Normativa PSD2 i Pagaments amb Targeta en Comerç Electrònic
I.- Introducció
"PSD2" és l'acrònim utilitzat per a denominar a la segona Directiva (UE) 2015/2366, de 25 de novembre, de serveis de pagament. Aquesta directiva és la regulació europea que recull el marc normatiu que aplica als pagaments electrònics a Europa i està transposada completament a Espanya.
La PSD2 ha fet de la seguretat en els pagaments electrònics un dels seus eixos vertebradors. La norma prescriu l'aplicació obligatòria de mesures i procediments de seguretat específics en les operacions de pagament electròniques, i especialment en les quals tenen lloc a distància. Aquestes mesures i procediments s'articulen entorn del concepte de “autenticació reforçada del client” ("SCA", per les seues sigles en anglés).
Quant a la seguretat en les operacions de pagament, la PSD2 se centra especialment en les transaccions de caràcter remot realitzades a través d'Internet. Aquest èmfasi és una conseqüència directa del notable increment que aquestes transaccions, especialment les realitzades per dispositius mòbils, han experimentat en els últims anys, impulsades per l'auge del comerç electrònic.
El requisit de realitzar autenticació reforçada del client quan s'inicia una transacció de pagament electrònic, consisteix en l'obligació dels proveïdors de serveis de pagament (PSPs) que emeten instruments de pagament d'autenticar la identitat de l'ordenant basant-se en l'ús de dos elements de seguretat independents (factors d'autenticació) cada vegada que aquest realitze un pagament en un comerç físic o electrònic.
L'obligació de realitzar SCA quan s'inicia una transacció de pagament electrònic va començar a aplicar-se en compres presencials des del passat 14 de setembre. Per a les compres online començarà a aplicar-se en els pròxims mesos, i els factors d'autenticació que es demanaran no seran els mateixos que per a les compres presencials.
II.- Aspectes clau en els pagaments amb targeta en comerç electrònic
L'aplicació de SCA en els pagaments amb targeta per Internet suposarà un canvi en la forma en què els usuaris de serveis de pagament van a realitzen les seues compres, perquè els ordenants ja no podran realitzar pagaments online utilitzant únicament la informació impresa de les seues targetes (número de targeta, data de caducitat i codi de seguretat). En el seu lloc, hauran de, per exemple, verificar la seua identitat introduint durant el procés de pagament un codi addicional que rebran en el seu mòbil o mitjançant l'aplicació bancària que estiga connectada al seu telèfon i que requerisca una contrasenya o empremta dactilar per a aprovar una transacció.
L'autenticació reforçada del client en els pagaments per Internet es basa en l'ús combinat de dos dels següents tipus de factors d'autenticació:
Alguna cosa que solament l'ordenant coneix (CONEIXEMENT); per exemple, la seua contrasenya d'accés a la banca electrònica, o determinades posicions del Pin de la seua targeta.
Alguna cosa que solament l'ordenant posseeix (POSSESSIÓ); per exemple, l'App del banc vinculada al seu Telèfon intel·ligent, o el mòbil en el qual rep les contrasenyes d'un sol ús que li enviem per SMS.
Alguna cosa que l'ordenant és (INHERENCIA); per exemple, elements biomètrics com el reconexement facial o l'empremta dactilar.
D'aquesta manera, el PSP emissor de l'instrument de pagament pot estar segur que l'ordenant és qui diu ser.
Cada banc emissor ha decidit quins factors d'autenticació li demanarà als seus clients, per la qual cosa l'experiència de compra pot variar depenent de la targeta que s'utilitze.
En Caixa Ontinyent volem que tots els nostres clients puguen beneficiar-se d'aquesta nova manera de comprar online, per això demanarem els factors d'autenticació que resulten més còmodes i fàcils d'usar ajustant-nos a les seues preferències quant a l'ús de la tecnologia i a la forma en la qual es relacionen amb nosaltres.
No obstant l'anterior, existeixen una sèrie d'exempcions i excepcions legals que permeten no haver de demanar els dos factors d'autenticació sempre, la qual cosa beneficia l'experiència de l'usuari sense reduir la seguretat del pagament.
D'una banda, hi ha diversos tipus de pagaments que, per la seua pròpia naturalesa, la PSD2 els exclou del requisit de sol·licitar autenticació reforçada. Es tracta, de pagaments de productes o serveis quan existisca un acord entre el comerç i el titular de la targeta permeta al comerç realitzar els càrrecs sense que el titular haja de realitzar una acció anterior que el desencadene, es requereix SCA en la primera compra però no en la següents (per exemple, pagament de subscripcions, de subministraments, o càrrecs extres en el lloguer d'un cotxe o d'una reserva hotelera), i els pagaments amb targetes prepagament anònimes.
A més el requisit de SCA només aplica quan tant el PSP de l'ordenant com el PSP del comerç estan a la Unió Europea o en algun dels països de l'Espai Econòmic Europeu (*EEE), per la qual cosa els pagaments amb targetes emeses fora del EEE no estan sotmesos a SCA.
D'altra banda, legalment es preveuen una sèrie de situacions en les quals es permet que els PSPs emissors d'instruments de pagament no apliquen SCA per considerar-se de menor risc. Aquestes situacions són:
-
Pagaments per un import inferior a 30€, fins a un màxim de 5 operacions o un import acumulat de 100€.
-
Pagaments recurrents, per la mateixa quantia i al mateix comerç, es requereix autenticació en la primera transacció. Les subscripcions iniciades amb anterioritat al 14 de setembre de 2019 no hauran de ser autenticades.
-
Pagaments als comerços de confiança del titular indicats com a tal a l'entitat Emissora.
- Alguns pagaments corporatius.
-
Pagaments amb baix risc de frau.
Els nous requisits de *SCA, lligats als supòsits d'exempcions i excepcions a la seua aplicació, suposen un canvi en la forma en què la que es faran les compres online, però això no significa que el procés de compra vaja a ser més complicat o enutjós, simplement caldrà acostumar-se a fer-ho d'una altra manera, i depenent de la digitalització del propi comprador, aquest procés pot ser fins i tot més senzill i àgil que l'actual.
Finalment, cal recordar que aquesta nova manera de comprar online començarà a aplicar-se en els pròxims mesos de manera progressiva, fins que s'implemente definitivament al gener de 2021, per la qual cosa convé estar preparats perquè el canvi no agafe desprevingut a ningú.
Si desitja saber quins factors d'autenticació li podrem demanar, faça clic ací.
