La entrada en vigor este hoy sábado de la nueva directiva europea sobre sistemas de pago -conocida como PSD2 en el argot financiero- permitirá mejorar notablemente la seguridad de las transacciones y de la operativa online, en un intento por atajar los numerosos casos de fraude que se registran a diario con la clonación de tarjetas o el robo de datos a través de técnicas como el phishing. Para ello, la normativa exigirá a partir de ahora una doble autenticación de los usuarios a la hora de realizar buena parte de las operaciones que se desarrollan a través de medios electrónicos, para lo que cobrarán aún mayor importancia los teléfonos móviles como medio para demostrar la identidad real de quien ordena una transferencia o realiza una compra en internet.
Los primeros en comprobarlo serán quienes utilicen la banca electrónica para consultar sus cuentas o realizar una transferencia. A partir de hoy sábado ya no será suficiente con introducir el usuario y la contraseña o la huella dactilar. Ahora será necesario un segundo factor de autenticación, una clave que, dependiendo del banco, se enviará por SMS o bien a través de una notificación de la app, de forma que, aunque se acceda por el ordenador de sobremesa, será indispensable tener a mano el teléfono, como explica Javier Mezcua, de Helpmycash.
Sabadell, Santander, BBVA o las cajas rurales han optado por el mensaje de texto, mientras que ING ha preferido las notificaciones, lo que obliga a sus clientes a descargarse la aplicación, según explica Mezcua.
En este sentido, la nueva normativa obliga a que la citada doble autenticación o SCA (Strong Customer Authentication) se realice siempre mediante la combinación de dos de los tres tipos de factores que se han establecido, y que pueden ser de conocimiento -algo que el usuario sabe, como el PIN-; de posesión -como la propia tarjeta, en el caso de los pagos físicos, o una clave que se envíe por SMS-; o de «inherencia», donde se incluyen los parámetros biométricos, como la huella dactilar o el reconocimiento facial. En caso de la banca online, por ejemplo, se combinará un factor de conocimiento (contraseña) o inherencia (huella dactilar), con uno de posesión (la clave que se envíe por SMS).
También en tiendas físicas
Junto con la banca electrónica, la nueva legislación también empezará a aplicarse hoy sábado en los comercios físicos, donde solo afectará a los pagos contactless de menos de 20 euros, ya que en el resto ya se cumple la combinación de factores (la tarjeta física y el PIN). A partir de ahora habrá que introducir también los cuatro dígitos asociados a nuestra tarjeta en una de cada cinco operaciones por debajo de este importe o cuando se lleven acumulados 150 euros, según explican desde la red Euro6000.
Donde tardará más en llegar la normativa es en el comercio electrónico. Ante la complejidad de su aplicación, ya que también incluye cambios en los protocolos de seguridad internos de los sitios web, el Banco de España ha establecido un «periodo de migración» durante el que no sancionará el incumplimiento de la norma. Una especie de prórroga o periodo de gracia cuya duración aún no está determinada pero que en el sector financiero calculan que durará de nueve a 18 meses.
En cualquier caso, el principal cambio de cara al usuario será que ya no podrán realizarse compras simplemente con el número de la tarjeta, la fecha de caducidad y el CVV, el código que viene en el reverso. Ahora hará falta incluir un segundo parámetro, que puede ser desde una clave enviada por SMS, hasta una autenticación mediante huella dactilar a través del móvil, unas medidas que ya adoptan algunas páginas pero que deberán generalizarse.
Ni suscripciones ni autopistas
Para evitar que la doble autenticación se acabe convirtiendo en un engorro para los usuarios, también se han previsto una serie de excepciones y de normas de aplicación. Por ejemplo, en el caso de la banca online, se permite que las entidades solo soliciten la introducción de una clave cada 90 días. Igualmente, en los pagos en los comercios electrónicos solo se exigirá la verificación en una de cada cinco compras menores de 30 euros o cuando se alcance un importe acumulado de 100 euros. De igual modo, tampoco se requerirá con las suscripciones -en el pago de plataformas como Netflix o HBO, solo será necesario la primera vez, no en cada ocasión que se cargue la mensualidad-, ni en las casetas de pago automatizado de las autopistas o los párkings. Incluso el usuario podrá comunicar a su entidad una lista de comercios de confianza en los que no se tendrán en cuenta estas medidas de seguridad, de acuerdo con las fuentes consultadas.
Abonos directos
La directiva europea también regula las nuevas compañías de servicios financieros que han surgido en los últimos años, las conocidas como «fintech», y crea dos nuevos actores en el sector. Por un lado, los agregadores o AISP, que permiten gestionar en una sola aplicación todas las cuentas del usuario y a los que, ahora, las entidades estarán obligadas a facilitar toda la información del usuario, siempre que éste lo haya autorizado. Y, por otro lado, los denominados servicios de iniciación de pagos, que permitirán que los comercios puedan solicitar directamente a un banco que le pague la factura autorizada por un usuario sin necesidad de pasar un operador de tarjetas.
Menos responsabilidad ante los posibles fraudes
El cliente solo se hará cargo de un máximo de 50 euros ante un uso irregular de su tarjeta de crédito
La nueva normativa europea sobre sistemas de pago también refuerza notablemente los derechos de los consumidores ante los posibles fraudes que puedan cometerse con sus tarjetas o con sus datos y carga la responsabilidad de evitar que esto ocurra en las entidades, como explica el director del departamento de Tecnología de iAhorro, Gonzalo Benito. Así, reduce de 150 a 50 euros la pérdida máxima que deberá asumir el cliente en estos casos. Del mismo modo, los usuarios también tendrán derecho a rechazar o a exigir el reembolso cuando algún establecimiento cobre alguna cantidad para la que el cliente no ha dado su consentimiento específico, por lo que se acaba con los pagos por conceptos ocultos.
Otra de las novedades es la prohibición de aplicar un recargo por el cobro con tarjeta, como hacían algunas aerolíneas, aunque esta práctica ya estaba prohibida en España si se trataba de usuarios consumidores. Además, la regulación de los servicios de iniciación de pagos, que permitirá a un comercio cobrar directamente una factura de la cuenta del consumidor, permitirán la aparición de nuevos operadores y rebajar la factura de los servicios financieros, según Benito.
Registro público
En la misma línea y para evitar nuevos problemas, la directiva establece la creación de un registro público con todas las instituciones de pago autorizadas -incluidos los nuevos servicios de iniciación de pagos-, por lo que pasarán a estar supervisados por el Banco de España. Así, en caso de duda sobre la fiabilidad de alguno de ellos, el cliente podrá consultar si está inscrito en este listado y, por tanto, cumple con todas las garantías de seguridad.
La directiva europea PSD2 armoniza el mercado europeo de pagos electrónicos para facilitar los intercambios, al tiempo que trata de poner fin a los casos de fraude y refuerza los derechos de los consumidores.
