¿Qué es la Directiva de Servicios de Pago?

¿Qué es la Directiva de Servicios de Pago?

La Directiva de Servicios de Pago, conocida habitualmente como PSD, es una norma legislativa de la Unión Europea que establece las reglas sobre cómo operan los servicios de pago en Europa. La directiva original (PSD1) se introdujo en 2007 y se actualizó significativamente en 2018 con PSD2, que es la versión a la que se refiere hoy la mayoría de la gente. En el Reino Unido, aunque el país ha salido de la UE, los principios fundamentales de PSD2 se conservaron en el derecho interno mediante las Payment Services Regulations 2017 y modificaciones posteriores.

Piense en ella como el reglamento de la industria de pagos. Cubre desde quién puede prestar servicios de pago, cómo deben proteger esos proveedores a sus clientes, hasta qué derechos tienen los consumidores cuando algo falla en un pago. Si dirige un negocio que cobra de cualquier forma —pagos con tarjeta, transferencias bancarias, domiciliaciones o pagos telefónicos— la Directiva de Servicios de Pago da forma al entorno regulatorio en el que opera.

¿Por qué se creó?

Antes de PSD1, los servicios de pago en Europa estaban regulados de forma distinta en cada país. Un proveedor de pagos autorizado en Alemania podía operar bajo reglas totalmente distintas a las de uno en Francia. Esto dificultaba que los negocios ofrecieran servicios de pago transfronterizos y generaba inconsistencias en la protección del consumidor.

La directiva original armonizó estas reglas, creando un marco legal único. PSD2 fue más allá al abordar nuevos retos surgidos desde 2007, en particular el auge de los pagos online, el crecimiento de las empresas fintech y la necesidad de medidas de seguridad más sólidas para combatir el fraude.

Qué cubre PSD2

PSD2 es una norma legislativa amplia, pero sus disposiciones clave caen en varias áreas principales:

Autorización y licencias

Cualquier organización que quiera prestar servicios de pago debe estar autorizada por el regulador nacional correspondiente. En el Reino Unido es la Financial Conduct Authority (FCA). Esto se aplica a bancos, entidades de dinero electrónico, entidades de pago y a tipos más nuevos de proveedores como los proveedores de servicios de información sobre cuentas (AISP) y los proveedores de servicios de iniciación de pagos (PISP). El proceso de autorización asegura que los proveedores cumplen unos estándares mínimos de capital, gobernanza y resiliencia operativa.

Autenticación Reforzada de Cliente (SCA)

Uno de los cambios más significativos que introdujo PSD2 fue el requisito de Autenticación Reforzada de Cliente. La SCA exige que los pagos electrónicos se autentiquen usando al menos dos de tres factores: algo que el cliente sabe (como una contraseña o PIN), algo que el cliente tiene (como un teléfono o lector de tarjeta) y algo que el cliente es (como una huella o un escaneo facial). Esto ha tenido un gran impacto en los pagos online, donde los clientes encuentran ahora habitualmente avisos de autenticación de dos factores al hacer compras.

Protección del consumidor

PSD2 reforzó los derechos del consumidor de varias formas. Limita la responsabilidad de los consumidores por pagos no autorizados a un máximo de 50 euros (o el equivalente en libras en el Reino Unido). Exige a los proveedores de pago tramitar las solicitudes de reembolso con rapidez. Y da a los consumidores el derecho a presentar reclamaciones al regulador o a un ombudsman si no están satisfechos con cómo el proveedor de pagos gestiona una disputa.

Banca abierta (open banking)

PSD2 introdujo el concepto de banca abierta, que exige a los bancos compartir los datos de las cuentas de los clientes (con el consentimiento del cliente) con terceros autorizados. Esto ha permitido toda una ola de nuevos servicios financieros, desde apps de presupuestos que agregan datos de varias cuentas bancarias hasta servicios de iniciación de pagos que permiten a los clientes pagar directamente desde su cuenta bancaria sin usar tarjeta.

Transparencia y comisiones

La directiva exige a los proveedores de pago ser transparentes sobre sus comisiones y cargos. Los clientes deben estar claramente informados de cualquier coste antes de autorizar un pago. También restringe los recargos: los negocios del Espacio Económico Europeo tienen, por lo general, prohibido cobrar un extra por los pagos realizados con tarjetas de débito o crédito de consumidores.

Cómo funciona en la práctica

Para la mayoría de los negocios, PSD2 aparece en las operaciones diarias de algunas formas clave. Cuando un cliente hace un pago con tarjeta online y se le pide aprobar la transacción a través de su app bancaria, es SCA en acción. Cuando un negocio se da de alta con un procesador de pagos, ese procesador debe estar autorizado bajo PSD2 (o el equivalente en el Reino Unido). Cuando un cliente impugna una transacción y el proveedor de pagos tramita el reembolso dentro de un plazo establecido, son las normas de protección del consumidor de PSD2 las que están actuando.

La directiva también afecta a cómo los negocios eligen y trabajan con sus socios de pago. Como PSD2 fija estándares mínimos de seguridad, gobernanza y protección del consumidor, los negocios pueden tener un nivel razonable de confianza en que cualquier proveedor de pagos autorizado cumple esos estándares. Pero también significa que los negocios deben asegurarse de que sus propios procesos —desde cómo capturan los datos de pago hasta cómo gestionan las disputas— están alineados con el marco regulatorio.

Relevancia para los pagos telefónicos

Los pagos telefónicos ocupan una posición particular bajo PSD2. Los requisitos de Autenticación Reforzada de Cliente se diseñaron principalmente pensando en los pagos online y electrónicos, y ciertas exenciones se aplican a los pagos telefónicos. Las transacciones Mail Order / Telephone Order (MOTO) —en las que un cliente proporciona los datos de su tarjeta por teléfono a un agente— suelen estar exentas de SCA porque la transacción la inicia el titular de la tarjeta a través de un canal de voz, no electrónico.

Sin embargo, esta exención no significa que los pagos telefónicos no estén regulados. Los requisitos más amplios de protección del consumidor y transparencia de PSD2 siguen aplicándose. Los clientes que pagan por teléfono tienen los mismos derechos en cuanto a transacciones no autorizadas, reembolsos y reclamaciones que quienes pagan online. Y la seguridad de los datos de pago por teléfono sigue rigiéndose por PCI DSS, aunque no se exija SCA.

Esto crea una dinámica interesante. Por un lado, los pagos telefónicos pueden ofrecer una experiencia de cliente más fluida porque no hay fricción de SCA. Por otro, los negocios deben asegurarse de no estar creando huecos de seguridad al confiar en un canal que carece de la capa adicional de autenticación. Usar tecnología segura de pagos telefónicos —en la que los datos de la tarjeta se capturan a través del teclado del cliente en lugar de decirse en voz alta a un agente— ayuda a abordar esto al mantener los datos sensibles completamente fuera del canal de voz.

PSD2 y el Reino Unido tras el Brexit

Desde el Brexit, el Reino Unido ha conservado las disposiciones fundamentales de PSD2 pero es libre de divergir de futuras actualizaciones de la UE. La FCA ha señalado su intención de revisar y posiblemente reformar la regulación británica de los servicios de pago, posiblemente consolidando PSD2 con otras normas relacionadas en un marco más simplificado. Por ahora, los negocios británicos deberían seguir operando partiendo de que los requisitos de PSD2 aplican, mientras vigilan cualquier cambio regulatorio venidero.

Consideraciones prácticas para las empresas

• Asegúrese de que su proveedor de pagos esté correctamente autorizado por la FCA o por el regulador europeo correspondiente
• Entienda cómo se aplica SCA a sus canales de pago y dónde aplican exenciones como MOTO
• Revise sus comunicaciones de cara al cliente para asegurarse de que cumplen los requisitos de transparencia de PSD2
• Tenga procesos claros para gestionar las disputas de pago y las solicitudes de reembolso dentro de los plazos exigidos
• Si usa servicios de pago de terceros, confirme que cumplen PSD2 y entienda cómo se comparte la responsabilidad
• Manténgase informado sobre los próximos cambios en la regulación de los servicios de pago en el Reino Unido, ya que es probable que el panorama evolucione en los próximos años

La Directiva de Servicios de Pago puede sonar a regulación árida, pero ha dado forma de raíz a cómo funcionan los pagos en el Reino Unido y Europa. Tanto si cobra online, en tienda o por teléfono, entender PSD2 le ayuda a tomar mejores decisiones sobre su infraestructura de pagos, proteger a sus clientes y mantenerse del lado correcto del regulador.