PSD2: nuevas directivas europeas
El PSD2 introduce nuevas directrices para las soluciones de pago.
Armonización de la normativa sobre pagos
La Directiva de Servicios de Pago 2ª versión (PSD2), adoptada en 2015 y aplicada desde septiembre de 2019, armoniza las regulaciones en el mercado de pagos. Sustituye al PSD1 creado en 2007 para integrar nuevos actores y nuevas tecnologías. Sustituye al PSD1 creado en 2007 para integrar nuevos actores y nuevas tecnologías.
Además de su objetivo de armonización, la directiva pretende sobre todo reforzar la seguridad de los pagos y de los datos para los consumidores y las empresas ante el aumento de la ciberdelincuencia, así como promover la innovación y la competencia en el mercado.
Las principales medidas de la Directiva son las siguientes:
- Las comisiones por pagar con tarjeta de débito/crédito son prohibidas en las tiendas físicas o en línea
- Los reembolsos de adeudos domiciliados en euros son incondicionales (salvo en caso de consumo o negligencia por parte del consumidor) y los plazos de reembolso se reducen
- El límite máximo de responsabilidad para el usuario en caso de uso fraudulento de la tarjeta baja a 50 euros (era de 150 euros con la PSD1)
- Los Proveedores de Servicios de Iniciación de Pagos (PISP) y las empresas FinTech tienen acceso a los datos bancarios de sus usuarios por consentimiento a través de un canal de comunicación seguro
- La autenticación fuerte es obligatoria para los pagos de más de 30 euros
Autenticación fuerte
Se requiere una autenticación fuerte cuando se conecta al portal de su banco o a un software que puede preparar los pagos, como Cegid Iziago. También se requiere si se quiere hacer un pago en línea o modificar datos sensibles. Deberá proporcionar dos de los tres factores de autenticación siguientes:
- Algo que sepas (contraseña, código PIN, código secreto, etc.)
- Algo que tengas (móvil, tarjeta, DNI, etc.)
- Algo que seas (reconocimiento facial, voz, huella, etc.
El software Cegid Iziago proporciona una autenticación fuerte para todo tipo de operaciones sensibles (login, pagos, etc.) combinando los dos factores siguientes: nombre de acceso/contraseña y cuadrícula de autenticación/tarjeta de seguridad.
Algunas excepciones:
La ley prevé algunas excepciones en las que no se requiere una autenticación fuerte:
- Transacciones de menos de 30 euros
- Transacciones recurrentes con importe fijado
- Transacciones a destinatarios de confianza añadidos a una lista blanca
- Transacciones MOTO (Mail Orders and telephone Orders) por correo o por teléfono
- Transacciones cuyo emisor se encuentra fuera de Europa
- Transacciones pagadas con una tarjeta bancaria de empresa