La compraventa por Internet será a partir de este sábado para los europeos más segura, fácil y competitiva, con la entrada en vigor de la nueva Directiva de Servicios de Pago. La norma se conoce como PSD2 (por sus siglas en inglés Payment Service Directive) y es una actualización de la primera directiva PSD que se creó en 2007.
Según explica el Instituto de Ciberseguridad (Incibe), dependiente del Ministerio de Economía y Empresa, el primer gran cambio que traerá consigo esta normativa es que las entidades financieras deberán abrir sus sistemas a terceras partes o TPPs (Third Party Payment Service Providers), acción que se denomina ‘open banking’.
Esto permitirá que terceras partes accedan a la cuenta del cliente y así puedan realizar pagos en su nombre, previo consentimiento del titular de la cuenta. Esta apertura conlleva un aumento en la competencia que provocará la aparición de nuevas empresas, ya que hasta ahora las restricciones impuestas a los TPPs lo hacían muy complicado. Eso sí, deberán cumplir con la misma reglamentación que los servicios de pago tradicionales.
El segundo cambio, consecuencia del anterior, es que los pagos ‘online’ serán mucho más rápidos. Si el cliente ha autorizado a un TPP el acceso a su información bancaria, el cobro de un determinado producto o servicio será inmediato, de manera similar a como se realiza una transferencia bancaria.
AUTENTICACIÓN
En el ‘open banking’, el acceso a información bancaria de los usuarios y su control también están contemplados en la PSD2, dado que la seguridad en esta Directiva es una prioridad. Una de las normas técnicas que se ha impuesto es la de implantar sistemas de autenticación reforzada o SCA cuando se realice una transacción. En caso de que esta autenticación reforzada no se encuentre habilitada, los pagos podrán verse rechazados.
Un proceso de pago con autenticación reforzada requerirá al menos dos de los siguientes elementos para que la operación sea satisfactoria: 'Factor conocimiento', algo que solamente debe conocer el usuario, como un número PIN o contraseña; 'Factor posesión', algo que solamente posea el usuario como un número de tarjeta, o 'Factor inherente', algo que solamente tiene el usuario como su huella dactilar o rasgos faciales.
Todos los elementos seleccionados deberán ser independientes. De esta forma, aunque uno de los factores sea robado, no se podrá tener acceso al resto de los elementos.
EXCEPCIONES
Durante una transacción, una vez que el usuario ha realizado los pasos descritos anteriormente, se generará un código de autenticación de un único uso, que aumentará la seguridad en las transacciones y que deberá cumplir con los siguientes requisitos: no revelará ningún tipo de factor de autenticación utilizado durante la transacción, y no se podrá generar un nuevo código valido a partir de otro existente, es decir, su falsificación no será posible.
La entrada en vigor de la nueva directiva supondrá acciones mínimas en aquellos comercios ‘online’ que, actualmente, ya tengan implementado un sistema de autenticación reforzada o de doble factor de autenticación. En cualquier caso, el Incibe dice que es recomendable contactar con la entidad que facilita la pasarela de pago para verificar que se cumple con la normativa.
Por el contrario, aquellos negocios ‘online’ que no cuenten con un sistema de autenticación reforzada en sus pagos deberán adaptar la pasarela de pago a la nueva Directiva, y así provocar que sea obligatoria la autenticación reforzada. Para ello, deberán ponerse en contacto con el proveedor de la pasarela de pago y realizar el proceso de migración hacia este nuevo sistema más seguro y de obligado cumplimiento.
Existen varias excepciones a la hora de implementar métodos de autenticación reforzada que la pasarela de pago deberá contemplar, entre ellas las operaciones cuyo pago se ha iniciado por teléfono o correo electrónico o pagos realizados con tarjetas prepago anónimas.