¿Qué Puedo Encontrar Aquí?
Septiembre entra fuerte con cambios en materia legal referente a los pagos a los que no todas las tiendas online se han ido ajustando. Hablamos de la PSD2 o, siglas al margen, nueva directiva europea de pagos digitales.
Si todos los aspectos legales te preocupan pero aún no tienes muy claro en qué consiste esta normativa, no te preocupes porque a continuación le damos un repaso de última hora para que te quede claro.
Además, te contamos las últimas novedades que se han dado al respecto porque todo hace pensar que tendremos una moratoria de al menos 14 meses en su aplicación.
¿Qué es la PSD2?
Como acabamos de apuntar en la introducción, se trata de un nuevo marco legal comunitario que regula los pagos digitales.
En realidad es la evolución de una directiva previa que se aprobó en 2007 (de ahí el que lleve un 2 en su nombre). La intención de la Unión Europea era desde un principio el propiciar un mercado único de pagos, lo que ocurre es que entre 2007 y 2015, el cambio de paradigma digital y el crecimiento exponencial del eCommerce, requirieron de una actualización importante que se ajustase a la nueva realidad.
Así es como nace la directiva PSD2 (Payment Services Directive 2), con la intención de regular todos los servicios de pago y a los proveedores de los mismos que actúen en el marco de la Unión Europea. De este modo, se persigue lograr una mayor innovación, eficiencia y seguridad en los pagos realizados.
¿Qué va a cambiar con esta nueva normativa de cara al eCommerce?
La prioridad es homogeneizar la forma de pagar, independientemente de en qué estado del Área Económica Europea se produzca y, esto es lo más importante en cuanto a comercio electrónico, el canal o dispositivo utilizado.
Es decir: en gran medida, todo este cambio legal tiene el foco puesto en los pagos dentro de Internet y los que se produzcan utilizando dispositivos móviles
Aunque no se ha hablado tanto del asunto, lo cierto es que supone un cambio muy importante especialmente en el medio y el largo plazo. Es cierto que el cliente no va a apreciar tanto esta pequeña revolución, pero los eCommerce y especialmente los bancos han tenido que actualizarse.
Los bancos y la PSD2
Con esta nueva regulación financiera, las entidades bancarias se ven obligadas a poner los medios técnicos en forma de software para poder compartir la información y datos de pago del cliente con terceros.
En el caso del comercio electrónico, la forma más lógica es que nuestro banco nos ofrezca una API con la que acceder de manera directa y que esté preparada para iniciar el pago.
Como puedes imaginar todo esto tiene muchos condicionantes técnicos pero: ¿qué ocurre con la seguridad? Evidentemente esta es la otra gran variable de la nueva norma de pagos digitales europea.
El reto es conseguir esa compartición de los datos de pago sin comprometer la seguridad de los mismos ni propiciar el fraude. Para controlar quién, cuándo y cómo accede a esa información del usuario, entran en vigor determinados protocolos llamados SCA (Strong Customer Authentication) de autenticación reforzada del cliente.
Los proveedores de pagos deberán controlar la legitimidad de cada operación custodiando los datos tal y como hacen hasta ahora. También deberán ser capaces de identificar patrones fraudulentos como el uso anormal de un determinado dispositivo, importes excesivos, cantidad de operaciones demasiado elevadas, signos de intentos de hackeo o robo de credenciales… pero, además, tendrán que aplicar determinados mecanismos de supervisión SCA.
Los clientes y la PSD2
Precisamente el sistema de autenticación es lo que va a tener una mayor incidencia en la experiencia del usuario. En realidad podríamos decir que es lo único a simple vista.
Los mecanismos SCA de los que hablábamos consisten básicamente en tres alternativas de las que deben aplicarse dos a la discreción del gestor de los pagos. Esos mecanismos son:
- Autenticación vía código.
- Vinculación dinámica.
- Elementos vinculados al conocimiento o la pertenencia del usuario.
El proceso, como decimos, empieza en el momento en que se solicita al usuario que se identifique para cerrar el pago. Es en ese instante cuando entra en juego el SCA y dos de los tres mecanismos que vendrán definidos por la propia plataforma utilizada.
En primer lugar se solicita al usuario un elemento de seguridad que solo él pueda conocer. Lo más habitual es pensar en códigos PIN o contraseñas.
En segundo lugar se puede optar por pedirle al usuario que utilice un elemento físico que esté en su poder. La ley no especifica cuál, pero cabe pensar que lo más lógico sea usar un smartphone o un dispositivo similar como un reloj inteligente.
Para terminar existe la opción, cada vez más interesante, de solicitar al usuario que aporte como prueba de identidad algo que resulte inherente a él mismo. El mejor ejemplo es un rasgo biométrico como la huella dactilar o el reconocimiento facial. Esto de algún modo nos lleva de nuevo al smartphone, al fin y al cabo es lo más extendido.
Una vez que el usuario se ha identificado en primera instancia, tendremos que utilizar un código de seguridad. Nos referimos a la emisión de una clave aleatoria generada ex profeso para esa operación y que sólo se podrá utilizar en una ocasión. Lo más habitual es que ese tipo de códigos se hagan llegar al cliente a través de mensajes como los SMS.
Para garantizar que esos códigos sean seguros, la PSD2 especifica que deben ser imposibles de replicar utilizando un patrón lógico a partir de un mensaje anterior, imposibles de falsificar y no permitir que un usuario introduzca incorrectamente el código más de 5 veces ni que, una vez validado, el usuario permanezca inactivo más de 5 minutos. Además, la vinculación dinámica exige que el código esté asociado a los datos de la operación como pueden ser el importe o el beneficiario.
Los eCommerce y la PSD2
Hemos hablado de los proveedores de pagos y de los clientes, pero técnicamente ¿en qué afecta a las tiendas online la directiva de servicios de pago?
Aunque es el banco el que debe estar actualizado y ser capaz de gestionar los cobros con ajuste al nuevo marco legal, nosotros como empresas tenemos que recoger más datos del cliente y gestionarlos de acuerdo a las normativas de protección de datos como la RGPD también promulgada por la propia Unión Europea.
Además, a efectos puramente de experiencia de usuario, nos encontramos ante la necesidad de ser didácticos y explicar al cliente las nuevas operaciones. Por ejemplo, por qué ha cambiado el modo en el que se realizan los pagos, guiarle por el proceso y hacerle ver que esto es una ventaja para él que podrá operar con una mayor seguridad y contará con nuevos derechos como la prohibición expresa de realizar cargos adicionales a la tarjeta del usuario o la rebaja en la responsabilidad ante el fraude que pasa de 150€ a solo 50€.
Seguramente veamos cómo hay una cierta incidencia en la conversión, al menos hasta que el cliente se acostumbre a la nueva forma de operar, pero a medida que se normalice, se entenderá que esta medida es positiva en el medio y largo plazo.
Al fin y al cabo no es muy diferente de lo que ocurre en comercios físicos cuando pasamos la tarjeta e introducimos el pin, de algún modo estamos utilizando dos métodos de autenticación: uno que nos pertenece (tarjeta o móvil) y otro que conocemos (código pin o rasgo biométrico si pagamos utilizando un dispositivo móvil).
Cuándo se aplica la PSD2
Al igual que ocurre con toda ley, existen una serie de supuestos en los que se aplica y también se especifican exenciones.
Por defecto se aplicará la SCA en todas las compras que superen los 50€ de importe (30€ en compras online) aunque queda a la interpretación de los implicados hacerlo en cantidades inferiores, pero no están obligados por ley. Ya que la directiva no lo impone, parece lógico no obligar a pasar por el proceso al cliente, ya que a más pasos, más fácil es que se frustre y perdamos la conversión.
El artículo 97 de la PSD2 detalla que, además de la norma de los 50€, la ley aplicará a los siguientes supuestos:
- Cuando el usuario se logue en su cuenta de pago.
- En el momento en que dé inicio una transacción online.
- Cuando se haga un pago por cualquier canal remoto susceptible de ser víctima potencial de fraude.
Como exenciones podemos destacar la no obligatoriedad en el caso de compras electrónicas que no excedan los 50€ siempre y cuando no se hayan producido más de 5 compras ni el importe acumulado de todas las operaciones exceda los 150€. Estas cantidades, en el caso de las compras online, pasan a ser de 30€ para las compras individuales y 100€ para el importe agregado.
Tampoco se aplica en el caso de los pagos a beneficiarios de confianza o en operaciones recurrentes (a partir de la primera vez, evidentemente). Existe un supuesto más que queda a la discreción del encargado de procesar el cobro, son las operaciones que la ley describe como de «riesgo bajo».
¿Cuándo entra en vigor la PSD2?
La fecha oficial es el 14 de septiembre de 2019 y está fijada desde hace mucho tiempo, concretamente desde el mes de noviembre de 2018 cuando la directiva fue traspuesta.
Aún así, visto el lentísimo ritmo de adecuación por parte de los comercios y aunque en un principio no estaba prevista, según las últimas informaciones todo hace indicar que se producirá una moratoria de la que seremos oficialmente informados esta misma semana por parte de la CNP (organismo responsable de la aplicación de la ley).
Otros países de nuestro entorno como Francia o Reino unido ya han comunicado que no aplicarán la obligatoriedad de la nueva norma el 14 de septiembre como estaba previsto, en ambos casos plantean una moratoria que suspenda la norma durante 18 meses así que, previsiblemente, España planteará una hoja de ruta similar (14 meses más un periodo de gracia o amortización flexible) con lo que nos iríamos al 14 de marzo de 2021.
¿Por qué este retraso? Parece que las autoridades europeas habían sido demasiado optimistas con respecto a lo que supone adaptarse a un cambio de esta magnitud para la mayor parte de las PYMES. No han sabido valorar lo complejo que puede llegar a resultar adaptarse tecnológicamente y legalmente a un nuevo marco cuando, muchas empresas, aún no se han recuperado de los estragos que hizo la ley europea de protección de datos de reciente aplicación.
Pero claro, si a esto le sumamos una deficiente comunicación que ha llevado a muchas empresas a conocer la ley casi sin margen de aplicación, los aspectos referentes a la seguridad y la falta de personal capacitado… lo más prudente parece establecer esa moratoria y empezar con buen pie. Aún así, para muchos sigue pareciendo un plazo algo corto: existen informes que dicen que en enero del año pasado solo un 5% de los bancos estaban preparados.
De todos modos tampoco hay que ser alarmistas, principalmente porque es una situación que escapa al control de la mayoría de los comercios pequeños y medianos. Lo único de lo que debemos preocuparnos es por saber que nuestro banco o pasarela de pago está actualizada y es capaz de cumplir con la ley. Dicho de otro modo: la adecuación a la PSD2 por parte de los eCommerce pasa, en el peor de los casos, por cambiar de proveedor de pagos.
Y tú ¿ya estás listo para la aplicación de la nueva directiva europea o no te vas a preocupar hasta que tengamos una fecha definitiva? Cuéntanos tu punto de vista en los comentarios y en nuestras redes sociales de Twitter y Facebook.