Cuando el e-commerce está más auge, como consecuencia de los cambios de hábito por la pandemia por la Covid-19, ha llegado la implantación definitiva de la PSD2 en España el 1 de enero de 2021. Sí, 2021, aunque esta normativa de pagos se publicó en diciembre de 2015 y entró en vigor en enero de 2016. Han pasado 60 días desde el fin de la última moratoria y desde la Asociación Española Fintech e Insurtech (AEFI) han celebrado un evento para analizar este arranque.
El objetivo de esta última moratoria era permitir una mejor adaptación en las operaciones de e-commerce basadas en tarjetas. Sin embargo, persiste la sensación de haber “subestimado” el impacto que tendría la aplicación de tecnología y de diferentes mecanismos para la implementación del doble sistema de autenticación para finalizar los procesos de compra.
Así, en el webinar 60 días de la PSD2 en España, situación actual y futuro, Julio César Fernández, director de Desarrollo de Negocios de Cecabank, ha incidido en que todo mecanismo nuevo requiere de un periodo de aprendizaje y estos primeros dos meses “aún son parte de ese momento duro de conversión para la adaptación del cliente” a los nuevos procesos de pago.
Aunque esta normativa pretendía ayudar al comercio electrónico en sus flujos de pago, en estos dos primeros meses la tasa de rechazo o abandono de clientes que no pueden completar las operaciones porque se encuentran con algún tipo de dificultad o por desconocimiento de los nuevos mecanismos de autenticación ha crecido y se sitúa, de media en Europa, en torno al 20% de las operaciones que se inician.
No obstante, en esta misma mesa redonda, Alberto López, director de Ciberseguridad y Soluciones Digitales de MasterCard, ha matizado que en España las autenticaciones de comercios electrónicos suponen entre un ocho y un 10% de todas las transacciones, es decir, que está cayendo un 20% de ese 10%, lo que supone, en realidad, un 2% del total.
El mínimo que debemos fijarnos todos es que el 90% de las veces que un cliente intente autenticarse lo haga con éxito. “Los números de principios de año eran catastróficos, pero hemos mejorado mucho” en estos dos primeros meses.
Por ello, Julio César Fernández ha señalado que hasta que el cliente no se enfrente por primera vez a estas nuevas fórmulas de pago “no se puede dar por concluido este aprendizaje”. “Poco a poco -ha añadido- las tasas de abandono irán disminuyendo, pero aún estamos en periodo de adaptación por parte del cliente”.
Subestimar la complejidad
“La regulación es tremendamente compleja y muy ambigua por las interpretaciones que se pueden realizar. Creó que se subestimó la complejidad de lo que se estaba planteando técnicamente”, ha insistido López de MasterCard. Así, ha señala que aunque se han realizado muchas pruebas y se han planteado múltiples escenarios, “a la hora de implementarlo se ha tenido que ir depurando en tiempo real todo el protocolo, porque las casuísticas son muy dispares”.
El cliente final se tiene que adaptar a las nuevas formas de autenticar el pago. "Hemos subestimado el impacto que tendría introducir un segundo nivel de autenticación en el cliente final. Pensamos que sería fácil, pero no ha sido así porque no todos los clientes tienen activadas las notificaciones, ni actualizadas las apps… Los reguladores y todos los agentes subestimaron esta complejidad y la facilidad de la puesta en marcha.
En su opinión, “ha faltado información al usuario final por todas las partes” y esto ha provocado que los usuarios “estén aprendiendo a marchas forzadas y por eso se está viendo este impacto en estos dos primeros meses”.
En este sentido, Javier Bartolomé, director de Innovación de Kineox, ha apostillado que aún es pronto para realizar un análisis porque a esta normativa le “falta madurez” para “acabar de asentarse y abrirse para promover nuevas iniciativas estratégicas”, así como ha pedido a los reguladores “ser estrictos por igual” para poder tener mejores resultados.
Múltiples opciones de autenticación
Es cierto, que tras cinco años de desarrollo, las herramientas tecnológicas están listas, desde las aplicaciones financieras hasta la biometría. De hecho, Fernández ha apuntado que puede haber, incluso, demasiados mecanismos y tendrán que confluir hacia los más convenientes.
La tecnología simplifica muchos procesos, pero no todos los usuarios tienen las habilidades para usarla. Alberto López de MasterCard ha recordado en este punto que en algunos casos la tecnología puede “generar más fricción” en los usuarios menos habituados.
La disponibilidad de diferentes modelos de autenticación (desde una segunda clave, las claves de banca electrónica, el pin de la tarjeta, la biometría), en un principio, parecía ser positivo, pero Julio César Fernández ha apuntado que también “introduce un elemento de complejidad porque no todas las entidades incluyen los mismos mecanismos”.
En su opinión, las mejores prácticas de estos procesos de autenticación, como puede ser la apoyada por la tecnología biométrica de la banca electrónica, terminarán “implantándose, unificándose y convirtiéndose en el estándar de uso”. Así, las múltiples opciones que ahora abruman al usuario “convergerá hacia los más convenientes para al usuario y restará dificultades al proceso”.
Para Arturo Gonzalez, vicepresidente de la AEFI y de CEO de Eurobits, “hay un error de base” en esta normativa. “Lo que pretendía PSD2 era fomentar la innovación y la competencia en los medios de pago, sujetos a un nivel de seguridad elevada, pero esta seguridad estaba subordinada a los objetivos primordiales de innovación y competencia”. Sin embargo, el resultado ha sido, a su juicio, “hacerlo todo más seguro, pero menos innovador y competitivo”.
Equilibrio entre innovación y seguridad
Julio César Fernández ha recordado que la PSD2 pretendía “balancear la usabilidad y la facilidad del pago con la necesidad de contar con un modelo robusto y seguro para proteger la integridad del pago del cliente”.
Sin embargo, la búsqueda de la seguridad en los pagos derivó “hacia un ecosistema extraordinariamente complejo” al crearse un nuevo paradigma en los servicios de pagos al permitir el acceso a las cuentas de pago a través de terceros. “Había que regular unas relaciones asimétricas, donde había conflictos de intereses, entre entidades hasta ahora competidoras”, ha señalado en este webinar Gregorio Rubio, responsable de la unidad de supervisión de proveedores de servicios de pagos del Banco España.
La necesidad de “aunar seguridad en los pagos y la usabilidad sin matar ni la posibilidad de crecer ni perjudicar la innovación” ha obligado a desarrollar “una regulación abierta”, pero esto genera “inseguridad jurídica”. Rubio ha recordado que lo que podía haber parecido sencillo, fue un proceso complejo.
Y esto explica porque se analiza en este evento “la aplicación de los primeros 60 días” en 2021, cuando es una norma que se publicó en diciembre 2015 y entró en vigor en enero 2016. Por el camino, un desarrollo normativo complejo: 13 normas de carácter técnico, siete directrices y cinco reglamentos técnicos estándar. En definitiva, “goteo regulatorio”.
El objetivo inicial de la PSD2 era “dinamizar el mercado financiero e incrementar la competencia”. Rubio puntualiza que al aceptarse las nuevas reglas de juego “se ha dado pie a un nuevo entorno de colaboración tras un inicio belicoso de intereses encontrados”.
No obstante, en otra de las mesas redondas, Arturo Gonzalez, vicepresidente de la AEFI y de CEO de Eurobits, ha puntualizado las “carencias funcionales” de esta normativa europea: “No es posible la realización de pagos por lotes cuando deben estar procesados, pero en España no lo soporta ninguna entidad, y, además, la riqueza dato es muy inferior a través de las APIs que a través de la interfaz web”.
En este sentido, Arturo González ha propuesto al Banco España “la creación de un foro, formal o informal, que aglutine a todos los afectados por la norma y permita unificar criterios y limar asperezas”. Así, ha incidido en que esta normativa ha creado “un entorno que obliga a unas empresas a compartir con sus competidores su activo más preciado, que es el dato de sus clientes, y gratis. Esto es difícil de gestionar”.
En el turno de preguntas, Rubio ha señalado que la propuesta de González es válida y se está considerado, aunque ha apostillado que ya existe un foro de estas características en el seno de la EBA. “Aunque con la pandemia ha estado inactivo en el último año, contribuye a aunar criterios pero no da respuestas a todos los problemas”, ha concluido el representante del Banco de España.