La forma de comprar ha canviat. Milions de persones compren a tot el món cada minut. Pagar qualsevol cosa amb targeta o mòbil, és normal. Ara més que mai, la seguretat és fonamental.
Per això entra en vigor la normativa europea de pagaments, que posa en marxa l'Autenticació Reforçada de Clients, un sistema de seguretat per als teus clients basat en 3 pilars:
L'economia digital creix, i la forma de comprar també: telèfons mòbils, ordinadors, tablets i fins i tot assistents de veu, s'utilitzen cada dia per a comprar. A causa del volum creixent d'aquestes compres, necessitem verificar que el titular de la targeta realment és qui diu ser. La Directiva de Serveis de Pagament 2 (PSD2) té com a objectiu, entre altres qüestions, millorar la seguretat en transaccions presencials i els pagaments online través de l'Autenticació Reforçada de Clients.
En primer lloc, revisar els teus TPV, tant físics com virtuals. Si tots els teus TPV són segurs (3DS), és a dir, els TPV físics accepten xip i PIN i els TPV virtuals processen totes les transaccions com a "comerç electrònic segur", no et preocupis, no has de fer res.
Si tots o algun dels teus TPV no són segurs, has de posar-te en contacte amb nosaltres sense demora i t'oferirem solucions que et permetin continuar operant amb la millor experiència de pagament dels teus clients.
1. Introducció
"PSD2" és l'acrònim utilitzat per a denominar a la segona Directiva (UE) 2015/2366, de 25 de novembre, de serveis de pagament.
Aquesta directiva és la regulació europea que recull el marc normatiu que aplica als pagaments electrònics a Europa.
La PSD2 regula l'execució de pagaments electrònics en tots els països de la Unió Europea, així com els drets i obligacions dels usuaris de serveis de pagament enfront dels seus "proveïdors de serveis de pagament" (bancs, entitats de diners electrònics, etc) així com les relacions entre aquests proveïdors.
A més, aquesta directiva tracta d'adaptar la normativa als canvis experimentats en el panorama dels pagaments i regular l'aparició de nous serveis de pagaments electrònics. En aquest sentit, els tres objectius principals de la PSD2 són:
1. Augmentar la protecció dels consumidors i la transparència.
2. Promoure la competència i la innovació.
3. Augmentar la seguretat dels pagaments electrònics.
La PSD2 va entrar en vigor al gener de 2016 i resulta d'aplicació des de gener de 2018. No obstant això, algunes de les seves disposicions, com les relatives a l'autenticació reforçada de clients, entraran en vigor el 14 de setembre de 2019.
2.Aspectes clau de la psd2
1.Requisits de seguretat més estrictes en els pagaments electrònics (autenticació reforçada del client).
La PSD2 ha fet de la seguretat en els pagaments electrònics un dels seus eixos vertebradors. La norma prescriu l'aplicació obligatòria de mesures i procediments de seguretat específics en les operacions de pagament electròniques, i especialment, en les quals tenen lloc a distància. Aquestes mesures i procediments s'articulen entorn del concepte de “autenticació reforçada del client "SCA", per les seves sigles en anglès). Quant a la seguretat en les operacions de pagament, la PSD2 se centra especialment en les transaccions de caràcter remot realitzades a través d'Internet. Aquest èmfasi és una conseqüència directa del notable increment que aquestes transaccions,especialment les realitzades per dispositius mòbils, han experimentat en els últims anys, impulsades per l'auge del comerç electrònic. El requisit de realitzar autenticació reforçada del client quan s'inicia una transacció de pagament electrònic, consisteix en l'obligació dels proveïdors de serveis de pagament (PSPs) que emeten instruments de pagament, d'autenticar la identitat de l'ordenant, basant-se en l'ús de dos elements de seguretat independents (factors d'autenticació) cada vegada que aquest realitzi un pagament en un comerç físic o electrónico.la autenticació reforçada del client es basa en l'ús combinat de dos dels següents tipus de factors d'autenticació:
Alguna cosa que únicament l'ordenant coneix, per exemple, el PIN de la seva targeta.
Alguna cosa que únicament l'ordenant posseeix,per exemple, una targeta, un telèfon.
Alguna cosa que ordenant és, per exemple, un tret biomètric com l'empremta digital, l'iris.
D'aquesta manera, el PSP emissor de l'instrument de pagament pot estar segur que l'ordenant és qui diu ser. No obstant l'anterior, existeixen una sèrie d'exempcions i excepcions legals que permeten no haver de demanar els dos factors d'autenticació sempre, la qual cosa beneficia l'experiència de l'usuari sense reduir la seguretat del pagament. D'una banda, hi ha diversos tipus de pagaments que, per la seva pròpia naturalesa, la PSD2 els exclou del requisit de sol·licitar autenticació reforçada.
Es tracta de: pagaments iniciats per correu postal o per telèfon; pagaments de productes o serveis quan existeixi un acord entre el comerç i el titular que permeti al comerç realitzar els càrrecs sense que el titular hagi de realitzar una acció anterior que el desencadeni (per exemple, pagament de subscripcions, de subministraments etc.), i els pagaments amb targetes prepagament anònimes.
A més, el requisit de SCA només aplica quan tant el PSP de l'ordenant, com el PSP del comerç estan en l'Espai Econòmic Europeu (EEE) pel que els pagaments amb targetes emeses fora del EEE no estan sotmesos a SCA.
D'altra banda, es preveuen una sèrie de situacions en les quals es permet que els PSPs emissors d'instruments de pagament no apliquin SCA, per considerar-se de menor risc. Aquestes situacions són:
Els nous requisits de SCA, lligats als supòsits d'exempcions i excepcions a la seva aplicació, suposen un canvi en la forma en què els usuaris de serveis de pagament van a realitzen les seves compres.
Així, en els pagaments presencials amb targeta física, l'ús de targetes EMV xip i la introducció del PIN, serà suficient per a complir els requisits d'autenticació reforçada, en existir un factor de possessió (la targeta EMV) i un factor de coneixement (el PIN), però és possible que l'usuari de serveis de pagament noti que se li sol·licita el PIN amb major freqüència, fins i tot en pagaments de baix import, ja que a partir d'ara, a més de l'import de l'operació, es tindrà en compte per a sol·licitar o no el PIN, el nombre de pagaments que es realitzin amb un mateix instrument de pagament, o la suma dels seus imports fins a un límit.
En els pagaments per Internet, el canvi en la forma de pagament es notarà una mica més, perquè els ordenants ja no podran realitzar pagaments online introduint únicament la informació impresa de les seves targetes (número de targeta, data de caducitat i codi de seguretat). En el seu lloc, hauran de, per exemple, verificar la seva identitat introduint durant el procés de pagament un codi addicional que rebran en el seu mòbil o mitjançant l'aplicació bancària que estigui connectada al seu telèfon i que requereixi una contrasenya o empremta dactilar per a aprovar una transacció, o amb el mateix PIN de la targeta utilitzat en l'operativa presencial.
No obstant l'anterior, cal destacar, que si bé l'autenticació reforçada de clients entrarà en vigor el 14 de setembre de 2019, existeix una moratòria per a l'aplicació de SCA en els pagaments per internet, per la qual cosa de moment en aquest tipus d'operacions els usuaris de serveis de pagament no notaran canvis.
2. Nous serveis de pagament basats en l'accés als comptes per tercers.
Una altra de les novetats fonamentals de la PSD2, és l'obligació per als bancs de permetre l'accés als comptes dels seus clients a tercers proveïdors de serveis de pagament perquè aquests puguin prestar determinats serveis de pagament. Els serveis basats en l'accés als comptes bancaris per tercers, es coneixen com a serveis de "Open Banking"
L'objectiu d'aquesta nova obligació és, segons la PSD2, fomentar la competència i la innovació. Així, la PSD2 obliga fonamentalment als bancs, a concedir a tercers ("Proveïdors de Serveis de Pagament a Tercers" o "TPP") accés als comptes dels seus clients, perquè puguin prestar dos tipus de serveis: iniciació de pagaments i informació sobre comptes.
3. Es reforcen els drets dels consumidors
La PSD2 inclou una sèrie de disposicions que atorguen una major protecció als consumidors. En aquest sentit, la PSD2 augmenta els requisits d'informació precontractual que els proveïdors de serveis de pagament han de proporcionar als usuaris finals, especialment en relació amb les comissions aplicables.
A més, la PSD2 també impedeix que els comerços minoristes europeus demanin als consumidors europeus despeses addicionals en funció del mitjà de pagament utilitzat en la transacció (l'anomenat "recàrrec", que a Espanya ja estava prohibit per a les targetes dels consumidors) o que els comerços minoristes cobrin quantitats a les quals el client no ha donat el seu consentiment específic.
Així mateix, la PSD2 redueix la responsabilitat de l'usuari en pagaments no autoritzats. Excepte en cas de frau o negligència greu, l'import màxim que un usuari de serveis de pagament podria veure's obligat a desemborsar de realitzar-se una operació de pagament no autoritzada descendeix de 150 a 50€.
Finalment, es prohibeixen els mètodes de fixació de preus no transparents i es preveu la creació d'una figura competent a nivell nacional per a manejar les queixes dels serveis de pagament de particulars i de les associacions de consumidors.
L'Autenticació Reforçada de Clients, també coneguda com “Strong Customer Authentication” o “SCA” per les seves sigles en anglès, suposa l'aplicació de noves mesures de seguretat que faran que els pagaments amb targeta siguin encara més segurs, ja que serà la forma en la qual les entitats Emissores identificaran als titulars de les targetes quan ordenin pagaments en comerços presencials o per internet.
Aquestes noves mesures de seguretat s'han introduït a través de la nova Directiva de Serveis de Pagament, també coneguda com PSD2, una norma que hem de complir tots els proveïdors de serveis de pagament (com els bancs) que estiguem dins de l'Espai Econòmic Europeu.
L'autenticació reforçada suposa que els titulars de targetes hauran d'identificar-se davant l'entitat Emissora de la seva targeta utilitzant almenys dos factors d'autenticació quan realitzin determinats pagaments electrònics. Així, l'entitat Emissora demanarà al titular 2 dels següents 3 tipus de factors d'autenticació:
Aquests nous requisits tenen menor impacte en els pagaments amb targeta presencials, gràcies a les targetes amb xip i PIN. En aquests casos, ja es compleixen els requisits d'autenticació reforçada ja que existeix un factor de possessió (la targeta) i un factor de coneixement (el codi PIN), i l'única cosa que notarà el titular quan compri és que el terminal li demanarà que introdueixi la seva PIN amb més freqüència, fins i tot encara que es tracti d'imports inferiors a 20€.
En els pagaments en comerç electrònic l'impacte serà major, perquè els titulars de targetes ja no podran realitzar pagaments online utilitzant la informació impresa de les seves targetes (número de targeta, data de caducitat i codi de seguretat). En el seu lloc, l'entitat Emissora li demanarà 2 dels 3 possibles tipus de factors d'autenticació esmentats anteriorment, que en la majoria dels casos, serà una clau OTP que rebrà en el seu mòbil per SMS i una mica més, que dependrà del perfil més o menys tecnològic del titular.
Tot això haurà d'efectuar-se a través d'un protocol segur, per la qual cosa els comerços que no ho siguin, hauran de migrar a 3DSecure.
No, existeixen una sèrie d'exempcions i excepcions legals que permeten no haver de demanar els dos factors d'autenticació sempre, la qual cosa beneficia l'experiència de l'usuari sense reduir la seguretat del pagament.
D'una banda, hi ha diversos tipus de pagaments que, per la seva pròpia naturalesa, la PSD2 els exclou del requisit de sol·licitar autenticació reforçada. Es tracta, de pagaments iniciats per correu postal o per telèfon, els pagaments de productes o serveis quan existeixi un acord entre el comerç i el titular que permeti al comerç realitzar els càrrecs sense que el titular hagi de realitzar una acció anterior que el desencadeni (per exemple, pagament de subscripcions, de subministraments etc.), i els pagaments amb targetes prepagament anònimes.
A més el requisit de SCA només aplica quan l'emissor i l'adquirent estan en algun dels països de l'Espai Econòmic Europeu (EEE), per la qual cosa els pagaments amb targetes emeses fora del EEE no estan sotmesos a SCA.
D'altra banda es preveuen una sèrie de situacions baix les quals és possible que els Emissors decideixin no aplicar SCA.
Aquestes situacions són:
La PSD2 no obliga directament als comerços, sinó als proveïdors de serveis de pagament, però no és possible demanar als titulars de les targetes els dos factors d'autenticació que es requereixen per a aplicar correctament SCA, o bé decidir no demanar-los-hi en els casos permesos legalment, sense l'adaptació tècnica dels terminals i passarel·les de pagament dels comerços, sent responsabilitat de les entitats Adquirents fer que els seus comerços implementin les adaptacions necessàries per a poder complir amb la norma, en els casos en què aquesta actualització depengui del comerç, ja que hi haurà uns altres, en els quals l'actualització la podrà realitzar l'Adquirent.
Les entitats Emissores poden ser sancionades amb quantioses multes en cas que no compleixin amb els requeriments de SCA pel que podran denegar l'autorització de les operacions de pagament, en cas que no puguin aplicar SCA, o no puguin estar segures que es tracta d'un pagament no subjecte o exempt de SCA, la qual cosa tindria conseqüències directes per el comerç, que perdria vendes i clients.
En primer lloc, revisar els teus TPV, tant físics com virtuals. Si tots els teus TPV són segurs (3DS), és a dir, els TPV físics accepten xip i PIN i els TPV virtuals processen totes les transaccions com a "comerç electrònic segur", no et preocupis, no has de fer res.
Si tots o algun dels teus TPV no són segurs, has de posar-te en contacte amb nosaltres sense demora en […], on t'oferirem solucions que et permetin continuar operant amb la millor experiència de pagament dels teus clients.
L'autenticació reforçada de clients serà obligatòria a partir del 14 de setembre de 2019, no obstant l'anterior, un recent comunicat de l'Autoritat Bancària Europea faculta a les autoritats nacionals, en el nostre cas, el Banc d'Espanya, per a acordar una pròrroga en relació als pagaments per internet. Aquest ajornament podria donar marge a comerços i proveïdors de serveis de pagament (bancs) per a implementar els canvis necessaris, però en qualsevol cas, el més convenient és començar a realitzar-los al més aviat possible. Et mantindrem informat de qualsevol novetat sobre aquest tema.