¿Qué es la “PSD 2” y cómo nos afecta?

que es la psd 2

El pasado viernes, el Consejo de Ministros aprobó, el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgente en materia financiera, publicado en el BOE del sábado 24 de noviembre, norma que supone la transposición a la legislación española de la directiva de la UE 2015/2366, de servicios de pago, conocida como la “PSD2”. Si bien esta norma ha entrado en vigor al día siguiente de su publicación en el BOE, la mayoría de sus disposiciones no serán aplicables hasta dentro de tres y determinadas obligaciones de autenticación y de posibilitar el acceso a la información bancaria por terceros no serán exigibles hasta después del verano próximo.

La directiva que regulaba la “PSD 1” del año 2007 se transpuso en España mediante la Ley 16/2009, de servicios de pago, que entre otras cuestiones implementaba la zona SEPA, la “zona única de pagos en euros”, unificando el sistema pagos en euros entre distintos Estados de la UE.  La PSD 2, entre otras cosas, pretende la igualdad de reglas entre países y entre proveedores de servicios de pago, protegiendo así con un mayor nivel a los consumidores, que se benefician de una mayor competencia y posibilidades de uso de distintos medios de pago, eliminando intermediarios, normalizando nuevos métodos de pago, como los realizados online o a través del móvil, y obligando a la apertura por parte de los bancos de sus servicios de pagos a terceras empresas, los denominados TPPs (Third Party Payment Service Providers), y permitir así el acceso de terceros a las cuentas de los clientes de una entidad financiera, y el inicio de pagos en su nombre, previa autorización del titular de la cuenta.

Tradicionalmente, al realizar una compra online, el comercio ha de acudir a un intermediario o proveedores de pagos electrónicos, que a su vez se ponen en contacto con la compañía de la tarjeta usada para el pago (por lo general Visa, American Express o MasterCard) que finalmente cargan el cobro contra la cuenta corriente del consumidor. Con la normativa PSD 2 el consumidor podrá autorizar al comercio para que directamente ejecute pagos en su nombre a través de su cuenta bancaria. Esto es, el comercio y el banco se comunicarán ahora directamente utilizando un sistema de información, una API (Application Programm Interface), que deberán ser implementadas (definición, nomenclaturas, protocolos de acceso y autenticación, etc.) para compartir información con los proveedores de servicios de pago.

En cuanto a los proveedores, existen servicios que recogen y almacenan la información de las distintas cuentas bancarias de un cliente en un solo lugar (servicios de información de cuenta, conocido por las siglas AIS), que posibilitan a sus usuarios tener una visión global y más completa de su situación financiera unificada, y así poder analizar e informar sobre sus gastos, ingresos o necesidades financieras que permitan una ayuda a la planificación económica de los usuarios. También existen otros proveedores que facilitan el uso de la banca online para realizar pagos por internet (servicios de pagos de iniciación, conocidos por las siglas PIS), que lo que hacen es iniciar un pago desde la cuenta del consumidor a la cuenta del comercio mediante el uso de un sistema de información que posibilita la gestión entre ambas cuentas directamente, proporcionado la información necesaria para la transferencia (cuantía de la transacción, número de cuenta, mensaje) e informando al comercio del inicio de la transacción y su confirmación. Así, en este campo, las denominadas fintech (aplicaciones de servicios financieros), serán las más visibles en cómo afecta la nueva normativa.

En ambos casos es obligatorio y necesaria la autorización de los clientes y, lógicamente, su previa autenticación, tanto de particulares como de empresas. La nueva normativa recoge nuevos requisitos de seguridad que obligarán a todos los proveedores de servicios de pago a poner especial énfasis en vigilar y tomar las medidas oportunas de seguridad en torno a los pagos en línea. De hecho, se ha de implantar la “autenticación reforzada del cliente”, que conlleva que, en teoría, cada vez que un usuario realice un pago desde su cuenta, debe hacerlo usando el “doble factor de autenticación”, por ejemplo, introduciendo una contraseña y un código que reciba a través de un mensaje de texto a su móvil.

Como hemos señalado, la principal consecuencia es la apertura por parte de los bancos de sus servicios de pagos a estos proveedores (TPPs), esto es, open banking, dado que hasta la aprobación de esta norma, a los TPPs se les impedía en la práctica ofrecer sus soluciones al gran público en los distintos estados miembros, por lo que es de esperar una mayor competencia y aumento de nuevos operadores, que conllevarán una mayor oferta a los consumidores de toda Europa de soluciones más económicas para los pagos. Ello se traduce igualmente en que a los TPPs se les exigirán las mismas reglas que a los proveedores de servicios de pago tradicionales, esto es, el sometimiento a registro, autorización y supervisión por las autoridades competentes.

Pero no podemos dejar de mencionar que la normativa PSD 2 incluye nuevos e importantes derechos para los usuarios de los servicios de pago, como por ejemplo, la prohibición absoluta de que los comercios cobren cualquier tipo de recargo o sobreprecio por pagar con cualquier instrumento de pago electrónico. Del mismo modo, se limita la responsabilidad de los usuarios que sean víctimas de operaciones fraudulentas a un máximo de 50 euros y establece que se adopten sistemas que garanticen que cualquier reclamación del usuario a su entidad se resuelva en un máximo de 15 días. Estas medidas de protección y transparencia a los consumidores, se aplican igualmente a las denominadas “microempresas”, estos es, personas físicas (profesionales o empresarios) o jurídicas con menos de 10 trabajadores y una facturación inferior a 10 millones de euros anuales.

No obstante la normativa PDS 2 y los evidentes objetivos que persigue, aún no se conoce con exactitud las condiciones en las que los bancos cumplirán el deber de acceso a las cuentas por terceros y el alcance de la información a proporcionar, o por ejemplo, las operaciones que estarán exentas de la obligación de implantar el pago por doble factor de autenticación, y no cabe duda de que su definición concreta es de suma importancia para mantener modelos de pago ampliamente implantados en el comercio electrónico y el tradicional, como el pago en un click o los pagos contactless (NFC).

Así pues, el paso del tiempo irá configurando el funcionamiento del sistema, así como posibilitando un nuevo abanico de posibilidades, al igual que ocurrió con el PDS 1. De hecho, el sector de las fintech se encuentra en España en una posición aventajada, pues a las posibilidades que conlleva la apertura de escenarios de esta norma, se ha de unir anteproyecto de ley de medidas para la Transformación Digital del Sistema Financiero,  que contiene la regulación de los “sandbox regulatorios” entre sus principales objetivos, esto es, un entorno reglado que permite y ampara la realización de pruebas controladas y delimitadas dentro de un proyecto de innovación financiera de base tecnológica, estableciendo el régimen de garantías y protección de los participantes durante las pruebas, así como el sistema de salida y efectos posteriores a la realización de dichas pruebas.

De esta manera España se sitúa a la cabeza de Europa en este campo, por lo que a partir del año 2019, en que en principio se pueda disfrutar de las ventajas de un sandbox regulatorio para las fintech e insurtech, unido al PDS 2, posibilitan que se manejen unas previsiones de impacto económico optimistas para el sector y los servicios a los consumidores.

 

Miguel Marcos-Alberca Moreno

Abogado