La entrada en vigor de la directiva PSD2 y la controvertida SCA (Strong Customer Authentication) prevista para el próximo 14 de septiembre tendrá que esperar, como algunos expertos del sector ya venían presagiando (al pié os dejo un podcast con fecha 25 de marzo a uno de los máximos expertos en ePayments de España, Marc Nieto). Finalmente, los miembros del Espacio Económico Europeo han acordado la aplicación de un periodo de moratoria en, prácticamente, todos los estados miembros.
Esta moratoria será de 18 meses en la mayoría de los países, si bien en España será de 14 meses, más un periodo de amortización flexible, tras el acuerdo al que han llegado los actores implicados en nuestro país (banca, comercio y otros actores) con el Banco Central de España. Es decir, que como mínimo, hasta noviembre de 2020 no sería de obligado cumplimiento en nuestro país la PSD2. A este periodo se le podrían añadir unos meses de «amortización flexible», con lo que nos iríamos hasta el 14 de marzo de 2021, que es la fecha por la que apuestan países como Francia, UK o Alemania.
Eso sí, todos los actores implicados (particularmente la banca y emisores de tarjetas) tendrán que seguir el llamado «Plan de acción para la aplicación de la autenticación reforzada sobre el pago con tarjeta en comercio electrónico» presentado el pasado mes de julio y aprobado entre las partes. Después llegaría el periodo de «amortización flexible», que sería algo así como supervisar y poner en común con el resto de países miembros que los deberes se han hecho correctamente.
La problemática: ¿Hemos ido demasiado rápido?
Aunque la directiva PSD2 venía cocinándose desde hace mucho tiempo, expertos del sector opinan que su transposición y obligado cumplimiento se ha querido adelantar en exceso. Ni la tecnología, ni los bancos están – en algunos casos, en otros sí -, preparados para cumplir con la parte más sensible de la directiva, la SCA (autenticación fuerte del consumidor) que dote de una mayor seguridad a las transacciones digitales.
Con la SCA, Europa quiere obligar a las entidades emisoras de tarjetas de crédito (bancos principalmente) e iniciadores de pago – o PISP – como VISA o Mastercard) a poner dos capas de seguridad en las transacciones digitales, que pueden ser de tres tipos; por lo que habría que cumplir al menos dos de ellas:
- Algo que el consumidor sabe: Una password, o clave, etc.
- Algo que el consumidor tiene: por ejemplo, un móvil donde llega un SMS para verificar la operación (3DSecure) o una tarjeta de posiciones de códigos.
- Algo que el consumidor es: la posibilidad de verificación biométrica, ya sea por huellas dactilares, reconocimiento facial, comportamental, etc.
¿Dónde está el origen del problema?
Como siempre, en la interpretación. A pocos días de la entrada en vigor la EBA (Autoridad Bancaria Europea), supervisora de todo el proceso, difiere en la interpretación que algunos países o actores han hecho de la PSD2. El ejemplo más frecuente ha sido el de considerar que un factor de autenticación es el código PAN de la tarjeta (o código de 16 dígitos). La EBA dice que este dato no proporciona necesariamente una barrera de seguridad. Ergo, se debían de cumplir las otras dos casuísticas.
El siguiente problema es que no todos los bancos han sido capaces de montar los entornos tecnológicos suficientes como para cumplir con el «lo que es», es decir, dotarse de soluciones biométricas.
A esto habría que sumar que no todos los usuarios tienen móviles de última generación con la tecnología suficiente como para identificarse biométricamente, ya sea por la huella dactilar, reconocimiento facial, etc. Esta característica se da en móviles de última generación que finalmente solo posee un porcentaje de la población.
Es decir, que en un muy alto porcentaje de las transacciones se iban a caer de un día para otro. Según los expertos consultados por Ecommerce News, se calculaba que entorno a un 30% del total, lo que supone una auténtica sangría para el comercio.
¿Cuál es la apuesta de cada país?
La EEE (Espacio Económico Europeo) está compuesta por los 28 miembros de la Unión Europa y los miembros de la AELC (Asociación Europea de Libre Comercio) siguientes: Islandia, Liechtenstein y Noruega.
Según un memorandum al que hemos tenido acceso desde Ecommerce News remitido por Ecommerce Europe a los países miembros el pasado 14 de agosto, este sería el estatus del nivel de adopción de la PSD2 en cada país, así como el plan de implantación o moratoria que solicitan cada uno. Existen países, como Holanda, partidarios de su implantación en 6 meses hasta los 18 de UK o 14 de España.
Sin duda la PSD2 y la SCA seguirá dando que hablar, y mucho, en los próximos días, semanas y meses. Seguiremos informando, pero me gustaría conocer vuestra opinión al respecto.