Las nuevas directivas europeas de pagos y su impacto en la industria financiera.
La PSD2 es una directiva Europea que entró en vigor en 2018 y que por sus siglas en ingles significa Payment Service Directive. El objetivo de esta directiva es facilitar la innovación, la competitividad y la eficiencia en la industria de los cobros/pagos electrónicos, facilitando a los consumidores un mayor abanico de alternativas a la hora de ejecutar sus pagos. También introduce nuevos estándares de seguridad en lo que a pagos online se refiere y refuerza así la confianza de los consumidores cuando compran online.
La directiva facilita la entrada en la industria de los pagos a nuevos actores que puedan aportar tecnología innovadora. La directiva los clasifica como TPPs (Third Party Providers), más conocidas en el sector financiero como Fintech. A groso modo, los TPPs pueden agruparse en dos tipos en función del servicio ofrecido:
- Iniciadores del pago: posibilitan que un cliente pueda enviar órdenes de pago a distintos bancos utilizando una única aplicación.
- Agregadores: permiten a sus clientes poder ver desde una única aplicación, el saldo y los movimientos de varias cuentas que están ubicadas en distintas entidades financieras. Además suelen ofrecer otra serie de servicios relacionados con el procesamiento de la información financiera obtenida de los diferentes bancos en los que el cliente tiene posiciones. Ofrecen desde el análisis de situación económico financiera hasta predicciones de cash flow o incluso recomendaciones de productos financieros relacionados.
Los dos ejemplos mencionados son solo los principales ejemplos de los nuevos actores a los que ha dado paso la entrada en vigor de la PSD2. No obstante, hay muchas otras Fintech que se han beneficiado de esta normativa que facilita la generación de servicios innovadores. Desde el crowfunding/lending, optimizadores del cambio de divisas, o incluso la posibilidad de abrir depósitos en bancos de distintos países utilizando un único intermediario como contacto directo y sin tener que acudir a los distintos bancos de cada país para contratar los depósitos.
Además de permitir la entrada a nuevos competidores, la directiva fortalece la protección de los consumidores cuando realizan sus pagos online. La directiva hace de la SCA (strong customer athentication) la base para que los TPPs puedan acceder a las cuentas de los clientes y también para poder hacer pagos online. Esto significa que para probar su identidad los usuarios tienen que poder facilitar dos de los siguientes tres elementos:
- Algo que saben (contraseña, pin, token, etc).
- Algo que tienen (tarjeta, dispositivo, etc).
- Algo que son (huella dactilar, biométrica facial, escaneo del iris, etc).
La PSD2 establece también un marco legal para la comunicación segura entre los nuevos servicios de los TPPs y los bancos donde están depositadas las cuentas bancarias que sus clientes tienen abiertas en instituciones financieras.
Los consumidores tienen que dar el consentimiento para que los TPPs puedan acceder, usar y procesar la información de sus cuentas bancarias. Los bancos tienen que poner a disposición de los TPPs canales que les permitan acceder a la información de la cuenta o poder mandar solicitudes de iniciación de transferencia. Las instituciones financieras han tenido que crear canales seguros basados en tecnología APIs para poder establecer estas comunicaciones. Una API viene ser una interface que permite conectar dos sistemas distintos que hablan idiomas distintos. Es decir conectar el sistema del banco con los sistemas de los TPPs y así permitir el procesamiento automático de órdenes de transferencia o solicitudes de información, por ejemplo de saldo disponible.
En junio del año pasado la comisión europea publicó una serie de propuestas legales concentradas en lo que viene a ser la PSD3 y la PSR (payment service regulation) cuyo objetivo es fortalecer a su predecesora PSD2. La nueva normativa busca adaptarse a la rápida evolución tecnológica que está viviendo el sector financiero. Fomenta la competitividad y la innovación a la vez que refuerza la seguridad de los consumidores y la protección de la información.
La nueva regulación incluirá:
- Medidas de refuerzo para combatir nuevos tipos de fraude.
- Medidas para proteger a los TPPs y evitar los obstáculos que muchas veces se encuentran a la hora de conectarse con las entidades financieras, sobre todo en lo que se refiere al rendimiento de las APIs que los bancos ponen a su disposición.
- Medidas para limitar la dependencia de las instituciones financieras. Permite a los TPPs poder acceder a todos los sistemas de pago europeos y les concede el derecho de poder contar con cuentas bancarias que ofrecer a sus clientes.
Es probable que la versión final de la PSD3 se publique a finales de este año, si sucede lo mismo que ocurrió con las directivas anteriores, se le concederá un periodo de transición de 18 meses por lo que debería entrar en vigor en 2026.
Por Jose Churruca, Consultor del Área de Banca de Common Management Solutions