Cuando hablamos del proceso de compra en el comercio electrónico, una de las piezas más importantes a la que podemos hacer referencia es la comodidad a la hora de realizar los pagos. La facilidad y sencillez en el momento de la efectuar el pago es uno de los elementos que en mayor medida condiciona las operaciones de eCommerce y, en consecuencia, una característica que las tiendas online tienen especialmente en cuenta.
Sin embargo, la comodidad no debe ir en detrimento de la seguridad. Por ello en 2007 la Comisión Europea definió una directiva de obligado cumplimiento (PSD: Payment Services Directive) para regular las operaciones de pago a escala europea de las empresas que no se consideran bancos tradicionales. Ahora estas directrices han sido actualizadas y se pone en marcha la directiva PSD2 que introduce cambios a tener en cuenta por todos los implicados en los servicios de eCommerce.
PSD2 para bancos y proveedores de pago
Una de las innovaciones más importantes que incorpora la PSD2 es el hecho de que los bancos tienen que proporcionar a otras empresas acceso a la información de sus clientes, siempre que el usuario en cuestión haya dado su consentimiento previo.
De este modo, los bancos han de ofrecer una API a los proveedores autorizados para que puedan iniciar las transferencias, así como acceder, entre otros datos financieros, a información sobre los saldos de las cuentas de los usuarios. Aunque en el pasado, muchas empresas ya utilizaban estos servicios, no existían normas universales ni vinculantes. A partir de ahora, y como consecuencia de la PSD2, los bancos están obligados a proporcionar una API a las empresas con los certificados pertinentes mediante la que los proveedores de servicios puedan recuperar la información requerida y realizar pagos o transferencias.
Para garantizar que la transferencia de datos sensibles a través de las API se lleve a cabo sin ningún riesgo para el consumidor se ha establecido la concesión de licencias o sellos oficiales que necesitan de la aprobación de una autoridad nacional competente, en el caso del territorio español. el Banco de España que puede otorgar dos tipos de permisos:
• Servicio de agregación de información (AIS): los proveedores de servicios de esta categoría están interesados en recibir información de la cuenta bancaria del cliente para poder utilizarla. En este caso, solo es necesario un registro y no es necesario obtener una licencia.
• Servicio de iniciación de pagos (PIS): la empresa con esta licencia puede realizar pagos o transferencias en nombre del cliente.
PSD2 para usuarios y tiendas online
La normativa PSD2 garantiza a los compradores en tiendas online más seguridad en el pago, pero para ello, los usuarios también tendrán que poner de su parte. A partir de la puesta en marcha de la directiva, los compradores tendrán que efectuar la autenticación de dos factores, es decir, confirmar el pago utilizando un segundo método para identificarse en el sitio web.
Esta obligación resulta de la autenticación reforzada (SCA, de sus siglas en inglés Strong-Customer-Authentication) requerida en la PSD2. Para que la transferencia de dinero se realice, los clientes deben autorizarla al menos mediante dos factores: conocimiento (por ejemplo, contraseña o PIN), posesión (por ejemplo, tarjeta o teléfono inteligente) o inherencia (por ejemplo, voz o huellas dactilares). Esto se aplica a todas las sumas superiores a 30 euros. Aunque si en un mismo día se realizan varias compras que superen el valor de los 100 euros, dicha autenticación será necesaria incluso si las adquisiciones individuales no superan los 30 euros.
Lo cierto es que los operadores de las tiendas online suelen trabajar junto con un socio para efectuar los pagos, siendo este el que debe implementar los requisitos de la PSD2 en su sistema. Es por eso que los comerciantes en eCommerce solo tienen que asegurarse de que su tienda también instala correctamente el procedimiento de seguridad correspondiente.
Los requisitos de SCA se aplican a los pagos push, es decir, cuando el cliente inicia un pago directamente. Sin embargo, los pagos domiciliados no se incluyen, dado que se trata de un pago pull, es decir, es el vendedor el que solicita el dinero al banco.
Otras de las novedades que tanto usuarios como comerciantes online deben tener en cuenta es que ya no se permite el “recargo”. En el pasado, era común cobrar una tarifa adicional sobre el precio de compra, por ejemplo, en los pagos con tarjeta de crédito, ya que estos les suponían costes extra. Con la nueva directiva los comerciantes no podrán añadir recargos de este tipo, ni tampoco en los pagos a través de servicios como PayPal.
Jorge Aguado - Weber Shandwick