¿Qué es PSD2?

La directiva sobre servicios de pago (PSD), adoptada originalmente en 2007, es la base legal de la Zona Única de Pagos en Euros (SEPA). PSD2 es la directiva sobre servicios de pago revisada. El '2' se refiere a la directiva revisada, ya que reemplazó a la directiva sobre servicios de pago (PSD) original. Las regulaciones descritas en la PSD2 están destinadas a proteger a los consumidores y sus datos, e incluyen opciones de pago más seguras, un plazo de pago más rápido y define los derechos de reembolso.

Diagrama PSD2

PSD fue diseñado para permitir pagos más fáciles entre los 74 miembros del Consejo Europeo de Pagos, así como para mejorar la protección del consumidor para los ciudadanos de los estados miembros de la UE. El objetivo general de PSD era aumentar la participación y la competencia en la industria de pagos europea al reunir a los proveedores de servicios de pago bajo un conjunto de regulaciones y estándares. Se aplica a bancos, instituciones financieras y empresas no financieras.

Existen exenciones a la directiva PSD2, que se aplican principalmente a transacciones pequeñas o consideradas de bajo riesgo. Esto incluye pequeños pagos sin contacto, pagos realizados por empresas 'incluidas en la lista blanca', transacciones establecidas de forma recurrente y otras transacciones que se consideran oportunidades de fraude de 'bajo riesgo'.

La directiva pretendía introducir prácticas y normas justas en la industria de pagos europea, lo que se logró principalmente a través del concepto de "armonización máxima". La armonización máxima está destinada a considerar los derechos y obligaciones de los proveedores de servicios de pago, al mismo tiempo que se tiene en cuenta la necesidad de proteger al consumidor. La intención era lograr un equilibrio entre los dos a través de regulaciones que aumentaran la competencia, protegerían a los usuarios, acelerarían el proceso de pagos y definirían claramente los derechos y los procedimientos adecuados para todos los involucrados.

¡Desarrolle su nuevo ecosistema de banca abierta!
¡Desarrolle su nuevo ecosistema de banca abierta!
Conozca las 5 tecnologías necesarias para crear una ventaja injusta.

Los elementos de PSD2

La directiva consta de dos componentes principales: reglas de conducta empresarial y reglas del mercado. Las reglas de conducta empresarial establecen qué información deben proporcionar los proveedores de servicios de pago cuando se realiza una solicitud de datos. También detallan los derechos y obligaciones adicionales de los proveedores de servicios de pago y los clientes, incluidas las pautas para autorizar y realizar transacciones y también describen las responsabilidades y los procesos a seguir al emitir reembolsos o revocaciones. Además, la directiva establece una “autoridad competente” para cada miembro participante para supervisar todas las instituciones proveedoras de servicios de pago dentro de su país.

Las reglas del mercado introdujeron la frase "instituciones de pago" dentro de la Zona Única de Pagos en Euros (SEPA). Estas reglas describen qué instituciones son elegibles para administrar servicios de pago y brindan orientación para que esas instituciones soliciten ser instituciones de pago autorizadas.

Desde entonces, se realizaron revisiones de PSD2 para abordar varios problemas que anteriormente se habían pasado por alto. Por ejemplo, la directiva originalmente tenía un alcance bastante limitado; Inicialmente, solo se cubrían las transacciones que ocurrían entre las naciones del Espacio Económico Europeo.

La tecnología requerida para PSD2

PSD2 fomenta la participación y la competencia al permitir que los consumidores y las instituciones utilicen proveedores de servicios de pago de terceros para realizar transacciones y administrar sus finanzas. Los proveedores externos incluyen firmas financieras, tecnofinanzas que brindan servicios a través de aplicaciones digitales o proveedores de pago independientes.

La directiva requiere que los proveedores de servicios de pago expongan APIs abiertas que permitan a los consumidores acceder de forma segura a sus propias cuentas bancarias e información a través de proveedores externos. Estos proveedores de servicios de pago se dividen en tres categorías principales:

  • Los proveedores de servicios de información sobre cuentas (AISP) pueden acceder a datos confidenciales para analizar patrones de gasto y obtener una mayor inteligencia de negocio.
  • Los proveedores de servicios de iniciación de pagos (PISP) son los proveedores de servicios que inician transacciones tanto para los consumidores como para las organizaciones.
  • Los proveedores de servicios de pago de servicios sobre cuentas (ASPSP) son las instituciones financieras que ofrecen cuentas de pago con acceso en línea, incluidos bancos, sociedades de crédito hipotecario, sociedades de gestión de patrimonio y empresas de inversión.

Estas instituciones manejan datos personales confidenciales tanto de consumidores individuales como de organizaciones, incluidos datos de tarjetas, información de cuentas bancarias, nombres completos, números de identificación emitidos por el gobierno y más. Debido a esto, las instituciones que se adhieran a PSD2 también deberán cumplir con las regulaciones de cumplimiento de GDPR.

Dada la naturaleza sensible de la información del cliente a la que se accede a través de APIs abiertas, PSD2 estipula reglas estrictas para la protección segura de datos, incluida la verificación de las identidades de los usuarios a través de una autenticación sólida del cliente y permitir que los clientes otorguen su consentimiento y especifiquen preferencias de uso de datos. La directiva requiere una autenticación sólida del cliente en los pagos electrónicos. También estipula que las empresas deberán adherirse a prácticas de comunicación comunes y seguras. Al adoptar estas prácticas, los datos se compartirán de forma más rápida y segura entre los proveedores de servicios de pago y sus consumidores.

Impacto de PSD2 en el negocio digital

PSD2 está ayudando a mover la industria financiera europea en la dirección correcta al integrar el mercado de pagos en toda Europa. La motivación principal detrás de las enmiendas realizadas fue la capacidad de promulgar estándares bancarios abiertos dentro del Espacio Económico Europeo. La banca abierta se basa en la idea de modernizar la banca combinando la banca tradicional, las nuevas empresas de tecnología financiera y otras nuevas tecnologías.

La banca abierta utiliza APIs para permitir la integración con aplicaciones y servidores de terceros. También obliga a las instituciones a adoptar la tecnología de código abierto, lo que significa adoptar los últimos estándares para la privacidad de los datos. Ya sea que su institución tenga su sede en el Espacio Económico Europeo o acepte pagos electrónicos de organizaciones dentro de la Unión Europea, estará sujeto a las regulaciones de PSD2.

Acabe con los delitos financieros con TIBCO
Acabe con los delitos financieros con TIBCO
¿Qué pasaría si pudiera utilizar una sola plataforma para detectar todo tipo de delitos financieros importantes?

Revisiones de seguridad y privacidad

La directiva revisada protege mejor a los consumidores al hacer cumplir normas de seguridad más rígidas y modernizar el proceso de pago. Con las innovaciones de los pagos móviles y en línea y el desarrollo de la banca abierta, las transacciones internacionales requieren un proceso más seguro para proteger la información del consumidor.

Las revisiones adicionales incluyen la implementación de 'autenticación sólida de clientes' como estándares de 'comunicación común y segura'. Ambas medidas son vitales para prevenir el fraude en las transacciones y garantizar la seguridad de los datos de los titulares de tarjetas.

Los estrictos estándares de autenticación del consumidor estipulan cómo los proveedores de servicios de pago deberán verificar la legitimidad de sus transacciones electrónicas. Estos estándares deberán aplicarse a cada pago que se realice, así como el momento en que un consumidor acceda a su cuenta de pago.

Una regla clave de los sólidos estándares de autenticación del consumidor es que se deberán utilizar al menos dos medidas de seguridad para la verificación, lo cual puede incluir una contraseña, un PIN, escaneo de huellas digitales, autenticación de tarjeta o un código de autenticación generado de forma exclusiva. Uno de los protocolos de seguridad más utilizados para satisfacer los estándares de comunicación seguros y comunes es 3DS2 o 3-D Secure.

Los estándares de comunicación comunes y seguros obligan la autenticación de todas las comunicaciones entre las partes involucradas en el proceso de transacción. Los estándares requieren que las instituciones establezcan canales seguros a través de los cuales puedan comunicarse con proveedores externos para brindar acceso seguro a datos confidenciales de consumidores y pagos. Un proveedor externo es cualquier organización que aprovecha las APIs de banca abierta para ofrecer un servicio, una opción de pago, una herramienta o un conocimiento innovador a los consumidores financieros.

Adherencia a PSD2

El cumplimiento de PSD2 se satisface al adherirse a todas las obligaciones descritas en la directiva específica para cada participante en el proceso de transacción. Los estándares de comunicación comunes y seguros requieren certificación para cumplir con los requisitos, pero los sólidos estándares de autenticación del consumidor se cumplen simplemente utilizando un método legítimo de autenticación.