PSD2: Glosario con los conceptos que debes conocer

PSD2: Glosario con los conceptos que debes conocer
4.2 (84.53%) 53 votos

La digitalización ha traído muchas cosas buenas para el cliente de banca. Pero también ha aparecido un nuevo tipo de proveedores de servicios que muchos usuarios no saben que existen e incluso, qué función exacta cumplen. Estas entidades, que están legitimadas por la segunda Directiva de Servicios de Pago del Parlamento Europeo y del Consejo, más conocida como PSD2, tienen la posibilidad de establecer una relación directa con los clientes. Pueden realizar transacciones en su nombre y acceder a la información de las mismas.

En este artículo, aclararemos para tu información quiénes son estos nuevos agentes, qué función cumplen de cara al usuario de banca electrónica, así como la regulación que les afecta.

Pero sobre todo, incidiremos en los términos relacionados con esta regulación, su significado y las implicaciones para el cliente.

¿Qué es la PSD2?

Hacer la vida del usuario de banca electrónica más fácil es el principal reto de la digitalización de la banca.

Al mismo tiempo, para maximizar su rentabilidad y afrontar los bajos tipos de interés, el sector se ha tenido que reinventar, esforzándose por encontrar la fórmula que le permita seguir siendo competitiva.

En este contexto, han surgido nuevos competidores procedentes de otras industrias, las denominadas “empresas fintech”, entre las que se encuentran proveedores de todo tipo de servicios, como las tarjetas sin contacto, el pago móvil, los pagos inmediatos y otros muchos servicios que trabajan para mejorar los procesos en colaboración con las entidades.

Como es lógico, en este contexto se ha hecho necesaria una revisión de la normativa que regula los servicios de pago en Europa, la segunda Directiva de Servicios de Pago o PSD2.

Esta directiva europea es una norma compleja que pretende reflejar la realidad de los servicios de pago para proteger al usuario como se merece. Además, pretende hacer especial hincapié en aquella actividad por la que los usuarios autorizan a otros actores a acceder a las cuentas que tienen con otras entidades diferentes.

Glosario de términos PSD2

Como complemento a las principales novedades que introduce la nueva regulación queremos ayudarte con los términos más comunes relacionados.

AIS

El primero de los términos significa Servicios de Información de Cuentas (Account Information Services). Este servicio obliga a los bancos a permitir que un tercero tenga acceso a la información de las cuentas del interesado, previa autorización.

Imagina por ejemplo aquellas aplicaciones que, sin infraestructura, pueden gestionar los pagos de sus clientes con tarifas más beneficiosas que las entidades.

Estos servicios permiten la aparición de nuevos modelos de negocio, como por ejemplo, los Proveedores de Servicios de Pago de Servicio de Cuentas.

La normativa PSD2 garantiza que todos los agentes, tanto los nuevos actores, como los bancos, sigan las mismas reglas del juego.

AISP

Los Proveedores de Servicios de Información de Cuenta o AISP (Account Information Service Provider) ofrecen información financiera al cliente de uno o varios bancos.

Estos, que como hemos visto, están obligados a proporcionarles la información, pueden presentársela al cliente de forma conjunta y más atractiva.

Ejemplo de esta figura contemplada en la regulación PSD2 son aquellas aplicaciones que sirven para organizar tus gastos, como Fintonic en España.

Utilizan como reclamo una mejor presentación de la información financiera, organizada de forma que el consumidor pueda controlar lo que gasta.

A cambio de conectar tus cuentas y permitir el acceso a las mismas, este tipo de aplicaciones recaba información y ofrece nuevos servicios, como financiación de compras, créditos, pagos a plazos, etc.

Para los bancos supone una intermediación importante, porque pierden el contacto con sus clientes, y la capacidad para ofrecerles nuevos servicios ajustados a sus necesidades.

API

API son las siglas Application Programming Interface. Aunque no las veamos están por todas partes y sirven para conectar unas aplicaciones con otras e intercambiar información.

Por ejemplo, cuando compramos una entrada de cine e introducimos los datos de nuestra tarjeta, es una API la que se encarga de conectar con el banco, comprobar si hay fondos y volver a conectarse con la web que emite las entradas.

Las APIs son necesarias para que servicios los AISP puedan realizar su función, ya que se tienen que conectar con las entidades para conseguir la información financiera que quieren presentar al cliente final.

ASPSP

ASPSP significa Proveedor de Servicios de Pago de Servicio de Cuentas (Account Servicing Payment Service Provider).

Aunque para los clientes la experiencia de compra sigue siendo exactamente la misma, la normativa PSD2 supone la desaparición de algunos de los participantes tradicionales.

Pero para las empresas que inicien el pago, las conocidas como PISP, la relación sí que cambia.

En lugar de interactuar con los adquirentes mercantiles, ahora lo hacen directamente con los bancos, es decir, con los proveedores de servicios de pago.

Estos proveedores, o sea, los bancos, son donde se encuentran las cuentas en las que se cargan los pagos, donde realmente está el dinero y que están obligados a tener una ficha bancaria.

El mercado queda así dividido en dos frentes; por un lado los proveedores de servicios de pago que serían los que proporcionan productos y los que los distribuyen (AISP y PISP).

PIS

Payment Initiation Service o servicio de iniciador de pagos es el mecanismo que permite que se inicien pagos desde dispositivos móviles, como el móvil, sustituyendo así a la tarjeta de crédito convencional.

PISP

Los proveedores de servicios de pago o Payment Initiation Service Provider son aquellas aplicaciones y empresas que proporcionan los servicios anteriormente mencionados y que sirven como sustituto del llamado “plástico”.

Entre sus ventajas se encuentra que permiten pagos recurrentes, como una especie de “domiciliación” de compras habituales del cliente.

Además, los PISP permiten a los usuarios un gran ahorro en comisiones, el almacenamiento de los datos (facilitando nuevas operaciones) y otorgan independencia de la entidad bancaria.

PSD1

PSD1 es la Directiva 2007/64/CE del Parlamento Europeo y del Consejo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior.

Modifica las directivas 97/7/CE, 2002/65/CE, 2005/60/CE y 2006/48/CE y deroga la Directiva 97/5/CE.

PSD2

Como hemos mencionado, PSD2 es la nueva directiva que sustituye a la PSD1.

Su nombre completo es Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior.

Modifica las directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010, y deroga la Directiva 2007/64/CE.

PSP

Los Proveedores de Servicios de Pago o Payment Service Provider son intermediarios de servicios financieros, como por ejemplo PayPal, Visa o Mastercard.

Entre las ventajas más destacadas para los comercios que quieren operar online, se encuentra la de que solo deben negociar con un proveedor, en este caso, un PSP.

Es común entre los PSP que, además de facilitar las operaciones con entidades bancarias, ofrezcan otros servicios, como por ejemplo, la gestión de riesgos. En este sentido, facilitan mucho la labor de los que quieren operar online.

Es importante señalar que los PSP suelen alquilar la tecnología, como en el caso de Visa y su datáfonos. Debido a su carácter de mero intermediario, el PSP no suele hacerse cargo de aspectos como la seguridad, que depende del comerciante.

RTS

RTS significa Regulatory Technical Standards o Estándares Técnicos de Regulación.

Los proveedores de servicios de pago deben tenerlos en cuenta, para adaptarse a la nueva PSD2, que fueron publicados el 27 de noviembre de 2018.

Estos estándares están alineados con los objetivos de la regulación, a saber, reforzar la protección del consumidor y garantizar la igualdad de condiciones para todos los agentes implicados.

Estos estándares fortalecen la seguridad de los pagos que se realizan online, como por ejemplo, asegurar la correcta identificación del cliente.

Algo que es posible gracias a ciertos requisitos que deben ser implementados tanto en el proceso de pago como en la prestación de servicios accesorios.

Por ejemplo, el usuario deberá identificarse con, al menos, dos elementos entre: una contraseña o número PIN, una tarjeta o móvil y un control biométrico, como la huella dactilar o un escáner de retina.

Para los pagos online, este estándar establece que se proporcione una clave de un solo uso, de forma que dicha clave no se pueda volver a utilizar para evitar un acceso no autorizado.

Como consecuencia del establecimiento de estos estándares de seguridad, tanto las entidades bancarias como otros proveedores de servicios de pago deben implementar las medidas técnicas y procesos que permitan identificar a los usuarios como hemos mencionado.

Otra de las novedades de estos estándares que entrarán en vigor el septiembre de 2019 es que deben hacerse efectivos cuando se inician a través de proveedores de servicios de iniciación de pagos (PISP) o cuando los titulares de cuentas solicitan información a través de un proveedor de servicios de información de cuentas (AISP).

SCA

La SCA (Strong Customer Authentication) o Autenticación Reforzada tiene mucho que ver con el término del glosarios PSD2 que acabamos de definir.

Su misión es proteger los servicios de pago online y evitar los fraudes más comunes en este entorno como es el robo de contraseñas o las transferencias no autorizadas.

Además del pago online también protege a los comercios a pie de calle donde los pagos contactless o con smartcard están a la orden del día.

Como hemos comentado, la SCA requiere una capa extra que protege los pagos mediante una identificación del usuario más completa, con un smartphone, una contraseña o una medida biométrica como la huella dactilar o el escáner de retina.

Se prevé además el uso de códigos de un solo uso para evitar que se realice más de una operación. Estos códigos además, deberán cumplir una serie de medidas que protegen a su dueño, como por ejemplo, la imposibilidad de extraer información a partir de dichos códigos, la imposibilidad de crear nuevos códigos a partir de uno previo y que sea imposible de falsificar.

Todo ello en aras de proteger tanto las operaciones como a los usuarios, en la línea del espíritu del reglamento, como venimos aclarando en este artículo.

TPP

TPP significa Third-Party Provider o proveedor tercero. Estos proveedores utilizan un sistema seguro que les permite conectarse a las entidades bancarias para consultar y utilizar los datos bancarios.

Evidentemente, siempre con la autorización expresa del cliente y con la misión de proporcionarle nuevos y mejorados servicios.

Los cambios contemplados en el PSD2 regulan la actividad de estos proveedores para que puedan solicitar los detalles de la banca online y operar en nombre del usuario.

Entre los servicios que los TPP pueden prestar se encuentran la agregación de cuentas para ofrecer una mejor información al cliente, como por ejemplo, comparativas de precios o el fraccionamiento de los pagos realizados online.

Además, los TPP pueden realizar pagos en nombre del cliente, como alternativa al uso de su tarjeta de crédito o débito.

Es importante recalcar que los TPP solo pueden acceder a la información y proporcionar este tipo de servicios si el cliente está dado de alta en la banca online y da su consentimiento expreso.

Webscrapping

Screen scraping o webscrapping es una técnica que permite extraer datos de un aplicación o sistema con objeto de volcarlos en otro para posteriormente trabajar con ellos.

No es exclusiva del sector bancario, ni mucho menos. De hecho se utiliza ampliamente en diferentes áreas como el marketing digital con distintos propósitos.

En el tema que estamos desarrollando, la normativa PSD2, debe realizarse con el consentimiento del cliente, gracias también a la nueva directiva europea de protección de datos.

A pesar de que ha habido diferentes “tira y afloja” entre los actores más beneficiados, las fintech y las entidades bancarias, finalmente la nueva regulación lo permite únicamente cuando las APIs no respondan.

A pesar de que es un derecho del consumidor ceder la información bancaria, las entidades financieras se han mostrado reticentes al uso del scraping, ya que suponía que a través de las interfaces y mediante el uso de credenciales de seguridad, los datos financieros quedaban a disposición de terceros, sin que hubiese ningún tipo de control o identificación previa.

La entidad responsable no podía conocer qué, quién o cuándo estaba extrayendo dichos datos.

Finalmente, el PSD2 contempla que las entidades no podrán impedir, obstaculizar o limitar los servicios sin justificación.

Ahora bien, los terceros implicados deberán cumplir ciertas obligaciones y requisitos en todo momento.

Esperamos que con este glosario de términos, estés al día de las principales novedades de la nueva directiva y de cómo trata de velar por la seguridad de las operaciones financieras del consumidor, independientemente de quien preste los servicios.

Deja un comentario
No hay comentarios todavía

Comentarios cerrados

¿Quieres estar al día de todos los trucos de ahorro?

Si te apetece, podemos enviarte cada quince días una selección de los contenidos más últiles para que no te pierdas nada. Si quieres que aumenten tus ahorros, suscríbete y verás.