¿Qué es la Directiva de Servicios de Pago?

¿Qué es la Directiva sobre Servicios de Pago?

La Directiva sobre Servicios de Pago, conocida comúnmente como PSD, es una norma de la Unión Europea que establece las reglas sobre cómo funcionan los servicios de pago en toda Europa. La directiva original (PSD1) se introdujo en 2007, y se actualizó de forma sustancial en 2018 con la PSD2, que es la versión a la que se refiere la mayoría de la gente hoy. En el Reino Unido, aunque el país ha salido de la UE, los principios básicos de la PSD2 se conservaron en su legislación nacional a través de las Payment Services Regulations 2017 y sus modificaciones posteriores.

Piénselo como el reglamento del sector de los pagos. Cubre todo, desde quién puede prestar servicios de pago, hasta cómo deben proteger esos proveedores a sus clientes, pasando por qué derechos tienen los consumidores cuando algo sale mal con un pago. Si dirige una empresa que acepta pagos de cualquier tipo (pagos con tarjeta, transferencias bancarias, domiciliaciones o pagos por teléfono), la Directiva sobre Servicios de Pago da forma al entorno regulatorio en el que opera.

¿Por qué se creó?

Antes de la PSD1, los servicios de pago en Europa estaban regulados de forma distinta en cada país. Un proveedor de pagos autorizado en Alemania podía operar bajo reglas completamente diferentes a las de uno en Francia. Esto dificultaba que las empresas ofrecieran servicios de pago transfronterizos y creaba incoherencias en la protección al consumidor.

La directiva original armonizó esas reglas, creando un marco jurídico único. La PSD2 fue más allá al abordar los nuevos retos surgidos desde 2007, en particular el auge de los pagos por internet, el crecimiento de las empresas fintech y la necesidad de medidas de seguridad más sólidas para combatir el fraude.

Qué abarca la PSD2

La PSD2 es una norma detallada, pero sus disposiciones clave se reparten en varias áreas principales:

Autorización y licencias

Cualquier organización que quiera prestar servicios de pago debe estar autorizada por el regulador nacional correspondiente. En el Reino Unido, ese es la Financial Conduct Authority (FCA). Esto se aplica a bancos, entidades de dinero electrónico, entidades de pago y nuevos tipos de proveedores como los proveedores de servicios de información sobre cuentas (AISP) y los proveedores de servicios de iniciación de pagos (PISP). El proceso de autorización garantiza que los proveedores cumplan unos estándares mínimos de capital, gobernanza y resiliencia operativa.

Autenticación Reforzada de Cliente (SCA)

Uno de los cambios más significativos que introdujo la PSD2 fue el requisito de la Autenticación Reforzada de Cliente. La SCA exige que los pagos electrónicos se autentiquen usando al menos dos de tres factores: algo que el cliente sabe (como una contraseña o un PIN), algo que el cliente tiene (como un teléfono o un lector de tarjetas) y algo que el cliente es (como una huella dactilar o un escaneo facial). Esto ha tenido un gran impacto en los pagos por internet, donde los clientes ahora encuentran de forma habitual avisos de autenticación de dos factores al hacer compras.

Protección al consumidor

La PSD2 reforzó los derechos de los consumidores de varias maneras. Limita la responsabilidad de los consumidores por pagos no autorizados a un máximo de 50 euros (o su equivalente en libras en el Reino Unido). Exige a los proveedores de pago que tramiten con prontitud las solicitudes de reembolso. Y da a los consumidores el derecho a reclamar ante el regulador o un defensor del cliente si no están satisfechos con cómo gestiona una disputa un proveedor de pago.

Open Banking

La PSD2 introdujo el concepto de open banking, que obliga a los bancos a compartir los datos de las cuentas de sus clientes (con el consentimiento del cliente) con terceros proveedores autorizados. Esto ha permitido una oleada de nuevos servicios financieros, desde aplicaciones de presupuesto que agregan datos de varias cuentas bancarias hasta servicios de iniciación de pagos que permiten a los clientes pagar directamente desde su cuenta bancaria sin usar una tarjeta.

Transparencia y comisiones

La directiva exige a los proveedores de pago que sean transparentes sobre sus comisiones y cargos. Hay que informar con claridad a los clientes de cualquier coste antes de que autoricen un pago. También restringe los recargos: a las empresas del Espacio Económico Europeo se les prohíbe, por lo general, cobrar un extra por los pagos hechos con tarjetas de débito o crédito de consumidores.

Cómo funciona en la práctica

Para la mayoría de las empresas, la PSD2 aparece en las operaciones del día a día de unas pocas maneras clave. Cuando un cliente hace un pago con tarjeta por internet y se le pide que apruebe la transacción a través de su aplicación bancaria, eso es la SCA en acción. Cuando una empresa contrata a un procesador de pagos, ese procesador tiene que estar autorizado bajo la PSD2 (o su equivalente en el Reino Unido). Cuando un cliente disputa una transacción y el proveedor de pago tramita el reembolso dentro de un plazo establecido, esas son las normas de protección al consumidor de la PSD2 funcionando.

La directiva también influye en cómo las empresas eligen a sus socios de pago y trabajan con ellos. Como la PSD2 fija unos estándares mínimos de seguridad, gobernanza y protección al consumidor, las empresas pueden tener una confianza razonable en que cualquier proveedor de pago autorizado cumple esos estándares. Pero también significa que las empresas necesitan asegurarse de que sus propios procesos (desde cómo captan los datos de pago hasta cómo gestionan las disputas) encajan con el marco regulatorio.

Relevancia para los pagos telefónicos y por teléfono

Los pagos por teléfono ocupan una posición singular bajo la PSD2. Los requisitos de Autenticación Reforzada de Cliente se diseñaron principalmente pensando en los pagos por internet y electrónicos, y a los pagos por teléfono se les aplican ciertas exenciones. Las transacciones por correo o por teléfono (MOTO), en las que un cliente facilita los datos de su tarjeta por teléfono a un agente, están por lo general exentas de la SCA porque la transacción la inicia el titular de la tarjeta a través de un canal de voz en lugar de uno electrónico.

Sin embargo, esta exención no significa que los pagos por teléfono no estén regulados. Los requisitos más amplios de protección al consumidor y de transparencia de la PSD2 siguen aplicándose. Los clientes que pagan por teléfono tienen los mismos derechos respecto a transacciones no autorizadas, reembolsos y reclamaciones que quienes pagan por internet. Y la seguridad de los datos de pago por teléfono sigue rigiéndose por PCI DSS, aunque la SCA no sea obligatoria.

Esto crea una dinámica interesante. Por un lado, los pagos por teléfono pueden ofrecer una experiencia de cliente más fluida porque no hay fricción de SCA. Por otro, las empresas necesitan asegurarse de no crear brechas de seguridad por apoyarse en un canal que carece de esa capa adicional de autenticación. Usar tecnología de pago telefónico seguro, donde los datos de la tarjeta se captan a través del teclado del cliente en lugar de decirse en voz alta a un agente, ayuda a resolver esto manteniendo los datos sensibles fuera del canal de voz por completo.

La PSD2 y el Reino Unido tras el Brexit

Desde el Brexit, el Reino Unido ha conservado las disposiciones básicas de la PSD2, pero es libre de divergir de futuras actualizaciones de la UE. La FCA ha manifestado su intención de revisar y posiblemente reformar la regulación de servicios de pago del Reino Unido, quizá consolidando la PSD2 con otras normas relacionadas en un marco más simple. Por ahora, las empresas del Reino Unido deberían seguir operando partiendo de que los requisitos de la PSD2 se aplican, sin perder de vista los próximos cambios regulatorios.

Consideraciones prácticas para las empresas

• Asegúrese de que su proveedor de pago esté debidamente autorizado por la FCA o el regulador europeo correspondiente
• Entienda cómo se aplica la SCA a sus canales de pago, y dónde se aplican exenciones como la MOTO
• Revise sus comunicaciones de cara al cliente para asegurarse de que cumplen los requisitos de transparencia de la PSD2
• Tenga procesos claros para gestionar las disputas de pago y las solicitudes de reembolso dentro de los plazos exigidos
• Si usa servicios de pago de terceros, confirme que cumplen la PSD2 y entienda cómo se reparte la responsabilidad
• Manténgase informado sobre los próximos cambios en la regulación de servicios de pago del Reino Unido, ya que es probable que el panorama evolucione en los próximos años

La Directiva sobre Servicios de Pago puede sonar a regulación árida, pero ha dado forma de manera fundamental a cómo funcionan los pagos en todo el Reino Unido y Europa. Tanto si acepta pagos por internet, en tienda o por teléfono, entender la PSD2 le ayuda a tomar mejores decisiones sobre su infraestructura de pagos, proteger a sus clientes y mantenerse del lado correcto del regulador.