Principales novedades:
La Directiva sobre servicios de pago 3 (PSD3 o DSP3, por sus siglas en español) es una versión actualizada de la Directiva sobre servicios de pago 2 (PSD2), que establece normas acerca de la eficiencia y seguridad de los pagos electrónicos o digitales y los servicios financieros en la UE. Su objetivo es fomentar la competencia y la innovación en el sector financiero.
La PSD3 establece una regulación más amplia sobre la Autenticación Reforzada del Cliente (SCA) y normas más estrictas respecto al acceso a los sistemas de pago y a la información de las cuentas.
La PSD3 quiere proteger los derechos y los datos personales de los consumidores, a la vez que fomenta la competencia en el sector de los pagos.
Las propuestas realizadas también incluyen un nuevo Reglamento sobre Servicios de Pago (RSP) para aumentar la protección del consumidor. Se aplicará directamente a los Estados miembros de la UE.
Calendario: todavía no se ha definido un calendario para la aplicación de la normativa PSD3 y el reglamento RSP. Las versiones definitivas podrían estar disponibles a finales de 2024. Los Estados miembros suelen disponer de un periodo de transición de 18 meses, lo que indica que la PSD3 y el RSP podrían entrar en vigor en torno a 2026.
Desde la aprobación de la anterior Directiva sobre servicios de pago (PSD), el mercado de servicios de pago de la UE ha experimentado importantes transformaciones. Las causas son el auge de los pagos electrónicos y la irrupción de nuevos proveedores, que ofrecen servicios de banca abierta.
El principal objetivo de la última Directiva sobre servicios de pago (PSD2) era garantizar la igualdad de condiciones entre los proveedores existentes y los nuevos proveedores de pagos con tarjeta, internet y móvil.
Debido a la evolución del mercado, la normativa en materia de pagos necesitaba una puesta al día. El 28 de junio, la Comisión Europea presentó sus propuestas para que los pagos y el sector financiero en general avancen hacia la era digital. Estas propuestas modificarán y modernizarán la PSD2, que se convertirá en la PSD3 e incorporará un Reglamento sobre servicios de pago (RSP).
Este artículo ofrece una visión general de las propuestas de la Directiva de Servicios de Pago 3 (PSD3) de la Comisión Europea, las diferencias con la PSD2 y su impacto en el sector de los pagos.
¿Qué es la PSD3?
La PSD3 es una Directiva de la UE que establece normas para la autorización y supervisión de los proveedores de servicios de pago no bancarios (PSP) en la UE. La PSD3 quiere proteger los derechos y la información personal de los consumidores, a la vez que fomenta la competencia en el sector de los pagos. De este modo, los consumidores podrán compartir sus datos de forma segura y acceder a una gama más amplia de productos y servicios financieros innovadores. Al tratarse de una directiva, las normas de la PSD3 deben transponerse a las legislaciones nacionales de los distintos Estados miembros de la UE.
¿Qué es el RSP?
El RSP es un Reglamento de la UE al que estarán sujetos los Estados miembros tras su promulgación y entrada en vigor. El RSP se aplicará directamente, sin necesidad de transposición por parte de los Estados miembros a nivel nacional. De este modo, se favorecerá su implantación uniforme y coherente en toda la UE. El RSP quiere mejorar la protección de los consumidores, un ámbito en el que la coherencia de las normas es crucial.
Comparación entre PSD2 y PSD3
La PSD3 abarcará un ámbito más amplio que la PSD2. De este modo, resulta más adecuada para el panorama actual de los pagos, dada la desigual aplicación de las normas que podría fomentar el arbitraje reglamentario. Abarca la mayoría de los aspectos de la PSD2, como la transparencia, la responsabilidad y la banca abierta. Sin embargo, la PSD3 establece una regulación más amplia sobre la Autenticación Reforzada del Cliente (SCA) y reglas más estrictas para acceder a los sistemas de pago y la información de las cuentas que la PSD2. Esto tiene un papel fundamental en la protección de las transacciones de pago y la lucha contra el fraude.
Consulta más información sobre cómo ha sido la relación entre la PSD2 y la SCA hasta ahora.
Repercusiones de la PSD3 en el sector de los pagos
El sector de los pagos se va a ver afectado por los cambios en la Autenticación Reforzada del Cliente (SCA), así como en el acceso a los sistemas de pago y a la información de las cuentas. Vamos a ver en qué consisten estos cambios y las diferencias que implican.
Autenticación Reforzada del Cliente (SCA)
Los cambios de la PSD3 en relación con la SCA harán que las experiencias de compra sean más seguras. Habrá nuevas normas sobre intercambio de datos, prevención del fraude, autenticación, transacciones y accesibilidad.
Datos
Las empresas tendrán que compartir más datos con los emisores, lo que les permitirá controlar aspectos del entorno y el comportamiento como la ubicación del usuario, la hora de las transacciones, los dispositivos utilizados, los hábitos de gasto, el historial de transacciones, los datos de sesión y la IP del dispositivo. Como resultado, podrán aumentar las tasas de aprobación al determinar mejor qué transacciones aprobar y cuáles rechazar. Los sistemas de pago y los proveedores de servicios de pago también podrán tratar datos personales para la prevención del fraude sin el consentimiento explícito del usuario en virtud del Reglamento General de Protección de Datos (RGPD). Esto solo será aplicable en los casos en los que se utilicen los datos para prevenir el fraude.
Fraude
Las nuevas propuestas también sugieren un cambio de responsabilidades en cuanto al fraude. Los sistemas, los proveedores de servicios técnicos (como los proveedores de monederos) y las pasarelas de pago serán responsables del fraude si no aplican la SCA. La idea es proteger a los pagadores de los fallos técnicos e incentivar a los proveedores para que mantengan una alta calidad de servicio.
Los emisores también serán responsables cuando se produzcan fraudes de suplantación de identidad. Por ejemplo, cuando un estafador se hace pasar por empleado de un banco para que el usuario autentique el pago. Si el pagador actúa de forma fraudulenta o comete una negligencia grave, seguirá siendo responsable.
Autenticación
La PSD2 exigía que los factores de la SCA pertenecieran a dos categorías de las tres siguientes: conocimiento, posesión e inherencia. Con la PSD3, es posible utilizar dos factores de las mismas categorías, como un token y un SMS OTP, o incluso dos contraseñas.
La delegación de la SCA en terceros, como Apple Pay, por parte de los emisores ahora se considera una externalización y debe cumplir las normas de externalización para autenticar al titular de la tarjeta. En Adyen ya previmos que se iba a regular la externalización y creamos una solución de autenticación delegada que nos permite realizar la autenticación nosotros mismos, en lugar de recurrir a terceros. De este modo, los emisores pueden delegarnos la SCA.
Exenciones
Las transacciones iniciadas por el comerciante (MIT), como las suscripciones, quedarán excluidas de la SCA. Solo la primera transacción requerirá la SCA. Las MIT dispondrán del mismo derecho de reembolso incondicional («sin preguntas») durante 8 semanas que los adeudos directos SEPA.
Del mismo modo, los pedidos por correo y por teléfono mediante tarjeta, también denominados transacciones MOTO, no requerirán la autenticación con SCA. Esta exención beneficiará enormemente a sectores como el de los viajes.
En lo que respecta a la tokenización, la SCA solo será necesaria si el titular de la tarjeta inicia la transacción, por ejemplo, durante una transacción con tarjeta registrada o cuando un titular inscriba su tarjeta en un monedero electrónico.
Accesibilidad
En adelante, la SCA deberá ser accesible para los clientes vulnerables, como las personas mayores, con discapacidad o sin conocimientos digitales. Esto implica proporcionar métodos de autenticación que no dependan únicamente de los teléfonos inteligentes.
Acceso a sistemas de pago e información sobre cuentas
El RSP introducirá cambios en el actual marco de banca abierta que eliminarán obstáculos a la prestación de servicios bancarios abiertos y, en última instancia, aumentarán la disponibilidad de los servicios bancarios y financieros.
Los proveedores de servicios de iniciación de pagos (PISP) y los proveedores de servicios de información sobre cuentas (AISP) podrán crear interfaces personalizadas que conecten con los bancos y otras entidades financieras.
Los bancos y entidades financieras tendrán que compartir más información sobre el rendimiento de sus API mediante la publicación de estadísticas trimestrales referentes a la disponibilidad y el rendimiento de las interfaces, lo que permitirá un mayor nivel de transparencia. Esto proporcionará a las empresas información más precisa sobre los sistemas de pago, como ayuda para tomar decisiones informadas sobre qué socio desean elegir para sus necesidades de procesamiento de pagos.
En caso de inactividad o interrupciones de los sistemas bancarios, los bancos deberán permitir a terceros (AISP y PISP) usar sus propias interfaces bancarias, lo que dará lugar a procesos de pago más eficientes para las empresas digitales y sus clientes. De acuerdo con la legislación civil aplicable, las empresas también mantendrán el derecho a reclamar daños y perjuicios por las pérdidas sufridas.
Los bancos estarán obligados a proporcionar a los clientes un panel de permisos. Este panel permitirá a los clientes supervisar y gestionar de forma continua y cómoda los permisos concedidos a los AISP.
¿Cuál es el siguiente paso?
Las propuestas de la PSD3 y el RSP garantizan que los consumidores puedan seguir realizando pagos y transacciones electrónicas en la UE de forma segura, ya sea en el ámbito nacional o transfronterizo, en euros y otras monedas. Su objetivo es ofrecer una mayor variedad de proveedores de servicios de pago, al mismo tiempo que protegen a los clientes.
En Adyen, estamos trabajando con los reguladores y redes de tarjetas para asegurarnos de tenerlo todo a punto para la llegada de la normativa PSD3. Por el momento, no se requieren más medidas. Te mantendremos al día sobre las últimas novedades de la normativa por correo electrónico y mediante mensajes del sistema para asegurarnos de que tu experiencia sea óptima.
Todavía no se ha definido un calendario para la aplicación de la normativa PSD3 y el reglamento RSP. El Parlamento Europeo y el Consejo Europeo revisarán los cambios propuestos. Las versiones definitivas podrían estar disponibles a finales de 2024. Los Estados miembros suelen disponer de un periodo de transición de 18 meses, lo que indica que la PSD3 y el RSP podrían entrar en vigor en torno a 2026. Si deseas conocer más detalles, consulta los documentos oficiales aquí.
Obtén más información sobre cómo una mejor autenticación permite hallar un equilibrio entre la comodidad y la seguridad aquí.
Regístrate en nuestra newsletter
Suscríbase a nuestras alertas
Confirmo que he leído la Política de Privacidad de Adyen y estoy de acuerdo con el uso de mis datos.