¿Qué es PSD2? Directiva de Servicios de Pago de la UE | Paytia

¿Qué es PSD2?

PSD2 son las siglas de Payment Services Directive 2 (Segunda Directiva de Servicios de Pago). Se trata de una pieza legislativa de la Unión Europea que entró en vigor en enero de 2018 y sustituyó a la Directiva original de Servicios de Pago de 2007. En el Reino Unido, PSD2 se transpuso al derecho interno antes del Brexit, y sus principios fundamentales siguen aplicándose a través del Reglamento de Servicios de Pago de 2017 y de las guías relacionadas de la Financial Conduct Authority (FCA).

En esencia, PSD2 existe para hacer tres cosas: hacer los pagos más seguros, fomentar la competencia en los servicios financieros y dar a los consumidores más control sobre sus datos financieros. Lo consigue introduciendo requisitos estrictos de autenticación, abriendo el acceso a los datos de las cuentas de pago y fijando reglas claras sobre cómo deben operar los proveedores de servicios de pago.

Si aceptas pagos con tarjeta —ya sea online, presencialmente o por teléfono— PSD2 afecta a cómo se autentican y procesan esos pagos. Entenderla no es opcional: es una obligación regulatoria que conlleva consecuencias reales para los negocios que no cumplan.

El problema que PSD2 vino a resolver

Antes de PSD2, el panorama de pagos europeo estaba fragmentado. Cada país tenía sus propias reglas y no había un estándar uniforme sobre cómo asegurar los pagos online. Las tasas de fraude para transacciones sin presencia de tarjeta subían año tras año, y los consumidores tenían una capacidad limitada para compartir sus datos financieros con servicios que pudieran ofrecerles mejores condiciones o formas más cómodas de gestionar su dinero.

La PSD1 original había abierto el mercado en cierta medida, pero se redactó antes de que los smartphones, las apps de banca móvil y las empresas fintech transformaran el sector. PSD2 fue la respuesta de la UE a un mundo de pagos que había cambiado de forma irreconocible desde 2007.

Autenticación Reforzada del Cliente (SCA)

El cambio más importante que introdujo PSD2 es la Autenticación Reforzada del Cliente, conocida habitualmente como SCA (Strong Customer Authentication). Es el requisito de que los pagos electrónicos se verifiquen usando al menos dos de los tres factores siguientes:

• Algo que el cliente sabe: una contraseña, un PIN o la respuesta a una pregunta de seguridad.
• Algo que el cliente tiene: un teléfono móvil, un token de hardware o una tarjeta inteligente.
• Algo que el cliente es: una huella dactilar, un reconocimiento facial u otro biométrico.

A esto se le suele llamar autenticación de dos factores, y te lo habrás encontrado si alguna vez te han pedido aprobar un pago a través de tu app bancaria después de introducir los datos de tu tarjeta en un sitio web. La idea es directa: aunque un defraudador tenga tu número de tarjeta, no puede completar una transacción si no tiene también acceso a tu teléfono o a tus datos biométricos.

SCA aplica a los pagos electrónicos iniciados por el cliente dentro del Espacio Económico Europeo y del Reino Unido. Afecta a los pagos con tarjeta online, a las transferencias bancarias y a ciertas transacciones contactless. Existen exenciones —para transacciones de bajo importe, pagos recurrentes, beneficiarios de confianza y transacciones que el proveedor de pago del comercio evalúa como de bajo riesgo— pero la posición por defecto es que SCA es obligatoria.

Open Banking y acceso de terceros

PSD2 también introdujo el concepto de open banking, que obliga a los bancos a compartir los datos de las cuentas de los clientes (con el consentimiento explícito del cliente) con proveedores terceros autorizados. Esto creó dos nuevos tipos de entidad regulada:

• Proveedores de Servicios de Información sobre Cuentas (AISPs): empresas que pueden acceder y agregar la información de las cuentas bancarias de un cliente, por ejemplo para mostrar en una sola app todas sus cuentas en distintos bancos.
• Proveedores de Servicios de Iniciación de Pagos (PISPs): empresas que pueden iniciar pagos directamente desde la cuenta bancaria de un cliente, sin pasar por las redes de tarjetas.

Esta parte de PSD2 es menos relevante de forma directa para los negocios que aceptan pagos telefónicos, pero vale la pena entenderla porque refleja la dirección general de la regulación de pagos: más transparencia, más competencia y más elección para el consumidor.

Cómo afecta PSD2 a los pagos telefónicos

Los pagos telefónicos ocupan una posición interesante bajo PSD2. Cuando un cliente llama a un negocio y da los datos de su tarjeta por teléfono, esto se clasifica como una transacción de pedido por correo o teléfono (MOTO, Mail Order/Telephone Order). Bajo las reglas actuales, las transacciones MOTO están exentas del requisito de SCA porque no se consideran pagos «electrónicos» en el sentido en que PSD2 define el término.

Eso significa que los negocios que aceptan pagos por teléfono no necesitan implementar 3D Secure ni otros mecanismos de SCA para esas transacciones concretas. Sin embargo, esta exención no reduce la necesidad de seguridad. Si acaso, aumenta la importancia de otras medidas de protección, porque las transacciones MOTO carecen de la capa de autenticación integrada que SCA aporta a los pagos online.

Los negocios que dependen de pagos telefónicos deben tener en cuenta que la exención MOTO de SCA no les exime del cumplimiento de PCI DSS, de proteger los datos del titular de la tarjeta ni de implementar medidas de prevención del fraude. La exención significa simplemente que el paso específico de autenticación de dos factores no se exige en el momento del pago.

Protecciones al consumidor bajo PSD2

PSD2 también reforzó los derechos del consumidor en varios aspectos importantes. La responsabilidad por transacciones no autorizadas pasó con más firmeza a los proveedores de servicios de pago. Se redujo el importe máximo que un consumidor puede perder por un pago no autorizado antes de que intervenga el proveedor. Se prohibieron los recargos —cuando los comercios añaden una comisión por pagar con tarjeta— para las tarjetas de débito y crédito de consumidores en la UE y el Reino Unido.

Para los negocios, esto significa que el coste de las transacciones fraudulentas recae cada vez más sobre ti o sobre tu proveedor de pagos, y no sobre el consumidor. La prevención del fraude deja de ser solo una cuestión de cumplimiento para convertirse en una preocupación financiera directa.

Consideraciones prácticas para los negocios

Si tu negocio acepta pagos con tarjeta, esto es lo que PSD2 significa en términos prácticos:

• Los pagos online exigirán normalmente SCA, lo que implica implementar 3D Secure 2 (3DS2) a través de tu pasarela de pagos. Tu proveedor de pagos debería ocuparse de la mayor parte de la complejidad técnica, pero tienes que asegurarte de que tu flujo de checkout acomoda el paso adicional de autenticación.
• Los pagos telefónicos están exentos de SCA pero siguen exigiendo cumplimiento completo de PCI DSS. Usar una solución que saque los datos de tarjeta de tu entorno —como el enmascaramiento DTMF— es una de las formas más sencillas de gestionarlo.
• Los pagos recurrentes exigen SCA para la primera transacción pero pueden usar exenciones para los pagos siguientes, siempre que el importe no cambie y el cliente haya dado su consentimiento.
• Las devoluciones y contracargos están sujetos a plazos más estrictos y a reglas favorables al consumidor, así que tus procesos tienen que ser sólidos.

PSD2 y PCI DSS: cómo se relacionan

PSD2 y PCI DSS son marcos distintos, pero se complementan. PSD2 es una regulación legal que rige cómo deben autenticarse los pagos. PCI DSS es un estándar del sector que rige cómo deben protegerse los datos de tarjeta. Un negocio que cumple PCI DSS no cumple automáticamente PSD2, y viceversa. Hay que abordar ambos, y ambos están diseñados para reducir el fraude y proteger a los consumidores.

Piensa en PSD2 como las reglas sobre demostrar quién eres antes de que un pago salga, y en PCI DSS como las reglas sobre mantener seguros los datos de tu tarjeta una vez que el pago se está procesando. Juntos forman dos pilares de la seguridad moderna de los pagos.

Qué pasa si no cumples

El incumplimiento de PSD2 puede provocar que los emisores rechacen tus transacciones de pago, actuaciones regulatorias por parte de la FCA o de la autoridad nacional equivalente y sanciones económicas. Más en la práctica: si tu flujo de pago online no soporta SCA cuando debería, una proporción creciente de tus transacciones simplemente fallará porque el banco emisor las rechazará. Eso afecta directamente a tu facturación y a la experiencia del cliente.

Para los pagos telefónicos, aunque SCA no aplica, no asegurar correctamente los datos del titular de la tarjeta puede acarrear sanciones por incumplimiento de PCI DSS, que incluyen multas, comisiones de transacción más altas y la posible pérdida total de la capacidad de aceptar pagos con tarjeta.