PSD2, todo lo que necesitas saber sobre la normativa que te protege a ti y a tus datos financieros

4.2/5 - (42 votos)

La relación entre los bancos y sus clientes no deja de cambiar, cada vez a mayor velocidad. La digitalización de la sociedad afecta por igual a empresas y consumidores, y obliga también a administraciones y autoridades públicas a regular las nuevas relaciones que surgen entre estos diferentes actores, sobre todo en este caso del que vamos a hablarte, porque se trata de dos de los bienes más preciados: dinero y datos. Y de eso trata la PSD2, una legislación comunitaria que regula los pagos y el control de tu información financiera. ¡Casi nada!

Para saber más sobre esta directiva europea y sobre sus implicaciones en materia de ciberseguridad y protección de datos, hemos recopilado en este artículo todo lo que debes saber sobre la PSD2 y lo hemos intentado explicar de forma sencilla.

 

¿Qué es la PSD2?

El PSD2 (Payment Service Directive 2) es una directiva europea que tiene como objetivo mejorar la seguridad y reforzar la protección contra fraudes en las operaciones bancarias hechas a través de internet. Además, también regula el acceso, con consentimiento, de los datos de tus cuentas bancarias a terceros (Facebook, Amazon, etc.) Esta resolución supuso para el consumidor la eliminación de intermediarios en operaciones de pagos electrónicos y un cambio con impacto universal en la forma en la que los ciudadanos nos relacionamos con nuestros dinero. Aunque no seas consciente de ello.

Dicho de otro modo: se trata de una pieza de la legislación europea que pretendía ampliar la competencia en el mercado de los pagos electrónicos para reforzar la posición del consumidor, como explicaba la Comisión Europea en su propuesta.

La PSD2 supuso un gran cambio en cuanto a las relaciones entre clientes, comercios y bancos, con  el foco en la protección del consumidor

La primera Directiva de Servicios de Pago (PSD) nació en 2007 con el objetivo de crear un mercado único de pagos en la Unión Europea. En 2013, la Comisión Europea propuso una revisión (PSD2) para unificar el sistema de servicios de pago electrónicos, los que se hacen online o a través del smartphone, entre países y proveedores.

Te hablábamos de los cambios en las formas de relacionarse que se comenzaron a dar desde la entrada en vigor efectiva de la directiva, en 2019. Desde entonces, todas las entidades financieras europeas debieron abrir sus sistemas a terceros, un movimiento conocido como open banking.

 

Y a mí, ¿cómo me afecta PSD2?

Como consumidor, la directiva te permite realizar tus gestiones financieras a través de terceros. Es decir, podrás comprar directamente un producto sin tener que hacer la operación a través de tu banco.

Esto significa mayor rapidez a la hora de comprar online, ya que desde PSD2 puedes autorizar expresamente a cualquier comercio el cobro de una compra de forma inmediata y sin utilizar la tarjeta, como si fuera una simple transferencia.

Por ejemplo, vas a comprar un móvil y la tienda donde lo haces necesita de varios intermediarios para procesar el pago (comercio – proveedor de pagos electrónicos – compañía de la tarjeta – banco). Con PSD2 el proceso se acorta: comercio – banco. Un solo paso en vez de cuatro que se produce a través de una estructura de datos (conocida como API).

PSD2 fue el sustrato en el que germinó el open banking, un hito europeo que pronto se propagó a otros territorios.

La PSD2 habilita el acceso a terceros -como pueden ser Google, Facebook, Amazon o AliPay-, acorta los procesos en el comercio electrónico y aumenta la oferta a nivel financiero. Evidentemente, este acceso dependerá de la aprobación del propio cliente.

Esta nueva normativa incluía mejoras en los derechos para los usuarios de los servicios de pago, entre los que destacan:

1. Transparencia e información

El acceso a la información no puede tener coste alguno para los usuarios que deberán conocer gratuitamente los gastos asociados a cada operación, las condiciones de la misma y el plazo de ejecución en que se llevará a cabo.

2. Facultad de rescisión

En todo momento, salvo que se pacte lo contrario, el usuario de los servicios PSD2 puede rescindir su contrato marco sin aviso previo. En caso de existir pacto en contra, este no podrá superar el mes.

La rescisión de un contrato, además de contar con la libertad de acción que acabamos de mencionar, también será gratuita. Es más, la rescisión sólo pierde su carácter gratuito si el contrato ha tenido una duración inferior a seis meses.

3. Rectificación de operaciones no autorizadas

En caso de realizarse operaciones no autorizadas, esta directiva europea obliga a su corrección inmediata. El usuario deberá notificar a su proveedor tan pronto se dé cuenta del error.

Si la autorización de la operación no especifica un importe exacto o si el importe supera lo esperado, el usuario podrá solicitar la devolución del mismo.

Algo que también favorece al usuario y al consumidor es que, en caso de disputa, es el suministrador del servicio de pago el que debe demostrar que la operación se ha realizado contando con la pertinente autorización y que su ejecución ha sido la correcta.

4. Responsabilidad por operaciones no autorizadas

Se limitaba la responsabilidad de los usuarios que sean víctimas de operaciones fraudulentas. La cantidad máxima que se tendrá que soportar será de 50 euros, frente a los 150 euros anteriores.

5. Autenticación reforzada

Una de las medidas de la directiva PSD2 es la de emplear medidas de autenticación reforzada o doble autenticación, porque uno de los objetivos era reducir el fraude y aumentar la seguridad. Esto significa que para autorizar una operación desde entonces es necesario emplear al menos dos de estos métodos:

  • Elemento inherente: huella dactilar, iris o reconocimiento facial, sistemas habituales en los dispositivos móviles.
  • Elemento poseído: algo físico como una tarjeta, un certificado digital o un teléfono móvil.
  • Elemento conocido: un número PIN o contraseña.

Como estas medidas de control son independientes entre sí, en el caso de que una de ellas esté comprometida a efectos de ciberseguridad, el riesgo de amenaza disminuye dado que va a ser necesario pasar un doble filtro de control.

6. Compras online más rápidas

Con la esta directiva el intercambio monetario se hace de forma instantánea, al estilo de una transferencia.

Una vez que se ha autorizado la operación, no existen retrasos motivados por procesos de confirmación de pago que alarguen la disponibilidad de los fondos implicados en la operación. Se apuesta por la agilidad de las operaciones y por la rapidez, sí, pero respaldada por una mayor seguridad.

¿Cuándo entró en vigor la PSD2?

En septiembre de 2019 empezaron a ser efectivas las medidas de esta segunda directiva europea sobre servicios de pago, que se aprobó en 2015.

 

Cuidado con los intentos de phishing

No olvides algunas premisas básicas de protección a la hora de navegar online. Por ejemplo, que tu banco nunca te va a contactar por correo electrónico o SMS para pedirte información personal como tu PIN, contraseña o para realizar operaciones o  comprobaciones de seguridad. Si te encuentras en esta situación, lo más probable es que te encuentres ante un intento de phishing.

Si en algún momento tienes la sospecha de que estas siendo víctima de una ciberestafa, lo más recomendable es que pares la operación de inmediato y que no facilites ningún tipo de información que ponga en peligro tu seguridad financiera. Además, recuerda avisar a tu banco para que esté al tanto de los intentos de phishing que reciben sus clientes y pueda actuar en consecuencia.

Debes ser extremadamente cuidadoso con la divulgación de datos personales y financieros. Comprueba siempre que la plataforma cuenta con las todas las medidas de seguridad necesarias que acrediten que es una operación legítima. En la web de ABANCA puedes conocer todos los mecanismos de seguridad que empleamos.

Activa un sistema de avisos y alertas

Configurar alertas y comprobar con frecuencia los movimientos de tus cuentas también te ayuda a detectar posibles actividades ilícitas y mantener tu seguridad financiera.

Infórmate antes de contratar online

Seamos honestos, existen actividades mucho más entretenidas que leer los términos y condiciones de un servicio que vayas a contratar online. Sin embargo, es importantísimo para saber y entender lo que estás aceptando y no tener sorpresas tan inesperadas como desagradables.

Cuando aceptas los servicios de Proveedores de Servicios de Información de Cuenta (más adelante te contamos qué son), la seguridad de tus datos pasará a formar parte de su responsabilidad. Como consumidores no podemos controlar como realizará la gestión de los mismos. Por ello, debemos también tomar las riendas de control y asegurarnos de que todo va como debe ir.

Si desde instancias superiores y a nivel europeo están tomando medidas para que los usuarios y sus datos financieros estén a salvo en operaciones con sistemas de pago electrónicos, ¿cómo no vas a poner de tu parte para conseguir lo mismo?

Nuevos operadores de la PSD2: ¿qué son los AISP y los PISP?

¿Has llegado hasta aquí? ¡Pues sigamos! Hace un momento hablábamos de “terceros” y es que con aquella normativa surgieron dos nuevos tipos de entidades:

  1. Los PISP, que son los Proveedores de Servicios de Iniciación de Pagos.
  2. Los AISP, que son los Proveedores de Servicios de Información de Cuenta.

A continuación, te hablamos de ellos más en profundidad para dejar claro quién es quién y qué aportan en este nuevo panorama de medios de pago al que nos estamos incorporando.

1. Los Proveedores de Servicios de Iniciación de Pagos o PISP

Los PISP son proveedores de servicios de pago que conectan al cliente con el banco para realizar una operación.

En este caso, el proveedor se mantiene en parte al margen de la información y acceso a las finanzas del usuario, ya que el dinero del usuario no pasa por el PISP.

Te encuentras ante un PISP cuando realizas una compra o pagas un servicio con una tarjeta de crédito y, antes de aceptar la operación y sin salir de la plataforma o web en la que estabas, te redirigen a una pasarela de pago donde certificas que aceptas la operación.

Pero este no es el único ejemplo representativo de servicio PISP. Este sistema también permite comprar en internet sin necesidad de contar con una tarjeta de crédito o incluso poder realizar transferencias entre particulares desde una aplicación que no es la del banco de origen de la transferencia.

2. Los Proveedores de Servicios de Información de Cuenta o AISP

Los AISP (Proveedores de Servicios de Información de Cuenta) integran y agrupan la información financiera de un cliente, que puede corresponder a uno o varios bancos, y se la ofrecen al cliente de forma conjunta para que desde una sola plataforma acceda y gestione todas sus cuentas, independientemente de que estén en varias entidades bancarias.

Evidentemente, se requiere la autorización del usuario y su principal ventaja es ofrecer una variedad de servicios a partir de la obtención de la información financiera del usuario.

Como quizás ya estés pensando, esta ventaja también puede ser una desventaja si el proveedor de este servicio no ofrece una serie de garantías en cuanto a ciberseguridad y protección de datos. Por eso es tan importante tener en cuenta las recomendaciones se seguridad que te dimos antes.

Lista de preguntas frecuentes de los usuarios sobre la PSD2

Hemos hecho un recopilatorio de la principales preguntas frecuentes que se hacen los usuarios bancarios en todo lo relacionado con las PSD2.

¿Cuándo entró en vigor la PSD2?

La mayoría de las disposiciones de esta Directiva europea entraron en vigor el 25 de noviembre de 2018. Los derechos y obligaciones sobre la utilización de servicios de pago son efectivos desde el 25 de febrero de 2019; y las medidas de seguridad en relación a los artículos 37-39 y 68 del RD, desde el 14 de septiembre de 2019.

¿Habrá una nueva actualización en breve?

O dicho de otro modo, ¿para cuándo se espera la tercera parte de esta Directiva europea?

En este caso, todo va a depender de cómo se comporte la PSD2.

¿Cómo afecta la PSD2 al proceso de pago electrónico?

Hasta ahora los pagos se hacían vía API lo que implicaba 4 pasos para completar el proceso de compra:

  1. Comercio
  2. Proveedor de pagos electrónicos
  3. Compañía de la tarjeta
  4. Banco

Con el sistema de PSD2 el proceso queda recortado a dos simples pasos:

  1. Comercio
  2. Banco

Recuerda que los contenidos de este blog tienen carácter informativo. Cualquier actuación motivada por su contenido o por la interpretación de las normas a las que hace referencia deberá ser analizada de forma específica teniendo en cuenta la situación particular de que se trate.

Logo Movil

Recibe nuestros contenidos más útiles

Suscríbete a nuestra newsletter y te los enviaremos, cada quince días, a tu bandeja de entrada. Consigue además nuestra guía para evitar estafas online, ¡por tiempo limitado!