Con PSD2, la UE quiere aumentar la seguridad en los pagos electrónicos a partir de septiembre de 2019, promover la innovación y la competencia y fortalecer la protección del consumidor. ¿Qué significa eso en términos concretos? Nuestras preguntas frecuentes proporcionan respuestas.
La UE quiere dificultar el fraude en el comercio en línea con procedimientos de autenticación mejorados. Las entidades no bancarias también deberían poder acceder a los datos de la cuenta a través de interfaces seguras, algo que hacen las FinTech innovadoras y por tanto también debería promover la competencia. Se creará valor añadido para el consumidor, por ejemplo, a través de servicios de información de cuentas y servicios de iniciación de pagos. Esto significa que la información de la cuenta de varios bancos se puede mostrar en una aplicación central. Para iniciar una transferencia, los clientes ya no tienen que iniciar sesión en su cuenta bancaria en línea.
Bruselas ha publicado las disposiciones pertinentes a este respecto en una Directiva sobre servicios de pago. Conocida internacionalmente como la Directiva de Servicios de Pago – PSD2 para abreviar. Algunas de estas disposiciones entraron en vigor en 2018, como la prohibición de recargos en toda la UE (tarifas de métodos de pago ). La autenticación fuerte del cliente ahora también se está volviendo obligatoria y los bancos deben abrir sus interfaces de cuenta a proveedores externos.
Nuestras preguntas frecuentes explican en detalle de qué se trata la PSD2. También averiguará qué deben hacer los consumidores y los proveedores para procesar los pagos electrónicos después del 14 de septiembre de 2019. También examina qué aspectos de las transacciones de pago se ven afectados. Thomas Feiler, director de gestión de productos de equensWorldline, un importante proveedor europeo de servicios de transacciones financieras, nos ayudó a responder a las preguntas.
Los bancos abren API
La Directiva de Servicios de Pago 2 (PSD2) se aplicará a partir del 14 de septiembre .
PSD2 es una directiva de la UE para la regulación de los servicios de pago y los proveedores de servicios de pago. La directriz tiene como objetivo promover el desarrollo de métodos de pago modernos. Su objetivo es proteger mejor a los consumidores cuando pagan en línea. También está destinado a promover enfoques móviles y digitales y hacer que los pagos transfronterizos sean más seguros. También está destinado a fortalecer las empresas emergentes de FinTech y los proveedores comparables al obligar a los bancos establecidos a configurar interfaces a través de proveedores de servicios externos ( TPP para abreviar). – puede acceder a la información de la cuenta. Este concepto se llama Open Banking.
¿Qué quiere conseguir la UE con PSD2 ?
Por un lado, se trata de promover innovaciones en el sector financiero y aumentar la competencia en el mercado. Por otro lado, con PSD2, la UE también quiere fortalecer la protección del consumidor y aumentar la seguridad en las transacciones de pago. Los clientes se benefician principalmente de PSD2. Se benefician de reglas estandarizadas para bancos y proveedores de servicios de pago, transparencia y competencia leal.
Más seguridad al pagar online
¿Qué significa la PSD2 específicamente para los consumidores?
Dos cosas son principalmente relevantes para los consumidores.
El establecimiento de interfaces de cuentas digitales en los bancos en forma de las denominadas API (Interfaz de programación de aplicaciones). Esto significa que los servicios externos pueden acceder a los datos de las cuentas de los clientes bancarios. Sin embargo, esto no es motivo de preocupación, ya que requiere el consentimiento expreso del cliente para cada proveedor individual y la certificación del proveedor del servicio externo. Si los usuarios dan este consentimiento a una aplicación financiera, por ejemplo, pueden tener información de cuenta de diferentes cuentas bancarias (incluso con diferentes instituciones) mostrada en forma procesada. Además, las interfaces de la cuenta ofrecen la opción de solicitar un servicio de inicio de pago directamente en el sitio web de un minorista en línea o un proveedor de servicios externo. Esto significa, puede transferir dinero sin tener que iniciar sesión primero en su propia cuenta bancaria en línea. Nuevamente, no sucede nada sin el consentimiento del cliente.
La introducción de la autenticación fuerte de clientes, o SCA (Strong Customer Authentication). Esta es una forma de autenticación multifactor (MFA), lo que significa que la identificación inequívoca del cliente se realiza utilizando varias características. Estos pueden provenir de las áreas de conocimiento (PIN, contraseña), posesión (tarjeta, teléfono móvil) o inherencia (características biométricas como huella, iris o ubicación). Esto debería garantizar más seguridad al pagar electrónicamente. Por tanto, estas medidas también son obligatorias.
¿Con qué tecnologías / procesos se puede realizar este pago más seguro?
Hay dos métodos comunes y generalizados de banca en línea. Por ejemplo, se trata de enviar un TAN basado en transacciones a un teléfono móvil. Esto sucede por SMS o notificación automática a través de la aplicación de una institución financiera. Los usuarios que no dispongan de teléfono móvil o que no quieran utilizarlo para este fin pueden adquirir un lector de tarjetas que conectan a su PC.
Sin embargo, PSD2 solo define el marco; la directriz deja mucho margen de maniobra en el diseño de los detalles, por ejemplo, qué características se consultan en combinación. De esta forma, se garantiza la competencia por las mejores y más fáciles soluciones. En el futuro, podría haber un gran potencial para los procesos biométricos. dar. Pero el posible uso futuro de las identidades electrónicas también representa un gran potencial.
¿Cómo funcionan los procedimientos en detalle?
Con el procedimiento SMS / Push TAN pequeños cambios en comparación con la antigua banca en línea con las listas TAN. Ahora los números ya no se tachan en una lista, sino que se envían al teléfono móvil con cada transacción. El procedimiento con el lector de tarjetas funciona en principio como el cajero automático en el vestíbulo del mostrador, solo que inserta la tarjeta bancaria en el lector en casa y se autentica con un nombre de usuario y contraseña en lugar de un PIN.
Los procesos biométricos se pueden implementar mediante huellas dactilares. Si para esto se usa el sensor de un teléfono móvil, los usuarios ni siquiera necesitan un dispositivo adicional. La voz también se puede utilizar para una autenticación inequívoca.
Las listas de TAN son historia con PSD2
¿Por qué es más seguro que los métodos de pago utilizados hasta ahora?
En el contexto del antiguo procedimiento, solo se consultaba un factor para autenticar al usuario. Sin embargo, los datos de la tarjeta de crédito o las contraseñas se pueden robar muy fácilmente. La autenticación de dos factores hace que sea mucho más difícil para los atacantes. Los delincuentes no solo tendrían que robar o piratear los datos de acceso de sus víctimas, también tendrían que tomar posesión de algo físico, como un teléfono móvil o una tarjeta. Además, los TAN ahora están vinculados a las transacciones, a diferencia de las listas de TAN anteriores. Si se utilizan datos biométricos, por supuesto, será aún más difícil para los delincuentes.
¿Qué sucede si, como consumidor, no utilizo uno de estos procesos?
SCA se está introduciendo en todos los ámbitos como parte de PSD2. En cuanto a las posibilidades de la banca abierta, cada consumidor es libre de decidir qué servicios quiere utilizar y cuáles no. En ningún caso se podrán compartir datos o permisos con terceros sin su previo consentimiento. Los pagos electrónicos sin MFA ya no deberían ser posibles en absoluto, a menos que haya excepciones para ciertos servicios. Esto es concebible para PayPal, por ejemplo. En cualquier caso, no existe obligación de actuar por parte del consumidor.
Como minorista / proveedor, ¿tengo que utilizar uno de estos procedimientos? ¿Y si no lo hago?
En principio, los comerciantes pueden obtener una certificación que les permita acceder a los datos de la cuenta a través de las interfaces de los bancos. Sin embargo, no existe la obligación de hacerlo. En este caso, sin embargo, la responsabilidad de una autenticación sólida del cliente estaría en manos del minorista. Sin embargo, se puede suponer que muy pocos minoristas pretenden dar este paso, ya que es poco probable que el esfuerzo asociado valga la pena para muy pocos.
De lo contrario, la responsabilidad de garantizar la conformidad PSD2 de los pagos recae en los proveedores de servicios de pago. Así que inicialmente se expondrían a ser procesados. No obstante, es recomendable que los minoristas se aseguren de que los servicios con los que trabajan cumplen los requisitos de PSD2.
Los minoristas, a los que compran con frecuencia, pueden incluir a los clientes en una lista blanca. Esta lista es administrada por el banco del cliente y los comerciantes registrados en ella se consideran confiables, por lo que se puede prescindir de una autenticación de cliente sólida para cada compra. Los consumidores pueden comprar con la misma facilidad que antes.
Existe riesgo de multas y sanciones.
¿Hay multas / advertencias si no estoy listo para PSD2 el 14 de septiembre de 2019 ?
Las empresas que no ofrecen pagos compatibles con PSD2 después de la fecha límite del 14 de septiembre deben esperar sanciones y multas. Esto también se aplica si coopera con proveedores de servicios que, a su vez, no cumplen las directrices y no tienen una licencia de una autoridad supervisora europea. Ignorar PSD2 también es una violación de la competencia, lo que podría dar lugar a advertencias.
¿Existen aplicaciones en las que se pueda prescindir de los procedimientos según PSD2 ?
Las transacciones de bajo valor o bajo riesgo están exentas de una autenticación de cliente sólida. Esto incluye transacciones con un volumen inferior a 30 euros, siempre que el importe total pagado sin SCA en 24 horas no supere los 100 euros. Además, después de cada quinta transacción También se requiere una sólida autenticación del cliente. Esto asegura que un atacante no pueda obtener una gran cantidad total a través de muchas transacciones pequeñas. Incluso las transacciones de bajo riesgo se pueden procesar sin una SCA. La clasificación se basa en las tasas de fraude del emisor de la tarjeta y el proveedor de servicios externo que maneja el proceso de pago.
Como consumidor, ¿qué tengo que hacer para pagar en cumplimiento con PSD2 a partir del 14 de septiembre ?
En el futuro, los consumidores deberán identificarse periódicamente con varios factores al realizar transacciones de pago. Sin embargo, dado que los nuevos procesos reemplazan a los antiguos, los consumidores no tienen que actuar ellos mismos. La lista TAN impresa es definitivamente cosa del pasado, quien la haya usado hasta ahora tiene que cambiar a un método diferente: Compre Push-TAN a través de la aplicación, SMS-TAN o un lector de tarjetas para uso doméstico.
¿Qué tienen que hacer ahora los minoristas en el aspecto técnico?
La responsabilidad de los sistemas técnicos recae en los respectivos proveedores de servicios de pago, es decir, los proveedores de tarjetas de crédito, proveedores de servicios externos y soluciones de pago en línea como PayPal. Si los minoristas utilizan un proveedor de servicios de pago como proveedor de servicios para la administración central de las diversas opciones de pago, esto garantiza que solo se ofrezcan métodos de pago compatibles con PSD2.