La digitalización ha traído muchas cosas buenas para el cliente de banca. Pero también ha aparecido un nuevo tipo de proveedores de servicios que muchos usuarios no saben que existen e incluso, qué función exacta cumplen. Estas entidades, que están legitimadas por la segunda Directiva de Servicios de Pago del Parlamento Europeo y del Consejo, más conocida como PSD2, tienen la posibilidad de establecer una relación directa con los clientes. Pueden realizar transacciones en su nombre y acceder a la información de las mismas.
En este artículo, aclararemos para tu información quiénes son estos nuevos agentes, qué función cumplen de cara al usuario de banca electrónica, así como la regulación que les afecta.
Pero sobre todo, incidiremos en los términos relacionados con esta regulación, su significado y las implicaciones para el cliente. Desde la definición de SCA (Autenticación reforzada), al SFA (Autenticación de un solo factor) pasando por la AMC (Autenticación de múltiples factores) y el 2FA (Autenticación de doble factor). Consulta nuestro glosario para conocer a fondo la nueva directiva.
¿Qué es la PSD2?
Hacer la vida del usuario de banca electrónica más fácil es el principal reto de la digitalización de la banca. Al mismo tiempo, para maximizar su rentabilidad y afrontar los bajos tipos de interés, el sector se ha tenido que reinventar, esforzándose por encontrar la fórmula que le permita seguir siendo competitiva.
En este contexto, han surgido nuevos competidores procedentes de otras industrias, las denominadas “empresas fintech”, entre las que se encuentran proveedores de todo tipo de servicios, como las tarjetas sin contacto, el pago móvil, los pagos inmediatos y otros muchos servicios que trabajan para mejorar los procesos en colaboración con las entidades.
Como es lógico, en este contexto se ha hecho necesaria una revisión de la normativa que regula los servicios de pago en Europa, la segunda Directiva de Servicios de Pago.
Esta directiva europea es una norma compleja que pretende reflejar la realidad de los servicios de pago para proteger al usuario como se merece. Además, pretende hacer especial hincapié en aquella actividad por la que los usuarios autorizan a otros actores a acceder a las cuentas que tienen con otras entidades diferentes.
Glosario de términos PSD2
Como complemento a las principales novedades que introduce la nueva regulación queremos ayudarte con los términos más comunes relacionados.
A la hora de hablar de autenticación de usuarios, nos encontraremos con los siguientes términos.
SCA
La SCA (Strong Customer Authentication) o Autenticación Reforzada tiene mucho que ver con el término del glosario PSD2 que acabamos de definir.
Su misión es proteger los servicios de pago online y evitar los fraudes más comunes en este entorno como es el robo de contraseñas o las transferencias no autorizadas.
Además del pago online también protege a los comercios a pie de calle donde los pagos contactless o con smartcard están a la orden del día.
Como hemos comentado, la SCA requiere una capa extra que protege los pagos mediante una identificación del usuario más completa, con un smartphone, una contraseña o una medida biométrica como la huella dactilar o el escáner de retina.
Se prevé además el uso de códigos de un solo uso para evitar que se realice más de una operación. Estos códigos, además, deberán cumplir una serie de medidas que protegen a su dueño como, por ejemplo, la imposibilidad de extraer información a partir de dichos códigos, la imposibilidad de crear nuevos códigos a partir de uno previo y que sea imposible de falsificar.
Todo ello en aras de proteger tanto las operaciones como a los usuarios, en la línea del espíritu del reglamento, como te venimos aclarando en este artículo.
SFA
La autenticación de un solo factor (SFA) es el método que se ha utilizado siempre. Se realiza a través de un solo dato, normalmente una clave, siendo mucho menos seguro que cualquier otro tipo de autenticación actual.
AMF
Teniendo en cuenta que la Autenticación de un solo factor (SFA) no es totalmente segura y que cada vez son más los ataques informáticos con los que buscan obtener nuestros datos, la necesidad de un nuevo sistema hizo que se apostase por los múltiples factores (AMF). Se trata de un sistema de control de acceso que solicitará al menos dos pruebas para confirmar la identidad del usuario. Además de la contraseña, puede solicitar una clave temporal, un certificado digital, reconocimiento facial, iris, códigos de seguridad. De hecho, esta autenticación es una de las claves de la normativa PSD2 de la que hablamos anteriormente.
A2F
Este método de autenticación combina dos factores (A2F) que puede ser desde el conocimiento (algo que sabes como una contraseña, un código), algo que tienes (una tarjeta) o algo que eres (biometría, huella, iris).
Además, los bancos tendrán que acostumbrarse a términos sobre la información de cuentas como los siguientes:
AIS
El término AIS se refiere a Servicios de Información de Cuentas (Account Information Services). Este servicio obliga a los bancos a permitir que un tercero tenga acceso a la información de las cuentas del interesado, previa autorización.
Imagina por ejemplo aquellas aplicaciones que, sin infraestructura, pueden gestionar los pagos de sus clientes con tarifas más beneficiosas que las entidades.
Estos servicios permiten la aparición de nuevos modelos de negocio, como por ejemplo, los Proveedores de Servicios de Pago de Servicio de Cuentas.
La normativa PSD2 garantiza que todos los agentes, tanto los nuevos actores, como los bancos, sigan las mismas reglas del juego.
AISP
Los Proveedores de Servicios de Información de Cuenta o AISP (Account Information Service Provider) ofrecen información financiera al cliente de uno o varios bancos.
Estos que, como hemos visto, están obligados a proporcionarles la información, pueden presentársela al cliente de forma conjunta y más atractiva.
Ejemplo de esta figura contemplada en la regulación PSD2 son aquellas aplicaciones que sirven para organizar tus gastos, muy comunes en los últimos tiempos.
Utilizan como reclamo una mejor presentación de la información financiera, organizada de forma que el consumidor pueda controlar lo que gasta.
A cambio de conectar tus cuentas y permitir el acceso a las mismas, este tipo de aplicaciones recaba información y ofrece nuevos servicios, como financiación de compras, créditos, pagos a plazos, etc.
API
API son las siglas Application Programming Interface. Aunque no las veamos, están por todas partes y sirven para conectar unas aplicaciones con otras e intercambiar información.
Por ejemplo, cuando compramos una entrada de cine e introducimos los datos de nuestra tarjeta, es una API la que se encarga de conectar con el banco, comprobar si hay fondos y volver a conectarse con la web que emite las entradas.
Las APIs son necesarias para que servicios los AISP puedan realizar su función, ya que se tienen que conectar con las entidades para conseguir la información financiera que quieren presentar al cliente final.
Existen, además, varios términos aplicados para las empresas que inicien el pago, así como para la experiencia de compra. Agrupados serían los siguientes:
ASPSP
ASPSP significa Proveedor de Servicios de Pago de Servicio de Cuentas (Account Servicing Payment Service Provider).
Aunque para los clientes la experiencia de compra sigue siendo exactamente la misma, la normativa PSD2 supone la desaparición de algunos de los participantes tradicionales.
Pero para las empresas que inicien el pago, las conocidas como PISP, la relación sí que cambia.
En lugar de interactuar con los adquirentes mercantiles, ahora lo hacen directamente con los bancos, es decir, con los proveedores de servicios de pago.
Estos proveedores, o sea, los bancos, son los que albergan las cuentas en las que se cargan los pagos, donde realmente está el dinero y en los que los comercios están obligados a tener una ficha bancaria.
El mercado queda así dividido en dos frentes; por un lado los proveedores de servicios de pago que serían los que proporcionan productos y los que los distribuyen (AISP y PISP).
PIS
Payment Initiation Service (PIS) o servicio de iniciador de pagos es el mecanismo que permite que se inicien pagos desde dispositivos móviles. Este sistema sustituye así a la tarjeta de crédito convencional.
PISP
Los proveedores de servicios de pago o Payment Initiation Service Provider (PISP) son aquellas aplicaciones y empresas que proporcionan los servicios anteriormente mencionados y que sirven como sustituto del llamado “plástico”.
Entre sus ventajas se encuentra que permiten pagos recurrentes, como una especie de “domiciliación” de compras habituales del cliente.
Además, los PISP permiten a los usuarios un gran ahorro en comisiones, el almacenamiento de los datos (facilitando nuevas operaciones) y otorgan independencia de la entidad bancaria.
PSD1
PSD1 es la Directiva 2007/64/CE del Parlamento Europeo y del Consejo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior.
Modifica las directivas 97/7/CE, 2002/65/CE, 2005/60/CE y 2006/48/CE y deroga la Directiva 97/5/CE.
PSD2
Como hemos mencionado, PSD2 es la nueva directiva que sustituye a la PSD1.
Su nombre completo es Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior.
Modifica las directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010, y deroga la Directiva 2007/64/CE.
PSP
Los Proveedores de Servicios de Pago o Payment Service Provider (PSP) son intermediarios de servicios financieros, como por ejemplo PayPal, Visa o Mastercard.
Entre las ventajas más destacadas para los comercios que quieren operar online se encuentra la de que solo deben negociar con un proveedor, en este caso un PSP.
Es común entre los PSP que, además de facilitar las operaciones con entidades bancarias, ofrezcan otros servicios como, por ejemplo, la gestión de riesgos. En este sentido facilitan mucho la labor de los que quieren operar online.
Es importante señalar que los PSP suelen alquilar la tecnología, como en el caso de Visa y su datáfonos. Debido a su carácter de mero intermediario, el PSP no suele hacerse cargo de aspectos como la seguridad, que depende del comerciante.
RTS
RTS significa Regulatory Technical Standards o Estándares Técnicos de Regulación.
Los proveedores de servicios de pago deben tenerlos en cuenta, para adaptarse a la nueva PSD2, que fueron publicados el 27 de noviembre de 2018.
Estos estándares están alineados con los objetivos de la regulación, a saber, reforzar la protección del consumidor y garantizar la igualdad de condiciones para todos los agentes implicados.
Estos estándares fortalecen la seguridad de los pagos que se realizan online, como por ejemplo, asegurar la correcta identificación del cliente.
Algo que es posible gracias a ciertos requisitos que deben ser implementados tanto en el proceso de pago como en la prestación de servicios accesorios.
Por ejemplo, el usuario deberá identificarse con, al menos, dos elementos entre: una contraseña o número PIN, una tarjeta o móvil y un control biométrico, como la huella dactilar o un escáner de retina.
Para los pagos online, este estándar establece que se proporcione una clave de un solo uso, de forma que dicha clave no se pueda volver a utilizar para evitar un acceso no autorizado.
Como consecuencia del establecimiento de estos estándares de seguridad, tanto las entidades bancarias como otros proveedores de servicios de pago deben implementar las medidas técnicas y procesos que permitan identificar a los usuarios como hemos mencionado.
Otra de las novedades de estos estándares que entrarán en vigor el septiembre de 2019 es que deben hacerse efectivos cuando se inician a través de proveedores de servicios de iniciación de pagos (PISP) o cuando los titulares de cuentas solicitan información a través de un proveedor de servicios de información de cuentas (AISP).
TPP
TPP significa Third-Party Provider o proveedor tercero. Estos proveedores utilizan un sistema seguro que les permite conectarse a las entidades bancarias para consultar y utilizar los datos bancarios.
Evidentemente, siempre con la autorización expresa del cliente y con la misión de proporcionarle nuevos y mejorados servicios.
Los cambios contemplados en el PSD2 regulan la actividad de estos proveedores para que puedan solicitar los detalles de la banca online y operar en nombre del usuario.
Entre los servicios que los TPP pueden prestar se encuentran la agregación de cuentas para ofrecer una mejor información al cliente, como por ejemplo, comparativas de precios o el fraccionamiento de los pagos realizados online.
Además, los TPP pueden realizar pagos en nombre del cliente, como alternativa al uso de su tarjeta de crédito o débito.
Es importante recalcar que los TPP solo pueden acceder a la información y proporcionar este tipo de servicios si el cliente está dado de alta en la banca online y da su consentimiento expreso.
Webscrapping
Screen scraping o webscrapping es una técnica que permite extraer datos de un aplicación o sistema con objeto de volcarlos en otro para posteriormente trabajar con ellos.
No es exclusiva del sector bancario, ni mucho menos. De hecho se utiliza ampliamente en diferentes áreas como el marketing digital con distintos propósitos.
En el tema que estamos desarrollando, la normativa PSD2, debe realizarse con el consentimiento del cliente, gracias también a la nueva directiva europea de protección de datos.
A pesar de que ha habido diferentes “tira y afloja” entre los actores más beneficiados, las fintech y las entidades bancarias, finalmente la nueva regulación lo permite únicamente cuando las APIs no respondan.
A pesar de que es un derecho del consumidor ceder la información bancaria, las entidades financieras se han mostrado reticentes al uso del scraping, ya que suponía que a través de las interfaces y mediante el uso de credenciales de seguridad, los datos financieros quedaban a disposición de terceros, sin que hubiese ningún tipo de control o identificación previa.
La entidad responsable no podía conocer qué, quién o cuándo estaba extrayendo dichos datos.
Finalmente, el PSD2 contempla que las entidades no podrán impedir, obstaculizar o limitar los servicios sin justificación.
Ahora bien, los terceros implicados deberán cumplir ciertas obligaciones y requisitos en todo momento.
Esperamos que con este glosario de términos estés al día de las principales novedades de la nueva directiva y de cómo trata de velar por la seguridad de las operaciones financieras del consumidor, independientemente de quien preste los servicios.
Recuerda que los contenidos de este blog tienen carácter informativo. Cualquier actuación motivada por su contenido o por la interpretación de las normas a las que hace referencia deberá ser analizada de forma específica teniendo en cuenta la situación particular de que se trate.