías:

  • de algo que solo posee el comprador (por ejemplo, la posesión del teléfono móvil del comprador adscrito a la cuenta bancaria demostrado por la recepción de un SMS aleatorio y de un solo uso, también denominado OTP; o una aplicación del banco en el móvil adscrito al titular de la tarjeta específica para autorizar compras online);
  • de algo que es el comprador (como por ejemplo, la huella dactilar; su biometría facial para el acceso mediante reconocimiento facial; iris o retina; patrón de las venas; reconocimiento de voz; dinámica de pulsaciones de escritura, etc) , y
  • de algo que solo conoce el comprador (por ejemplo, una contraseña de acceso a la banca electrónica, un código pin, preguntas cuya respuesta solo sepa el comprador).

¿Qué ventajas ofrece la PSD2? Refuerzo de la confianza y seguridad en los pagos electrónicos.

Según el Barómetro de Mastercard del 3 de julio de 2020, durante el estado de alarma, el 67% de las compras se realizaron con tarjeta, solo un tercio de las compras se efectuaron con dinero en efectivo (33%), y más del 70% de la población utiliza los servicios de banca online y móvil.

La aplicación de la PSD2 supone:

  • una agilización de los pagos y un incremento de la tasa de conversión en el comercio online, debido a que el consumidor paga directamente a la tienda, abriendo los bancos sus servicios a terceras empresas que, con el consentimiento de los consumidores, tendrán acceso directo a la gestión de los pagos. Esta agilidad evita que el consumidor desista ante un tedioso sistema de pago, ante la caída de la red o la lentitud de algunos pasos en el intercambio con la pasarela de pagos.
  • La prohibición de que se cobren recargos por pagar con tarjeta, tanto en tiendas físicas como online.
  • El refuerzo de la seguridad para el cliente a quien se le reduce la responsabilidad en caso de robo o uso fraudulento de su tarjeta a la cantidad máxima de 50€ (frente a los 150€ previstos en la anterior directiva de servicios de pago).
  • El derecho al reembolso de operaciones de pago autorizadas, que no especifiquen en la autorización el importe de la operación o que dicho importe supere lo que podríamos esperar, teniendo en cuenta nuestra pauta de pagos.

¿En qué me afecta la PSD2? ¿Cómo sé lo que va a aplicar mi banco?

En primer lugar, se nos va a requerir introducir elementos adicionales de autenticación a los pagos.

Tanto como consumidor como titular de un comercio físico u online conviene que te informes con tu entidad bancaria emisora de tu sistema de pagos y tarjetas bancarias, sobre los cambios que van a operar en el proceso de pago.

Cada banco dispone de su estrategia PSD2 y de concretos elementos de autenticación, debiendo comunicar a sus clientes cómo va a afectar a la operativa de sus clientes la autenticación reforzada derivada de la PSD2.

Así, algunos bancos están requiriendo introducir la clave de acceso a la banca electrónica más un código recibido por SMS, combinado con la huella o reconocimiento facial. Otros, sin embargo, están sustituyendo el código recibido por SMS por la validación a través de la aplicación móvil del banco, con el objetivo de eliminar las validaciones por SMS ante la proliferación de ataques de smishing (introducción de malware a través de SMS fraudulentos).

Si bien es cierto que la obtención de códigos de validación a través del SMS es menos seguro que a través de una aplicación móvil del banco, esta última opción de validación mediante autenticación reforzada suma inconvenientes tales como:

Que la brecha digital actual todavía nos implica pensar en personas mayores que o no disponen de Smartphone, o no disponen de espacio suficiente como para descargar una aplicación que deba estar actualizada siempre a su última versión o de personas que no disponen de datos móviles que les permita la conexión a Internet cada vez que se requiera realizar una operación.

¿Siempre tengo que introducir tantas cosas para validar cada operación?

Las normas técnicas de regulación para la autenticación reforzada de clientes de 2018 han establecido algunas excepciones a la autenticación reforzada del cliente, como por ejemplo:

  • para el acceso online a una cuenta corriente para consultar el saldo y movimientos bancarios de los últimos 90 días.
  • para efectuar pagos electrónicos de hasta 30 € o de 50 € en el caso de tratarse de pagos contactless, siempre que no se haya acumulado cargos por pagos electrónicos sin autenticación reforzada de más de 100 €, o 150 € en el caso de pagos contactless, desde la última vez que se solicitó la autenticación reforzada o no se hayan hecho más de cinco operaciones seguidas.
  • para efectuar pagos en terminales no atendidos para pago de metro tranvía, autobús, peajes o aparcamientos.
  • para realizar operaciones recurrentes con el mismo importe y el mismo beneficiario, como es el caso de las suscripciones.
  • para efectuar pagos a beneficiarios incluidos por el usuario en una lista de confianza.
  • para realizar traspaso entre cuentas del mismo titular en la misma entidad bancaria.
  • para los pagos electrónicos empresariales realizados a través de protocolos de pago corporativos seguros.
  • y para operaciones de pago electrónico remotas con bajo nivel de riesgo.

¿Qué hago si tengo que poner alguna reclamación a mi banco?

La PSD2 establece que el consumidor puede interponer sus reclamaciones ante el servicio de atención al cliente de los proveedores de servicios de pago, quienes tienen la obligación de resolverlas en un plazo máximo de 15 días hábiles.

Entonces… ¿con la PSD2 todos los pagos electrónicos van a ser 100% seguro?

Nada nunca es 100% seguro.

Aun cuando la PSD2 mejora la seguridad en los pagos electrónicos y la protección contra el fraude mediante autenticación reforzada (SCA), los cibercriminales también llevan años trabajando en cómo atacarlos o en cómo suplantar a los comercios y entidades financieras.

Por dicha razón, es conveniente que tengas en cuenta algunos consejos básicos de seguridad en los pagos electrónicos:

  • Si tu banco te requiere su aplicación móvil para validar tus compras, comprueba que la aplicación en la que introduces tus claves o datos es realmente la oficial.

Para ello, es recomendable descargarla siempre de las tiendas de aplicaciones oficiales de aplicaciones móviles.

Es decir, nunca descargues aplicaciones que te sugieren por SMS, correo electrónico, ni en post o en tus resultados de búsquedas online, ya que te podrían estar redireccionando a una web fraudulenta suplantada en la que acabarás introduciendo información financiera que facilite a los ciberdelincuentes acceder a tu dinero.

  • Recuerda que los bancos saben que por teléfono, correo electrónico y por SMS les están intentando suplantar para robar tu información personal y financiera.

Precisamente por eso, nunca te pedirán por teléfono, correo electrónico o SMS que introduzcas datos personales o códigos de acceso recibidos por SMS.

  • No compartas con nadie tus claves de acceso a banca electrónica, ni a tu móvil, ni tus tarjetas.
  • No realices transacciones online mediante la introducción de tus datos personales y otros factores de autenticación cuando estés conectado a una wifi pública.

Las wifi públicas no suelen estar bien securizadas y es muy fácil para un ciberatacante observar el tráfico de las operaciones realizadas por dicha red, pudiendo capturar tu información.

  • No des acceso a tu móvil a nadie.
  • A la mínima duda, contacta con tu banco.