la directiva psd2
Bruselas quiere aplicar mayor seguridad a las operaciones bancarias y pagos online. Un propósito
Entró en vigor el pasado 14 de septiembre con la intención de aumentar la seguridad en las operaciones bancarias y pagos online. ¿Lo conseguirá?
Para complicar al máximo la actividad de los estafadores en Internet, la UE ha dictado una nueva directiva: la PSD2 o directiva de pagos digitales (Payment Services Directive 2), que entró en vigor el 14 de septiembre y que tiene como finalidad mejorar la seguridad de las operaciones bancarias y compras online. Esto supondrá también una verdadera complicación para bancos, tiendas online y consumidores –para los comercios se ha optado por asegurarse y no aplicar los cambios en los pagos con tarjeta de crédito/débito hasta más adelante–. 1 ¿Qué es lo Que cambia? La nueva directiva PSD2 requiere procedimientos seguros, con los que los clientes puedan de
mostrar su identidad en bancos y tiendas online. El discurso es un poco críptico y se habla de la autenticación en dos factores. Esto quiere decir que los clientes deberán autenticarse con dos métodos independientes, diferentes el uno del otro, para los pagos electrónicos. El sistema de autenticación reforzada se basará en factores categorizados como conocimiento (por ejemplo una contraseña que solo conoce el usuario), posesión (algo que solo tiene el usuario, por ejemplo en el móvil) e inherencia (algo que es solo del usuario, como su huella digital personal). El cómo se combinarán estos factores entre ellos es algo que no se ha establecido. 2 ¿servirán las tarjetas de coordenadas?
No, los iTAN (indexed Transaction Authentication Number) impresos ya no son lo suficien
temente seguros para operar en banca online. Por otro lado, hay muchos bancos y cajas que ofrecen el procedimiento SMSTAN. Para usarlo, los clientes deben indicar su número de móvil para, tras realizar una operación, recibir un código de verificación mediante SMS para permitir la gestión. Así, incluso los clientes que no dispongan de un smartphone, pueden realizar transacciones bancarias online, ya que solo necesitan un teléfono móvil normal. Ahora bien, en algunos bancos este
servicio hay que pagarlo y tiene como contrapartida que el sistema se considera poco seguro si se compara con otros procedimientos más actuales. 3 ¿cuáles son las alternativas? PhotoTAN es una opción de autenticación sin coste para teléfonos móviles. Los clientes deberán registrarse en el servicio en su banco y descargar una app compatible, para así poder validar, posteriormente, los pagos con la ayuda de un PhotoTAN –una especie de QR multicolor–. La ventaja es que con la app de banca online y la app compatible con PhotoTAN, las órdenes de pago pueden procesarse por completo con el smartphone.
Es cuestión de tiempo que las entidades promuevan el uso de los procedimientos AppTAN, que se consideran seguros. Con ellos, cualquiera que desee llevar a cabo las operaciones bancarias desde un ordenador, podrá realizar estos procedimientos con un dispositivo adicional. Las órdenes de pago las autorizará el propio cliente pulsando únicamente un botón.
Otra alternativa son los dispositivos con ChipTAN, donde es necesario autorizar previamente la tarjeta. Los pagos con dispositivos adicionales se consideran especialmente seguros. 4 ¿cómo pago en una tienda online?
A todo aquel que le guste pagar rápidamente con la tarjeta de crédito en las tiendas online deberá, en el futuro, dedicarle un poco más el tiempo, puesto que ya no será solo suficiente con
introducir el número de tarjeta en la caja virtual, la fecha de vencimiento y el código de seguridad de tres dígitos (CVV) del reverso de la tarjeta. Para evitar un uso indebido de estos datos, la norma PSD2 hace obligatorio la aplicación del estándar de seguridad ‘3D Secure’. En función del proveedor de la tarjeta, se denominan ‘Mastercard Identity Check’, ‘Visa Secure’ o, en American Express, ‘SafeKey’. Al hacer el pago, la
tienda dirige al cliente a un sitio web 3D Secure, donde se autoriza el pago en una ventana de entrada especial. El procedimiento varía de una entidad financiera a otra, pero se realiza con un TAN, una contraseña o bien una app. Por ejemplo, Deutsche Bank plantea enviar un TAN a través de SMS al teléfono móvil de forma gratuita; la entidad de banca directa ING apuesta por las contraseñas; y, en las cajas de ahorro, los clientes también necesitarán algún sistema para autorizar los pagos. El dinero no saldrá del banco hasta que esté también autorice la transacción.
5 ¿en Qué posición están los comerciantes?
Debido a la gran cantidad de procedimientos bancarios necesarios, muchos comerciantes no han podido ajustar sus tiendas antes de la fecha límite del 14 de septiembre. Para no sufrir pérdidas de ventas y que los clientes puedan seguir utilizando sus tarjetas VISA, Mastercard y similares, las autoridades de supervisión financiera han otorgado una prorroga para la autenticación segura de clientes, hasta nuevo aviso.
6 ¿Hay alguna excepción?
Sí, en pagos contactless en comercio, podría requerirse el código PIN en transacciones en que ahora no se solicita (por debajo de 20 € si se han realizado más de cinco pagos sin introducir el PIN, por ejemplo) o podría permitirse realizar la transacción sin introducir el PIN en pagos de hasta un máximo de 50 €. Con estas limitaciones se quiere evitar, por ejemplo, que los ladrones de tarjetas de crédito puedan realizar una cantidad ilimitada de cargos pequeños en las tarjetas sustraídas. Otras excepciones serían, por ejemplo, el pago de tarifas de estacionamiento o la consulta de saldos en las cuentas y tarjetas, para las que tampoco será necesario, por comodidad, llevar a cabo una autenticación reforzada de dos factores.
7 tarjetas de crédito perdidas
Tras la entrada en vigor de la norma, quién pierda su tarjeta tendrá que bloquearla inmediatamente. Por otro lado, los clientes tendrán que informar a su entidad bancaria o caja de ahorro igualmente en el caso de pérdida o robot de su smartphone o ChipTAN. Además de todo esto, algunas entidades necesitarán una denuncia ante la policía. Los propios clientes serán responsables en casos de negligencia grave, como en el caso de dejar sus teléfonos móviles o sus tarjetas olvidados por ahí.
8 ¿acceso de terceros a la cuenta?
Con la entrada en vigor de PSD2 finaliza el monopolio de los bancos sobre los datos de la cuenta de los clientes. Estos de
ben permitir el acceso a ‘ proveedores de servicios externos’. Bruselas quiere con ello promover la competencia en la gestión de pagos. Los clientes serán los que, mediante su decisión, autoricen que terceros proveedores puedan acceder a esos datos. En este sentido, la tradicional falta de regulación para la provisión de estos servicios generaba dos problemas principales: por un lado, las empresas que los ofrecían se encontraban con obstáculos para la prestación de estos servicios tales como el bloqueo del acceso a las bancas en línea, o la carencia de mecanismos automatizados de interacción con las entidades depositantes de las cuentas; por otro, era complicado asignar responsabilidades en caso de errores en la transacción. En cualquier caso, una vez que esta autorización se otorgue, el saldo de la cuenta, los ingresos netos y los hábitos de compra no solo los conocerá el banco, sino que también serán conocidos por estas terceras empresas.