Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Directiva PSD2. Reforzando la seguridad de los pagos digitales en el comercio online

Fecha de publicación 29/08/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

El comercio electrónico se ha convertido en una de las principales actividades, o en muchos casos la única, que tienen las empresas para generar ingresos. Trabajar en este sector implica ofrecer una serie de garantías de seguridad en las transacciones online. De estas dependerá la seguridad de la información de clientes y el crecimiento de las e-commerce. Por ello, y con el objetivo de crear un mercado único de pagos para el Espacio Económico Europeo, se ha actualizado a su segunda versión la Directiva de Servicios de Pago, también conocida como PSD2 (por sus siglas en inglés Payment Service Directive).

¿Qué es la PSD2?

Se trata de una directiva cuyo principal objetivo es mejorar la seguridad y protección contra el fraude en las transacciones realizadas a través de Internet. La PSD2 será de obligado cumplimiento el próximo 14 de septiembre en todo el Espacio Económico Europeo, siendo esta una actualización de la primera directiva PSD que se creó en el año 2007.

Esta directiva regula el acceso de terceras partes a la información bancaria de los clientes, aumentando la oferta a nivel financiero y permitiendo una mayor competencia en el mercado de los pagos electrónicos.

¿Qué cambios supone esta nueva normativa?

El primer gran cambio que traerá consigo esta normativa es que las entidades financieras deberán abrir sus sistemas a terceras partes o TPPs (Third Party Payment Service Providers), acción que se denomina open banking. Esto permitirá que terceras partes accedan a la cuenta del cliente y así puedan realizar pagos en su nombre, previo consentimiento del titular de la cuenta. Esta apertura conlleva un aumento en la competencia que provocará la aparición de nuevas empresas, ya que hasta ahora, las restricciones impuestas a los TPPs lo hacían muy complicado. Eso sí, deberán cumplir con la misma reglamentación que los servicios de pago tradicionales.

El segundo cambio, consecuencia del anterior, es que los pagos online serán mucho más rápidos. Si el cliente ha autorizado a un TPP el acceso a su información bancaria, el cobro de un determinado producto o servicio será inmediato, de manera similar a como se realiza una transferencia bancaria.

Autenticación reforzada

En el open banking, el acceso a información bancaria de los usuarios y su control también están contemplados en la PSD2, dado que la seguridad en esta Directiva es una prioridad. Una de las normas técnicas que se ha impuesto es la de implantar sistemas de autenticación reforzada o SCA cuando se realice una transacción. En caso de que esta autenticación reforzada no se encuentre habilitada, los pagos podrán verse rechazados.

Un proceso de pago con autenticación reforzada requerirá al menos dos de los siguientes elementos para que la operación sea satisfactoria:

  • Factor conocimiento. Algo que solamente debe conocer el usuario, como un número PIN o contraseña.
  • Factor posesión. Algo que solamente posea el usuario como un número de tarjeta.
  • Factor inherente. Algo que solamente tiene el usuario como su huella dactilar o rasgos faciales.

Todos los elementos seleccionados deberán ser independientes. De esta forma, aunque uno de los factores sea robado, no se podrá tener acceso al resto de los elementos. Además, al menos uno de ellos, cumplirá las siguientes cualidades:

  • preservará la confidencialidad del resto de elementos de autenticación;
  • no podrá ser replicable, ni reutilizable;
  • no podrá ser robado a través de Internet.

Durante una transacción, una vez que el usuario ha realizado los pasos descritos anteriormente, se generará un código de autenticación de un único uso, que aumentará la seguridad en las transacciones y que deberá cumplir con los siguientes requisitos:

  • no revelará ningún tipo de factor de autenticación utilizado durante la transacción;
  • no se podrá generar un nuevo código valido a partir de otro existente, es decir, su falsificación no será posible.

¿Cómo adaptar la tienda online a esta nueva Directiva?

Las acciones a tomar serán mínimas en aquellos comercios online que, actualmente, ya tengan implementado un sistema de autenticación reforzada o de doble factor de autenticación. En cualquier caso, es recomendable contactar con la entidad que facilita la pasarela de pago para  verificar que se cumple con la normativa.

Excepciones del uso de autenticación reforzada

Existen varias excepciones a la hora de implementar métodos de autenticación reforzada que la pasarela de pago deberá contemplar. Estos pagos excepcionales que no requieren métodos de autenticación reforzada son:

  • Operaciones en las que la entidad emisora o receptora del pago estén fuera del Espacio Económico Europeo. Este tipo de operaciones se denominan «One leg transactions».
  • Operaciones cuyo pago se ha iniciado por teléfono o correo electrónico.
  • Pagos realizados con tarjetas prepago anónimas.
  • En pagos repetitivos o suscripciones, únicamente será necesario el primer pago con autenticación reforzada. Las transacciones recurrentes iniciadas con anterioridad a la obligación de la PSD2, no tendrán que ser autenticadas.
  • Transacciones iguales o inferiores a 30€, si desde la última transacción autenticada el importe ha sido igual o inferior a 100€ o el número de transacciones igual o menor que 5.
  • Operaciones con un porcentaje bajo de fraude «Transaction Risk Analysis» siempre que la entidad que procesa el pago esté identificada y certificada.
  • Listas blancas, aquellas en las que los clientes hayan indicado en la entidad emisora del pago que es un comercio de confianza.
  • Transacciones iniciadas por el comerciante o aquellas que se hayan realizado por medio de una tarjeta de empresa.

Fintech como sector emergente

La incorporación de la Directiva PSD2 ha abierto un nuevo abanico de posibilidades para las fintech, empresas que aúnan el mundo de las finanzas y la tecnología. Gracias al open banking y al acceso de terceros a información a la que antes no se tenía acceso, a este tipo de empresas se les vislumbra un gran potencial de desarrollo y crecimiento. Las fintech contarán con las mismas herramientas que las entidades bancarias tradicionales y podrán ofrecer dos tipos de servicio:

  • servicios de iniciación de pagos o PISP. Son proveedores de servicios de pago que conectan al cliente con el banco para realizar una operación;
  • servicios de información de cuenta AISP. Integran en una misma herramienta información bancaria del cliente, que puede ser de más de una entidad bancaria, para ofrecerle un espacio de gestión único, así como los servicios complementarios que mejor se adapten a sus necesidades.

 

La incorporación de la Directiva PSD2 será de obligado cumplimiento, y ayudará a que las transacciones sean más seguras, algo que sin lugar a dudas fomentará las compras online. Además, el acceso a la información que antes, únicamente, poseían los bancos abre un nuevo escenario de innovación donde las fintech jugarán un papel fundamental.

 

Etiquetas