Llevamos años hablando de la PSD2 y anunciando que algo vinculado a ella entra en vigor. Y así seguirá seguiendo. La nueva directiva europea de pagos está en construcción (y moratoria) constante y este sábado 14 de septiembre entra oficialmente en vigor uno de los cambios derivados de de esta normativa que con más fuerza impactará sobre el consumidor: la de la autenticación reforzada (o SCA, por ser la siglas de strong costumer authentication). La gran consecuncia de esta nueva medida es que la tarjeta ya será suficiente para realizar compras online.
Esto es así porque en el nuevo marco de la autenticación reforzada los usuarios deberemos identificarnos con dos de los siguientes tres parámetros: algo que tengo (un móvil, por ejemplo), algo que soy (algún patrón biométrico) y algo que sé (un código). De esta forma, a partir de ahora, para pagar online, será necesario identificarse vía DNI o móvil y, después, para verificar la identidad, introducir el código por SMS que envíen desde el banco, aceptar una notificación en el móvil de la app del banco o introducir nuestra huella biométrica (reconocimiento facial, de iris o la huella digital).
El fin es evitar el fraude y los problemas a la hora de comprar por internet, por lo que esta nueva regulación no impacta únicamente en la banca, sino en todas aquellas empresas que de alguna forma u otra participan en los procesos de compra online.
No obstante, la nueva directiva PSD2 ha establecido algunas excepciones a la hora de usar esta autenticación reforzada, como el acceso a un cuenta bancaria únicamente para consultar el saldo o los movimientos, realizar pagos online de menos de 30 euros, pagos móviles o contactless por importe inferior a 50 euros o el pago en terminales no atendidos como peajes o aparcamientos, entre otras.
El largo camino de la PSD2
La PSD2 ha estado sobre la mesa de la Comisión Europea desde 2015 y fue hasta enero de 2018 cuando se produjo la primera y general entrada en vigor. Cuestiones como la apertura de las APIS a teceros de la banca sí se han logrado, pero no ha sido hasta 2019 cuando los requerimientos técnicos que habilitan buena parte de las exigencias de la normativa han estado claros. El el caso de la autenticación del cliente, el 14 de septiembre era la fecha marcada en el calenario que, sin embargo, va a ser más bien anecdótica puesto que la la Autoridad Bancaria Europea, la EBA, ha admitido que los bancos de cada país fijen moratorias tras las críticas y exigencias de los actores implicados. En la mayoría de países de la UE la prórroga será de 18 meses y en el caso de España será de 14.
Según un estudio de 451 Research y Stripe, la SCA o autenticación reforzada tendrá un impacto "desproporcionado" en las pequeñas empresas: tres de cada cinco compañías con menos de 100 empleados no están familiarizadas con la normativa, "no planeaban cumplir con la norma antes de septiembre o no están seguras de cuándo estarán listas". Esto contrasta con las grandes empresas, de más de 5.000 empleados, en las que sólo uno de cada 25 profesionales de pago no lo sabe.