La norma conocida como como PSD2 (por sus siglas en inglés Payment Service Directive) se aplicará a partir de este sábado 14 de septiembre y es una actualización de la primera directiva PSD que se creó en 2007. Recordemos que el real decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgente en materia financiera, se publicó en el BOE el sábado 24 de noviembre.
La Unión Europea quiere que tus medios de pago estén más protegidos y eso es, precisamente, lo que persigue la directiva PSD2. A partir del próximo 14 de septiembre, acceder a la banca online y realizar pagos electrónicos será más seguro gracias al nuevo sistema de autenticación reforzada (strong customer authentication, abreviado como SCA), una de las medidas estrella de la normativa.
Hasta ahora, para acceder a una cuenta corriente por Internet bastaba un usuario y una contraseña o, en su lugar, algún tipo de información biométrica como la lectura de la huella dactilar o el reconocimiento del iris. Pero con la nueva directiva, el proceso cambia. En la práctica, cuando entre en vigor la PSD2 si quieres acceder a tu cuenta online, necesitarás disponer de un smartphone y, en algunos casos, tener instalada la app de tu banco, explican los expertos del comparador bancario HelpMyCash.com.
La autenticación reforzada de la directiva PSD2, cuyo objetivo es reducir el fraude, combina dos elementos independientes para verificar la identidad del cliente que accede a una cuenta o realiza un pago electrónico. La norma obligará a usar al menos dos de los siguientes factores: algo que solo conozca el usuario, como, por ejemplo, una contraseña; algo que tenga el usuario, como un teléfono móvil o un tarjeta; y algo que forme parte de él, como su huella dactilar.
En realidad, el sistema de doble autenticación no es totalmente nuevo. Por ejemplo, cuando se abona una compra en un comercio, se combina una tarjeta con un código pin o cuando se abona una compra por Internet, muchos comercios solicitan un código recibido por SMS para confirmar la operación. Asimismo, algunas entidades obligan al cliente a validar una operación con una clave de firma y un código recibido por mensaje de texto cuando el importe de la transacción es elevado. Pero con la PSD2, este sistema de doble autenticación se actualizará y afectará al acceso a las cuentas online, un proceso que se complicará ligeramente a partir del 14 de septiembre.
Algunos bancos ya han informado sobre cómo la pondrán en práctica. La mayoría han optado por combinar una clave personal con un código temporal recibido por SMS, de manera que será necesario tener a mano el smartphone no solo para operar, sino también para entrar en la banca online. El móvil, indispensable para entrar en la banca online Los clientes de Banco Santander y de Openbank necesitarán su clave de acceso más un código recibido por SMS para acceder a la banca online. BBVA ha optado por la misma opción y ya ha notificado a sus clientes que a partir de septiembre el “móvil será imprescindible para acceder” a los canales digitales. Colonya y las cajas rurales combinarán los datos de acceso habituales (usuario, NIF y contraseña o bien huella y reconocimiento facial) con un código recibido por SMS.
Algunas entidades están aprovechando la entrada en vigor de la normativa PSD2 para eliminar la tarjeta de coordenadas. Laboral Kutxa ha avisado que “la actual tarjeta de firmas para operar en banca online será sustituida por claves que recibirás por SMS”.
ING también quiere licenciar la tarjeta de coordenadas; sin embargo, en lugar de recurrir al popular SMS, enviará notificaciones a través de su app, por lo que a partir de este mes sus clientes estarán obligados a tenerla instalada en su móvil si quieren operar con normalidad a través de la web. ING advirtió que antes del 10 de septiembre será necesario cumplir estos tres requisitos: descargar la app o actualizarla a la versión 2.5 o superior, activar las notificaciones y dar de alta la validación móvil, que sustituirá a la tarjeta de coordenadas.
A la hora de acceder a una cuenta de ING a través del ordenador (se podrá seguir operando por la web, aunque la app sea obligatoria), el cliente recibirá una notificación en su móvil para verificar su identidad. La app también será necesaria para validar operaciones realizadas desde el ordenador. En esos casos, el cliente recibirá una notificación en su smartphone que deberá aceptar y luego introducir una contraseña.
ING no es el único banco que quiere que todos sus clientes tengan su app instalada. Targobank también quiere sustituir los mensajes de texto: “El servicio de Confirmación Móvil reemplaza el envío del SMS por una validación realizada directamente desde su smartphone y totalmente integrada en la aplicación de Targobank”. Obligar al cliente a operar a través de una notificación integrada en una app en lugar de
enviarle un SMS implica que solo podrá operar cuando el smartphone tenga acceso a Internet.
Asimismo, será necesario disponer de un terminal que soporte las últimas versiones de las aplicaciones bancarias y que tenga espacio suficiente para instalarlas, explican los expertos del comparador HelpMyCash.com.
Para agilizar el proceso, la doble autenticación no será necesaria siempre que se acceda a la banca online, sino que los bancos que lo consideren oportuno podrán dar una tregua de 90 días a sus clientes durante los cuales estarán exentos de usar la SCA. Según el Reglamento Delegado 2018/389, que regula la autenticación reforzada, solo será necesario introducir el segundo factor de seguridad la primera vez que se acceda a una cuenta online y cuando hayan transcurrido más de 90 días desde la última vez que se solicitara la autenticación reforzada.
Las cajas rurales, Colonya, Openbank e ING han avisado de que solo se solicitará el segundo factor (SMS o notificación) la primera vez que se acceda a la banca electrónica a partir del 14 de septiembre y luego cada 90 días.
La autenticación reforzada, que no solo afecta al acceso a la banca online, sino también a los pagos electrónicos (compras en ecommerce, por ejemplo) entrará en vigor, oficialmente, el próximo 14 de septiembre. Pero una cosa es la teoría y otra la práctica. La Autoridad Bancaria Europea (EBA) emitió un dictamen el pasado mes de junio en el que reconocía “los desafíos” que supone la normativa PSD2, especialmente para los comercios electrónicos, lo que puede derivar en que “algunos actores de la cadena de pagos no estén listos para el 14 de septiembre de 2019”. Por esta razón, la EBA ha aceptado que, excepcionalmente, los organismos competentes de cada estado puedan otorgar una prórroga para que las compañías se adapten al nuevo sistema de autenticación reforzada.
Otro organismo que ha mostrado su preocupación por el calendario europeo ha sido la Asociación Europea de Proveedores de Servicios de Pagos para Comercios (EPSM por sus siglas en ingles) que en julio propuso una prórroga de 18 meses para la aplicación de la SCA, que podría extenderse hasta los 36 meses en el caso de ciertos servicios que suponen un desafío mayor.
Prórroga que podría aprobarse en la mayoría de los Estados miembros según un documento del Ecommerce Europe, organización que representa a más de 75.000 compañías que venden bienes y servicios online en Europa. Según la asociación, parece que las autoridades nacionales estarían de acuerdo en acordar un período de transición que “debería tener la misma duración en toda Europa”. Algunos organismos nacionales estarían a favor de prorrogar la implementación de la autenticación reforzada 18 meses, una idea a la que no se opone el Banco Central Europeo. “El Banco de España sigue el dictamen de la EBA y está abierto a dar un tiempo extra a todos los proveedores de servicios de pago (PSP)”, señala el documento emitido por Ecommerce Europe. Al parecer, en España se estaría hablando de una prórroga de 14 meses más un tiempo extra de cuatro meses para la implementación total.