Moratoria para la aplicación de la PSD2: probable aplazamiento hasta 2021

Métodos de Pago

27 agosto, 2019

La entrada en vigor de la directiva PSD2 y la controvertida SCA (Strong Customer Authentication) prevista para el próximo 14 de septiembre tendrá que esperar, como algunos expertos del sector ya venían presagiando (al pié os dejo un podcast con fecha 25 de marzo a uno de los máximos expertos en ePayments de España, Marc Nieto). Finalmente, los miembros del Espacio Económico Europeo han acordado la aplicación de un periodo de moratoria en, prácticamente, todos los estados miembros.

Esta moratoria será de 18 meses en la mayoría de los países, si bien en España será de 14 meses, más un periodo de amortización flexible, tras el acuerdo al que han llegado los actores implicados en nuestro país (banca, comercio y otros actores) con el Banco Central de España. Es decir, que como mínimo, hasta noviembre de 2020 no sería de obligado cumplimiento en nuestro país la PSD2. A este periodo se le podrían añadir unos meses de "amortización flexible", con lo que nos iríamos hasta el 14 de marzo de 2021, que es la fecha por la que apuestan países como Francia, UK o Alemania.

Eso sí, todos los actores implicados (particularmente la banca y emisores de tarjetas) tendrán que seguir el llamado "Plan de acción para la aplicación de la autenticación reforzada sobre el pago con tarjeta en comercio electrónico" presentado el pasado mes de julio y aprobado entre las partes. Después llegaría el periodo de "amortización flexible", que sería algo así como supervisar y poner en común con el resto de países miembros que los deberes se han hecho correctamente.

La problemática: ¿Hemos ido demasiado rápido?

Aunque la directiva PSD2 venía cocinándose desde hace mucho tiempo, expertos del sector opinan que su transposición y obligado cumplimiento se ha querido adelantar en exceso. Ni la tecnología, ni los bancos están - en algunos casos, en otros sí -, preparados para cumplir con la parte más sensible de la directiva, la SCA (autenticación fuerte del consumidor) que dote de una mayor seguridad a las transacciones digitales.

Con la SCA, Europa quiere obligar a las entidades emisoras de tarjetas de crédito (bancos principalmente) e iniciadores de pago - o PISP - como VISA o Mastercard) a poner dos capas de seguridad en las transacciones digitales, que pueden ser de tres tipos; por lo que habría que cumplir al menos dos de ellas:

  • Algo que el consumidor sabe: Una password, o clave, etc.
  • Algo que el consumidor tiene: por ejemplo, un móvil donde llega un SMS para verificar la operación (3DSecure) o una tarjeta de posiciones de códigos.
  • Algo que el consumidor es: la posibilidad de verificación biométrica, ya sea por huellas dactilares, reconocimiento facial, comportamental, etc.

¿Dónde está el origen del problema?

Como siempre, en la interpretación. A pocos días de la entrada en vigor la EBA (Autoridad Bancaria Europea), supervisora de todo el proceso, difiere en la interpretación que algunos países o actores han hecho de la PSD2. El ejemplo más frecuente ha sido el de considerar que un factor de autenticación es el código PAN de la tarjeta (o código de 16 dígitos). La EBA dice que este dato no proporciona necesariamente una barrera de seguridad. Ergo, se debían de cumplir las otras dos casuísticas.

partes de una tarjeta de crédito
Diferentes partes de una tarjeta de crédito

El siguiente problema es que no todos los bancos han sido capaces de montar los entornos tecnológicos suficientes como para cumplir con el "lo que es", es decir, dotarse de soluciones biométricas.

A esto habría que sumar que no todos los usuarios tienen móviles de última generación con la tecnología suficiente como para identificarse biométricamente, ya sea por la huella dactilar, reconocimiento facial, etc. Esta característica se da en móviles de última generación que finalmente solo posee un porcentaje de la población.

Es decir, que en un muy alto porcentaje de las transacciones se iban a caer de un día para otro. Según los expertos consultados por Ecommerce News, se calculaba que entorno a un 30% del total, lo que supone una auténtica sangría para el comercio.

¿Cuál es la apuesta de cada país?

La EEE (Espacio Económico Europeo) está compuesta por los 28 miembros de la Unión Europa y los miembros de la AELC (Asociación Europea de Libre Comercio) siguientes: Islandia, Liechtenstein y Noruega.

Según un memorandum al que hemos tenido acceso desde Ecommerce News remitido por Ecommerce Europe a los países miembros el pasado 14 de agosto, este sería el estatus del nivel de adopción de la PSD2 en cada país, así como el plan de implantación o moratoria que solicitan cada uno. Existen países, como Holanda, partidarios de su implantación en 6 meses hasta los 18 de UK o 14 de España.

Sin duda la PSD2 y la SCA seguirá dando que hablar, y mucho, en los próximos días, semanas y meses. Seguiremos informando, pero me gustaría conocer vuestra opinión al respecto.

 

Impacto

¿Qué te pareció este artículo?

  • 5630
  • 6

Recomendar

Recomendar

Si te pareció interesante este artículo, sé el primero en recomendarlo.

6 thoughts on “Moratoria para la aplicación de la PSD2: probable aplazamiento hasta 2021”

  1. Ojo que esta discusión sólo afecta a la extensión del periodo para la aplicación de SCA en el pago con tarjeta no presente. En caso de no dar el mismo tratamiento a la aplicación de SCA para acceder a la interfaz de usuario se estaría creando una grave asimetría competitiva entre el pago con tarjeta y el pago mediante iniciación. Con el añadido de que en el caso del pago con tarjeta se trata de un problema edógeno, es decir, es un problema que surge dentro del ámbito de responsabilidad de los beneficiados por la prórroga. Mientras que en el caso del pago con iniciación, se trata de un problema exógeno, es decir, no hay nada que los iniciadores de pago podrían haber hecho para resolver el problema al que ahora se enfrentarian.

    En cualquier caso sería irónico que las autoridades fueran flexibles con los medios de pago incumbentes y no lo fueran con los nuevos medios de pago que precisamente PSD2 introduce para aumentar la competencia en el sector.

    Para que se entienda mejor el problema lo explico paso a paso:

    1.-Por lo que hemos visto, ningún API bancaria europea está en condiciones de recibir una exención, ya que distan mucho de permitir la continuidad de negocio de los TPPs.

    2.-Por otra parte, no conocemos de ninguna entidad que haya documentado una interfaz de respaldo.

    3.-Las entidades tiene la obligación de aplicar SCA en la interfaz de usuario para cuando estos accedan por primera vez, cada 90 días o para ver movimientos con una antiguedad superior a 90 días.

    4.-Dado que las APIs no obtendrán la exención, los TPPs deberán seguir accediendo como lo hacían hasta ahora, pero identificándose previamente mediante la utilización de un certificado eIDAS que sólo se puede obtener con un registro de entidad autorizada.

    5.-Como consecuencia de todo lo anterior, los TPPs se van a encontrar con este SCA que no se ha documentado ni se ha podido probar (no me refiero al SCA para realizar un pago, que asumo que no cambiará significativamente).

    6.-Presumiblemente, los TPPs se van a encontrar con este nuevo SCA prácticamente a la vez para la mayoría de los bancos, suponiendo una interrupción del servicio casi total hasta que a ciegas se vayan adaptando a este obstáculo .

  2. Conclusión muy acertada, Arturo: se trata precisamente de un problema exógeno para los iniciadores de pago, que 1) no han disfrutado de la certeza jurídica necesaria al ver cómo se ha postergado un año más la transposición de la directiva en España (en Holanda también hubo una demora semejante, pero fue porque en su Parlamento se produjo un interesante debate entorno a la privacidad de datos personales y sobre la compatibilidad entre la PSD2 y la GDPR, debate que sus Señorías aquí no han tenido)
    2) El problema edógeno en el caso del pago con tarjeta, es justo lo contrario si nos referimos a la preparación tecnológica de algunos iniciadores de pagos, muy avanzada: en 2015 incluso se efectuaban con biometría los pagos contactless en tiendas físicas – sin necesitar tarjetas bancarias – con una previsión más que razonable de poder extender su uso.
    3) Cabe recordar que la PSD2 fue aprobada en noviembre de 2015, es decir, pronto habrán pasado 4 años, tiempo suficiente parece, como para poder cumplir con la normativa.
    4) La paradoja es que la resistencia de la banca o su incompetencia -no ha hecho más que refozar a su competencia.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

RECIBE NUESTRA NEWSLETTER



*Email: *Nombre apellidos: *Empresa:

Cargo:

Sector:  

   

Please don't insert text in the box below!

Patrocinado por: Patrocinador

De compras por Whatsapp: crea tu catálogo y vende directamente desde la app

Mobile Commerce Congress 19- Universal Pay: «El commerce que viene»

Web Summit: “Somos la generación que permite a la tecnología tomar decisiones por nosotros y las generaciones que nos siguen pagarán las consecuencias”

Solo 2 días para Ecommerce Tour Coruña: Últimas entradas disponibles

Alibaba supera los 38.400 millones de dólares en la edición 2019 del 11.11

Éxito de Ecommerce News en la celebración de la 7ª Edición del Mobile Commerce Congress

Webinar: ¿Cómo generar tráfico en Black Friday para tu E-commerce y convertirlo en venta?

Comercio contextual: cómo conseguir que los consumidores se conviertan en compradores

Amazon y cómo las reglas de juego en publicidad digital han cambiado

Así han cambiado los Millenials la forma de comprar y vender

Cinco retos del eCommerce en 2020

Cómo crear una estrategia de email marketing en la era del consumidor empoderado

E-commerce: de villano al mejor aliado de la tienda física

Experiencia de cliente y Experiencia de usuario: integrando ambos en una estrategia global

Webinar: ¿Cómo generar tráfico en Black Friday para tu E-commerce y convertirlo en venta?

Ecommbrunch: Black Friday y Campaña de Navidad 2019 (Foreo, Phone House, Audiotronics y TodoTuMovil)

Webinar: Acciones Tácticas para un Black Friday inteligente

Ecommbrunch: Black Friday y Campaña de Navidad 2019 (Correos Express)

Ecommbrunch: Black Friday y Campaña de Navidad 2019 (Proximis)

Ecommbrunch: todos los datos del Black Friday y Campaña de Navidad 2019 con GfK

Webinar: Acciones tácticas para un Black Friday Inteligente

Más leídas

Último número

Optimization WordPress Plugins & Solutions by W3 EDGE