FUENTE:
Carlos Torme

Director de Expansión de AECOC

iStock-963361728Transacciones más seguras, más rápidas y transparentes. Con menores costes. Implantación de nuevas e innovadoras formas de pago: huella dactilar y reconocimiento facial o del iris. La PSD2 –Segunda Directiva de Servicios de Pago del Parlamento Europeo y del Consejo que entró en vigor el pasado 14 de septiembre– va a marcar un antes y un después en el ámbito de las finanzas y también en la experiencia de compra.

Comerciantes, procesadores y bancos trabajan estrechamente para implantar una Directiva que trata de introducir más seguridad en los pagos online y en los pagos móviles. Recogemos a continuación las opiniones de un grupo de expertos que nos aportan una visión amplia sobre la implantación de la Directiva PSD2.

  • LAS CLAVES DE LA DIRECTIVA PSD2. El consumidor va a tener muchas más posibilidades de elección a la hora de pagar y financiar sus compras, y podrá hacerlo con mayor seguridad, eligiendo aquellos servicios de agentes intermedios que realmente les aporten valor.

Mercedes

Mercedes Gómez Varela
Marketing and Channel Manager para Iberia en Ingenico

Carlos Torme: ¿Qué 4 cambios introduce la nueva Directiva?

Mercedes Gómez Varela: La nueva Directiva de Servicios de Pago de la Unión Europea, PSD2, no causó mucho revuelo cuando se introdujo en mayo de 2018, pero pronto comenzará a afectar a nuestros negocios y los comercios deben prepararse para cumplir con los nuevos requisitos de seguridad. La idea que subyace en la nueva Directiva es, en parte, proteger a los consumidores del fraude, pero también promover la innovación en los pagos y los servicios financieros, con el mínimo impacto en las transacciones.

Los principales cambios que introduce la Directiva son:

  1. 3DS v2 y SCA. Durante más de 15 años el protocolo de seguridad 3DS ha funcionado para proteger las transacciones online, reducir el fraude en tarjetas y las retrocesiones, pero ha incrementado los ratios de abandono en los carritos de compra de los e-commerce. La última actualización incluida en la PSD2, la 3DS v2, utiliza una gama más amplia de datos y posibilita la autenticación biométrica para que los pagos online sean más seguros y fluidos que nunca. Para evitar el fraude sin afectar a los ratios de conversión, la PSD2 contiene nuevas regulaciones de seguridad para pagos digitales. En el centro de estas regulaciones se encuentran lo que se denomina autenticación reforzada del cliente (Strong Customer Authentication o SCA), que se explicará más adelante por ser el tema más importante para los e-commerce y puntos de venta físicos.
  2. Marketplaces. Con la nueva Directiva Europea, que busca nivelar el campo de juego de las instituciones financieras y velar por la seguridad de los pagos en internet, se abren oportunidades para las entidades financieras y obligaciones para los ebusiness; especialmente para los marketplaces, que como operadores deben tener una licencia de pagos o bien ser agente de una institución financiera para poder operar. Por lo que, indudablemente, necesitarán contar con proveedores de servicios de pago como nosotros para adaptarse a esta nueva ley.
  3. Prohibición de recargo. En la práctica es la prohibición de repercutir al consumidor costes adicionales, independientemente de los medios de pago elegidos por el comercio y los costes que se deriven de ellos.
  4. Open Banking. La relación entre los bancos y sus clientes está cambiando. La digitalización de la sociedad afecta a empresas y consumidores y obliga también a administraciones y autoridades públicas a regular nuevas relaciones y espacios críticos cuando se trata con dinero y datos. La PSD2 regula los pagos y el acceso a la información financiera del cliente final. De acuerdo a la normativa, la banca debe dar acceso a las API´s de terceros para que, por ejemplo, puedan iniciar los pagos. Este cambio es el que más repercusión tendrá en el consumidor ya que se beneficiará de las propuestas de las APP financieras y de pagos. La PSD2 habilita el acceso a terceros –como pueden ser Google, Facebook, Amazon o AliPay–, acorta los procesos en el comercio electrónico y aumenta la oferta de servicios financieros. Evidentemente, este acceso requerirá de la autorización previa por parte del cliente.

“La Directiva PSD2 trata de proteger a los consumidores frente al fraude y promover la innovación en los pagos y servicios financieros”.

¿Qué comerciantes se ven afectados por la normativa?

En el caso de los comercios físicos, la normativa exige el cumplimiento del SCA en los procesamientos de las transacciones contactless (sin contacto).

Tanto en el comercio online como en el físico, la normativa establece unos límites o, lo que es lo mismo, acepta la aplicación de exenciones a los comercios para que no tengan que aplicar el SCA al comprador facilitándole una experiencia de compra con menores fricciones. En el caso del punto de venta no se aplicará el SCA cuando el importe de la operación sea inferior a 20€ y siempre y cuando se cumplan otras dos condiciones: que el número de transacciones previas sin SCA sea menor que 5 y que el importe agregado de las últimas transacciones sin SCA sea inferior a 150€.

Los marketplaces, por su parte, llevan desde el año pasado adaptándose a su requerimiento con la ayuda de los proveedores de servicios de pago con licencia de entidad de pago.

antonio

Antonio Cimorra
Director de Tecnologías de la información y agenda digital en Ametic

¿Qué son las SCA (Strong Consumer Authentication) y las RTS (Regulatory Technical Standards)?

Antonio Cimorra: Las Normas Técnicas de Reglamentación (RTS) tienen como objetivo asegurar la protección del consumidor aumentando los niveles de seguridad en las transacciones de comercio electrónico, especialmente las que se realizan en remoto por internet o dispositivos móviles. Para ello es necesario aplicar la autenticación reforzada de cliente (Strong Customer Authentication o SCA) en el acceso a las cuentas de pago online, en el pago electrónico y cuando se lleve a cabo otra actividad en canal remoto que implique alto nivel de riesgo o potencial fraude.

La autenticación reforzada o SCA implica que la identidad del cliente debe ser verificada usando una combinación de 2 de los 3 elementos siguientes de seguridad:

  1. Knowledge: algo que sólo el usuario conoce.
  2. Possession: algo que sólo el usuario posee.
  3. Inherence: algo que sólo el usuario “es” (E.j. huella digital), además de un elemento extra para todas las transacciones remotas.

¿Qué operativas quedarían excluidas en la aplicación del SCA?

Existen operaciones de pagos que pueden ser excluidas dependiendo de sus características como por ejemplo: operaciones de correo electrónico o por teléfono (MOTO- Mail & Telephone orders), transacciones anónimas (por ejemplo tarjetas de pre-pago), transacciones internacionales, donde el emisor o el beneficiario se encuentran fuera del Espacio Económico Europeo –EEE– o transacciones que tengan un mandato firmado por el cliente previamente (con la excepción, en este caso, de que el cliente se deberá autenticar la primera vez/transacción).

“La identidad del cliente es verificada con 2 o 3 elementos de seguridad.”

¿En qué tipo de operativas el comercio podría solicitar una excepción en la aplicación del SCA al emisor del sistema de pagos?

El comercio podría solicitar una excepción al banco emisor en casos específicos de transacciones de bajo importe.

También se puede solicitar una excepción en los casos de acceso a información de la cuenta bancaria (después de la primera SCA, para una validez máxima de 90 días y con el consentimiento previo del cliente), transacciones analizadas por riesgos (Transaction Risk Analysis o TRA), comercios beneficiarios de confianza (Merchant white listing) y pagos recurrentes o relacionados con peajes, transporte y estacionamiento a través de terminales desatendidos.

Pedro

Pedro Campo
Presidente de la Confederación española de comercio

Desde su punto de vista, ¿qué objetivos persigue esta Directiva?

Pedro Campo: El objetivo es mejorar la seguridad en las operaciones de pagos electrónicos reforzando la protección contra el fraude sin perjudicar la experiencia del comprador y aumentando su confianza.

La PSD2 también regula el acceso a los datos de las cuentas bancarias del comprador por parte de terceros, siempre con previo consentimiento de éste, con el fin de poder recibir servicios (Ej. financieros) o reducir intermediarios en las operaciones de pago electrónico.

¿Qué acogida tendrá la PSD2 entre los comerciantes?

En principio debería ser muy positiva, aunque cierto es que deberán trabajar previamente para adaptarse. Con la nueva Directiva las compras por internet serán más seguras y más rápidas, favoreciendo la experiencia de compra e imprimiendo un mayor grado de confianza en los pagos electrónicos. Por otro lado, los pagos podrán establecerse sin intermediarios, de forma directa entre el comprador y el vendedor, simplificando toda la operativa. Es de esperar, por lo tanto, que la Directiva sea acogida con expectación y quizá algo de incertidumbre, pero sin duda, de manera positiva.

“Esta Directiva fomenta la competencia en el mercado financiero, lo que debería conllevar reducción de costes para los consumidores y el comercio.”

¿Qué beneficios aporta esta Directiva a comerciales y consumidores?

El fomento de la competencia que arrastra la Directiva entre los diferentes agentes del mercado financiero, reduciendo las barreras de entrada a los proveedores de servicios de pago, debería traer como consecuencia una reducción de costes de la que tanto comercios como consumidores deberían beneficiarse.

Por otro lado, la simplificación de los procesos inherentes a las operaciones de pago electrónico y el mayor nivel de protección deberían contribuir a generar una mejor experiencia de compra y, por lo tanto, al auge de los medios de pago electrónicos y los servicios relacionados.

antoniomasaltos

Antonio Fagundo
Director general de Masaltos.com

¿Cuáles son las principales ventajas de la Directiva para un comerciante?

Antonio Fagundo: Esta Directiva está orientada a aportar mayor transparencia en los procesos de pago y más seguridad para los clientes. Por tanto, la PSD2 va a incrementar la confianza de los consumidores en los e-commerce porque se refuerza la seguridad en los pagos online para evitar los riesgos de suplantación de identidades y el robo de claves, y eso repercute directamente en los comerciantes online porque mejora su reputación.

De igual modo, va a permitir a los comerciantes incorporar nuevos métodos de pago que hasta ahora no existían. Así, además de las ya conocidas transferencias bancarias o pagos con tarjeta, podemos incorporar la financiación online (pago en cómodas cuotas), formas de pago automatizadas como Paypal (que permiten mover dinero por todo el mundo sin tener que hacer una transferencia internacional y con el consecuente ahorro de costes), o el pago biométrico (el pago se realiza a través de la huella dactilar o el reconocimiento facial o del iris vinculando esos elementos a tu cuenta bancaria). Los avances en estos campos son espectaculares y nos van a permitir diferenciarnos de la competencia, además de cumplir con la PSD2.

Y, lo más importante, el ahorro de costes tanto para el cliente final como para el comerciante. Actualmente, cada vez que hacemos una compra por internet y pagamos con tarjeta estamos pagando varias comisiones, tanto al banco como al emisor de la tarjeta y lo mismo ocurre con la transferencia bancaria. Por eso, cuando pagamos por transferencia enviamos una cantidad de dinero determinada y siempre llega un importe menor porque por el camino se van pagando comisiones (gastos de gestión, emisión, swift, etc.). Pues bien, esta situación va a cambiar porque la PSD2 va a permitir la entrada en el mercado de nuevos jugadores (entidades de pago, entidades de cobro, financieras, empresas fintech…) que generarán una mayor oferta y la posibilidad de operar sin la intermediación de algunos de los agentes tradicionales reduciendo así el precio de las transacciones. En definitiva, siempre que no paguemos con una tarjeta bancaria el sistema se reducirá a “comprador paga directamente a vendedor” con el correspondiente ahorro de costes para los comerciantes.

“La Directiva PSD2 impulsará nuevos métodos de pago como el pago a través de huella dactilar o el reconocimiento facial y del iris.”

¿Cómo ha abordado Masaltos.com la implantación de esta Directiva?

Estudiando la normativa y formando a su personal. En Masaltos.com, empresa que comercializa por internet zapatos que elevan la estatura de los hombres 7 centímetros sin que se note, nos dimos cuenta de que la normativa no se nos aplica directamente a los e-commerce. La PSD2 se aplica a los servicios de pago prestados dentro de la Unión Europea por entidades crédito (bancos), entidades de dinero electrónico (como Paypal), instituciones de giro postal (como Western Union) y entidades de pago (como los bancos y las entidades emisoras de tarjetas de crédito). Son ellos los que tienen que implementar esta Directiva y desarrollar la tecnología necesaria. Aquí el papel de los comerciantes es pasivo, ya que debemos dejar que la implementen en nuestras páginas web. Por ese motivo, debemos asegurarnos de seleccionar muy bien a las empresas con las que nos aliemos para ofrecer este servicio. En Masaltos.com, siguiendo el espíritu de la Directiva, buscamos siempre que el usuario pueda pagar en nuestra web de una manera muy sencilla. Por eso nos aliamos con la fintech Sequray y con Byocriptology, que permite comprar online con la huella dactilar.

jose-luis

José Luis Zimmermann
Director General de Adigital

¿En qué medida los diferentes perfiles de empresas que integran la cadena de pagos están preparados para implantar la Directiva?

José Luis Zimmermann: El funcionamiento de los medios de pago en e-commerce, especialmente en el pago con tarjeta, depende de un buen número de actores que componen la cadena: banco adquiriente, banco emisor, esquemas, plataformas de pago, tarjetas y por supuesto el propio merchant. Desde nuestro punto de vista, esa falta de preparación afecta a todos. La cuestión es que el hecho de que la industria haya confiado en el protocolo 3D Secure cuyo último desarrollo aún no es compliance con la SCA y que, entre otras cosas, debe permitir la aplicación de exenciones que mejoren la experiencia de cliente, hace que se produzca un efecto en cadena. En definitiva, el banco emisor de la tarjeta, que es el responsable de autenticar, no está preparado pero es que, además, no dispone de una solución que le provea de la información necesaria para aplicar o no la SCA.

“La Directiva PSD2 entró en vigor el 14 de septiembre, pero existirá un periodo de ‘flexibilidad supervisora’ que se estima en 18 meses.”

¿Cómo se está abordando en Europa la implantación de la Directiva?

La EBA (Autoridad Bancaria Europea), responsable de la definición de los RTS de la SCA, emitió un comunicado en junio reconociendo la falta de preparación e instando a los supervisores financieros en cada país a elaborar planes de implementación de la SCA, permitiendo un tiempo adicional de cumplimiento más allá del 14 de septiembre –fecha en que es obligatorio que los bancos apliquen los nuevos requisitos de seguridad–. Supervisores europeos de 11 países se han manifestado en común a favor de conceder un periodo de “flexibilidad” de 18 meses. Por su parte, los países nórdicos parece ser que no lo aplicarán y el resto aún no se ha pronunciado.

¿Cuáles son los próximos hitos y fechas clave para la implantación de la Directiva?

Más allá del 14 de septiembre a día de hoy no hay ninguna comunicación oficial al respecto, lo cual está generando mucha incertidumbre. Desde Adigital podemos asegurar que ese período de “flexibilidad supervisora” va a existir y su duración dependerá del Banco de España, quien a su vez está esperando un pronunciamiento de la EBA que confiamos sea a favor de los 18 meses como desean la mayoría de países europeos.

torme-cercle

Carlos Torme

Director de Expansión en AECOC

El compromiso de AECOC con las empresas

Dentro de los ejes estratégicos de competitividad y digitalización, AECOC se ha marcado como objetivo llevar a cabo un conjunto de acciones orientadas a ayudar a las empresas a innovar en la etapa final de la experiencia de compra, cumpliendo con las exigencias del marco regulatorio y colaborando con los stakeholders que integran la cadena de pagos. Para ello, dentro de su rol de divulgador, la Asociación está poniendo en marcha toda una serie de iniciativas:

  • Creación de un “grupo de contraste” integrado por empresas distribuidoras que lidere la implantación en España y comparta sus aprendizajes.
  • Creación de una red de expertos que permita resolver dudas y colabore en las labores de difusión y formación.
  • Elaboración de una guía de ayuda para la mejor comprensión de la Directiva y sus implicaciones.
  • Organización de webinars de sensibilización y jornadas de formación.
  • Mantenimiento de un canal de comunicación directo con el Banco de España para estar al tanto de las últimas novedades y reportar las principales inquietudes de los socios.
  • Participación en las reuniones del Comité Nacional de Pagos para realizar el seguimiento de la implantación a nivel nacional e influir en futuras decisiones vinculantes.
  • Colaboración con otras asociaciones y coordinación de las iniciativas de cada una.

FORMACIÓN AECOC

¿Está su empresa preparada para la Directiva de servicios de pago (PSD2)?

AECOC organiza dos webinars para resolver las dudas:

  • 31 de octubre de 10 a 11 hs.
  • 12 de noviembre de 10 a 11 hs.

Para más información: Maribel Vidal / mvidal@aecoc.es

SECTORES Y ÁREAS

C84
C84 Área
Legislación / Regulación
Legislación / Regulación Área