Ayuda Ley Protección Datos

Nueva Directiva europea sobre pagos digitales

Las compras online cada vez son más frecuentes e incluso pronto superarán a las físicas.

Pero el principal riesgo de estas compras online es la seguridad. Las plataformas donde se realiza el pago han aumentado su seguridad en los últimos años. Pero no es suficiente, ya que siguen existiendo clonaciones de tarjetas bancarias y robos de claves.

Por eso hay muchos ciudadanos que desconfían de las compras a través de Internet y, sobre todo, de las pequeñas tiendas online que pueden ser más vulnerables a ese tipo de ataques.

Con el objetivo de aumentar la seguridad y la confianza de los usuarios en este tipo de gestiones, la UE ha elaborado la Directiva PSD2 de servicios de pago (Payment Services Directive 2). Se aprobó en 2015 en la Unión Europea pero en España fue aprobada su implementación a finales de noviembre de 2018. Sin embargo, no será hasta septiembre de 2019 cuando sea plenamente exigible.

Esta norma otorga mayor protección a los consumidores que realicen compras online.

Directiva de servicios de pago PSD2

Esta Directiva establece sistemas de pago online más rápidos y seguros y una gestión más eficaz de las finanzas personales. Los principales beneficiarios serán los usuarios de tiendas online y los clientes de la banca.

Con esta norma la UE pretende adaptar las legislaciones de los Estados miembros a la era digital estableciendo unas directrices únicas para que operen los proveedores de productos y servicios online.

La Directiva introduce el concepto de open banking según el cuál, con autorización de los clientes, los bancos tendrán la obligación de facilitar el acceso a sus cuentas a terceras empresas. Así podrán ofrecerles servicios personalizados para realizar pagos online o administrar sus cuentas personales.

Mayor competencia

Los proveedores de servicios tendrán acceso directo a cualquier cuenta bancaria por lo que podrán crear aplicaciones donde se incluyan todos los datos bancarios de diferentes cuentas del cliente, aunque sean de distintos Bancos.

De esta forma el cliente podrá gestionar sus cuentas a través de la app y saber, por ejemplo, dónde se realizan los mayores gastos al mes. Como contraprestación al uso de esta app, la empresa propietaria podrá ofrecer a ese cliente servicios adaptados a sus necesidades.

El hecho de que exista una mayor competencia producirá una reducción del coste del servicio y propiciará la aparición de nuevos modelos de negocio que cambiará las relaciones entre los proveedores de servicios de pago y los clientes.

Estos proveedores de servicios de pago estarán sujetos a la supervisión del Banco de España. Pero deben regularse específicamente los requisitos necesarios para que los Bancos proporcionen acceso a estos terceros a las cuentas de sus clientes e indicarse qué información pueden facilitarles.

Identificación del consumidor

Actualmente, para realizar los pagos el consumidor debe introducir los datos de su tarjeta de crédito. Algunas pasarelas de pago, para incrementar la seguridad, exigen que se introduzca un código que el usuario recibirá en el móvil, pero esto no es obligatorio.

A partir de la entrada en vigor de la Directiva PSD2 esto cambiará. Se protegerá la privacidad digital del consumidor.

Existirán tres posibles confirmaciones de identidad, de las cuales dos serán obligatorias.

Esas confirmaciones de identidad se basarán en:

Procedimiento de pago

Esta norma modifica también la forma de realizar el pago.

Ahora, en el momento de realizar un pago por Internet, el proveedor de servicios de pago nos pide la tarjeta bancaria para realizar el cobro de la cuenta bancaria. Y el vendedor en Internet solicita ese cobro al proveedor del servicio de pago.

A partir de la entrada en vigor de la Directiva, el comprador debe autorizar al vendedor online a solicitar el cobro directamente a su cuenta bancaria. Esto se realizará a través de una aplicación que simplifica el proceso con menos intermediarios.

Esa aplicación será distinta si únicamente se va a efectuar el pago o si también es necesario acceder a más información del cliente para algún otro servicio.

De esta forma, los Bancos tendrán que diseñar aplicaciones con distintas funcionalidades y características y diferentes sistemas de pago. El consumidor podrá elegir aquellos sistemas de pago que le ofrezcan más seguridad y comodidad a la hora de realizar las compras.

Es importante tener en cuenta que hoy en día la mayoría de las compras online se realizan a través de teléfonos móviles y las características de estos dispositivos son diferentes a las de un ordenador. Tienen la ventaja de poder identificarse a través de huella dactilar pero el inconveniente de que pueden conectarse a distintas líneas.

Sistema Identity Check

Una de las tarjetas de crédito más utilizadas en nuestro país, Mastercard, ya ha creado su propio sistema de pagos, denominado Identity Check.

Para realizar ventas utilizando tarjetas Mastercard, las tiendas online deben inscribirse en este sistema de pago. Si no lo hacen antes de septiembre, los usuarios que accedan a su web para realizar alguna compra no podrán hacerlo. Y ello les supondrá importantes pérdidas económicas.

Actualización de las tiendas online

Todas las tiendas que realicen ventas online tienen la obligación de adaptar su sistema de cobro online con tarjeta antes de septiembre. En caso de no hacerlo, además de incumplir la norma, no podrán realizar ventas.

Los responsables de facilitar las nuevas plataformas de pago serán los Bancos y, aunque funcionarán como ahora incluidas en la web, proporcionarán mayor seguridad a los consumidores.

Con todo esto, será necesario actualizar la tienda online y los textos legales para cumplir la LSSI CE de la misma para dar a conocer a nuestros usuarios todo lo que deben hacer para realizar esas compras online.

Esta Directiva prohíbe también que los vendedores realicen cargos adicionales a través de pagos online con tarjetas de crédito o débito. Esto supondrá un ahorro de más de 500 millones de euros al año para los consumidores. Y, en casos de uso no autorizado de tarjetas de crédito,  se modifica la responsabilidad de los consumidores, pasando a ser de 50 euros en lugar de los 150 euros actuales.

Por último, esta Directiva garantiza que las reclamaciones interpuestas por los consumidores sean resueltas en un máximo de 15 días.

¿Cómo afecta a los autónomos?

Todos los autónomos que tengan una tienda online tienen la obligación de modificar su sistema de cobro a partir del 14 de septiembre, fecha en la que entra en vigor esta Directiva europea.

Esta norma afectará a todas las empresas, por tanto también a los autónomos. Los principales afectados serán aquellos negocios que realicen ventas de productos en Internet. Pero también los trabajadores por cuenta propia que paguen a sus proveedores online resultarán afectados por dicha Directiva.

Para que sus cliente puedan efectuar los pagos, las pequeñas tiendas online tendrán que aplicar obligatoriamente el nuevo sistema de autenticación según lo indicado por esta normativa. Pero ese sistema de autenticación no debe implantarlo el ecommerce sino que les corresponde hacerlo a los Bancos y a las marcas de tarjetas. Estas deben ajustar sus protocolos e informar a los usuarios a partir de septiembre para que conozcan la disponibilidad de ese doble factor de autenticación.

Lo que sí le corresponde hacer al ecommerce es tratar como compras seguras aquellas operaciones que lo exijan. Igualmente, los autónomos que paguen online a sus proveedores deberán aplicar este nuevo método de identificación.

Con esta Directiva PSD2 los Bancos deben establecer dos tipos de servicios:

En los dos casos se necesita la autorización del cliente y, por supuesto, su previa identificación. Esto tanto si son empresas o autónomos como particulares.

Con ello las entidades bancarias darán acceso a dos nuevos proveedores de servicios externos:

Proveedores de Servicios de Iniciación de Pagos

Estos proveedores posibilitarán la opción de iniciar una orden de pago con otro proveedor de servicios de pago. Gestionarán la orden de pago tanto con el Banco como con el comerciante. Con ello el consumidor puede pagar el precio de un producto o servicio a través de Internet sin tener acceso a su cuenta bancaria o una tarjeta en el momento de realizar ese pago.

Proveedores de Servicios de Información Sobre Cuentas

Es un servicio online que consiste en proporcionar información añadida al usuario sobre una o más cuentas de las que sea titular. Con ello el usuario puede tener una visión sobre su liquidez y poder planificar sus operaciones de pago de manera más segura y eficiente que en la actualidad.

Este servicio proporciona gran utilidad a los consumidores pero aún más a los negocios.

A través de esta banca abierta se suprime la complejidad de los procesos de transacciones otorgando al consumidor el control de esas transacciones. Así pueden tomar decisiones disponiendo de toda la información necesaria y a través de una navegación sencilla.

La Directiva PSD2 otorga a los clientes un mayor control sobre sus finanzas, pudiendo usar los datos para realizar modificaciones en su patrón de gasto.

Compatibilidad con el RGPD

Como hemos visto, esta normativa regula los desafíos que el nuevo sistema de banca abierta presenta. Con este sistema, las entidades bancarias facilitan a terceros los datos de sus clientes para que estos puedan prestarles servicios. Dentro de esos terceros están los proveedores de servicios de pago, entidades que facilitan a los clientes el uso de la banca online ofreciéndoles determinados servicios, como los pagos en Internet.

Para ofrecer esos servicios es imprescindible que esas entidades accedan a la información de los clientes, que hasta ahora manejaban exclusivamente los bancos.

Y aquí es donde aparece la normativa de Protección de datos. El RGPD limita la libertad para compartir datos personales otorgando a los individuos un mayor control sobre sus datos.

La Directiva PSD2 establece la apertura de la información bancaria y el RGPD restringe las libertades para compartir esa información. Esto puede dar lugar a la incompatibilidad de ambas normas.

Sin embargo, los tratamientos previstos en la Directiva PSD2 se justifican en una de las bases de legitimación establecidas en el RGPD. Así, el hecho de que el banco facilite a esos terceros los datos de los clientes es un obligación legal y no un incumplimiento.

Consentimiento

La Directiva PSD2 exige el consentimiento expreso de los clientes para poder tratar sus datos. Pero surgen dudas respecto a este consentimiento desde el punto de vista de la normativa de Protección de datos. El RGPD exige que, para que el consentimiento sea válido, debe otorgarse de manera libre.

Y para que ese consentimiento sea considerado libre no puede condicionarse a la prestación de un servicio. Si el cliente quiere acceder a los servicios debe prestar su consentimiento al tratamientos de sus datos. Sería, por tanto, un consentimiento forzoso.

Sin embargo, este consentimiento expreso requerido en la directiva es un requisito contractual que no debemos confundir con el consentimiento exigido en el RGPD.

Según el Comité Europeo de Protección de datos, los proveedores de servicios pueden tratar esos datos basándose en un interés legítimo o en la ejecución de un contrato, sin usar el consentimiento como base legitimadora.

Pongamos el ejemplo de un usuario que usa una aplicación para enviar dinero a un familiar. Al no existir una relación contractual entre el proveedor de la aplicación y ese tercero que recibe el dinero, ¿qué base legitimadora tendría el proveedor para tratar los datos de ese tercero? Sería el interés legítimo del proveedor del servicio para realizar esa operación de pago. En este caso el tratamiento de los datos es necesario y debe ser proporcional, los datos se tratarán únicamente para el envío del dinero.

Los proveedores de servicios de pago se considerarán responsables del tratamiento si establecen los medios y fines de esos tratamientos.

Moratoria en la entrada en vigor de la Directiva PSD2

Hoy hemos conocido que la entrada en vigor de la Directiva europea que regula los pagos digitales, prevista para el 14 de septiembre, quedará aplazada hasta 2021.

Este aplazamiento se realizará en todos los países miembros y será de 18 meses, salvo en España que será de 14 meses más un plazo de amortización flexible. Para ello se ha logrado un acuerdo entre Bancos y comercios con el Banco Central de España.

Probablemente, la fecha en la que esta norma sea aplicable será en marzo de 2021.

Sin embargo, los afectados deben aplicar el «Plan de acción para la aplicación de la autenticación reforzada sobre el pago con tarjeta en comercio electrónico», presentado hace un mes y aprobado por todas las partes.

El periodo de amortización flexible supone una puesta en común del cumplimiento por parte de todos los Estados miembros de los requisitos exigidos.

Falta de preparación para el cumplimiento

Aunque esta Directiva europea lleva ya mucho tiempo preparándose los expertos consideran que se ha querido ir demasiado rápido en cuanto a su aplicación. Ni las entidades bancarias ni la tecnología están preparados para cumplir el requisito de la autenticación robusta del consumidor para garantizar mayor seguridad a las transacciones digitales.

Problema de interpretación

La Autoridad Bancaria europea que supervisa todo el proceso realiza una interpretación de la norma distinta de la realizada por los principales actores y por algunos países. Por ejemplo, se entiende que el código PAN de la tarjeta es un factor de autenticación pero la Autoridad Bancaria considera que este dato no proporciona la suficiente seguridad (deben cumplirse las otras dos condiciones).

Por otro lado, muchos bancos no han podido aplicar la tecnología necesaria para usar sistemas biométricos de identificación. Tampoco todos los usuarios disponen de teléfonos móviles con tecnología de identificación biométrica por huella dactilar o reconocimiento facial.

En esta situación, la mayoría de las transacciones no iban a poder realizarse.

Esta Directiva va a seguir dando mucho que hablar en los próximos meses. Y os seguiré informando sobre ello.

Ahora solo queda esperar a ver cómo los Bancos y los eCommerce van a adaptarse a esta nueva normativa.