PSD2 Servicios bancarios más allá de los bancos

Retos y oportunidades: el acceso a los datos de los usuarios es la clave

Los proveedores de servicios de pago online, tanto bancos como los nuevos operadores, han comenzado el año adaptándose a la nueva regulación establecida en España. Una nueva normativa mediante real decreto-ley, que es fruto de la trasposición (aprobación de medidas de aplicación por la que se aplica una directiva europea) de la segunda directiva de servicios de pago (PSD2) (Directive (EU) 2015/2366), que convertirá a 2019 en el año de la implementación en los distintos países miembro de la Unión Europea. Pero, ¿qué es PSD2? A primera vista, unas siglas de apariencia críptica; pero, la realidad es que tienen mucho que ver con las transacciones que realizamos en el día a día.

PSD2 nace con el fin de regular el rápido crecimiento del mercado de pagos electrónicos en el continente, así como armonizar el marco legislativo, hasta ahora fragmentado, y que conllevaba riesgos potenciales para la seguridad en los pagos. En definitiva, su aplicación protegerá aún más a los consumidores, fomentará la competencia e impulsará la innovación en los pagos electrónicos. En este nuevo escenario Camerfirma se convierte en garante de la Confianza Digital con sus certificados PSD2 eIDAS.

Open Banking: el nuevo escenario

La competencia en el mercado de servicios de medios de pago es uno de los focos de esta nueva normativa. En este sentido, supone que el mercado financiero evolucione, obligando a los bancos a abrir sus sistemas a terceros, inaugurando así un nuevo entorno de Open Banking, en el que la colaboración y la posibilidad de compartir información que permita la creación de nuevos servicios son elementos clave. Los bancos compartirán la información de las cuentas de sus clientes con estos nuevos operadores, que prestarán nuevos servicios como, por ejemplo, la posibilidad de realizar pagos sin tarjeta en comercios electrónicos (“servicios de iniciación de pago”) o apps que permitan ver de forma consolidada la información financiera. ¿Qué marcará la diferencia entre unos y otros operadores? Elementos tan simples (y tan complejos) como el nivel de experiencia de usuario, de seguridad y privacidad que los operadores (tanto los que ya contaban con larga trayectoria en sector como los nuevos) sean capaces de ofrecer a sus clientes.

Los TPPs y los nuevos servicios y procedimientos de pago y gestión 

Estos nuevos operadores, llamados proveedores de servicios de pago (TPPs), ofrecen, según la Directiva siete tipos de servicios, como depósito y retirada de efectivo, ejecución de operaciones de pago y los servicios de iniciación de pagos y de información sobre cuentas, en los que nos centraremos a continuación.:

Los llamados Proveedores de Servicios de Iniciación de Pagos (o PISP, por sus siglas en inglés) son entidades no pertenecientes al sector bancario que ofrecen al cliente la posibilidad de llevar a cabo un pago mediante sus plataformas y conectar éstas a un banco para realizar la operación. Son, en definitiva, proveedores que facilitan el uso de banca online para realizar pagos en Internet, ayudando a iniciarlo desde la cuenta del consumidor a la del comercio, rellenando la información necesaria para la transferencia e informando al comercio del inicio de ésta. Pasarelas de pago que facilitan enormemente las transacciones en e-commerce.

Por otro lado, destacan los Proveedores de Servicios de Información de Cuenta (AISP), que pueden obtener, de los bancos, la información financiera de un cliente para presentarla al cliente de una forma conjunta. El mejor ejemplo lo encontramos en apps que ofrecen a los clientes un servicio de gestión y comparación de productos financieros; para ello, le muestran un resumen conjunto de su situación financiera, todos los servicios que tiene contratados, otros nuevos a los que puede optar y la comparativa desde diferentes entidades. ¿El requisito fundamental para aportar este servicio? Estos proveedores necesitan garantizar un acceso completamente seguro y encriptado a los datos del cliente.

Al permitir la entrada de nuevos proveedores de servicios de pago, las reglas del juego del entorno financiero han cambiado, donde el acceso a la información financiera ha dejado de ser patrimonio de los bancos para ser también compartida con diferentes tipos de empresas y fintech. Este cambio ha supuesto la aparición del concepto de ASPSP o, lo que es lo mismo, Proveedor de Servicios de Pago de Servicios de Cuentas, que no es otra cosa que un proveedor (banco) que aloja las cuentas de pagos de los usuarios, donde está el dinero real asociado a cuentas bancarias y tarjetas. Este Proveedor crea APIS que permiten los pagos que inician los proveedores de servicios de pago (siempre con consentimiento previo del usuario, por supuesto) y que facilitan los datos de las transacciones de las cuentas de los clientes. Por tanto, hay una comunicación directa entre el banco (que ahora es ASPSP) y los nuevos proveedores de servicios de pago.

El banco tradicional, por tanto, ha sufrido una escisión, estando, por un lado, el Proveedor de Servicios de Pago de Servicios de Cuentas, y los Proveedores de Servicios de Información de Cuenta y Proveedores de Servicios de Iniciación de Pagos, que distribuyen los productos creados por el anterior.

Y estos nuevos proveedores conviven con los ya existentes Proveedores de Servicios de Emisión de Tarjetas (CISPs), que siguen teniendo su papel como proveedores de servicios de pago, facilitando el proceso de comprar a los usuarios. Usuarios que realizan, ante el comercio, la compra con su tarjeta en el comercio, siendo luego el Proveedor de Servicios de Pago de Servicios de Cuentas (ASPSP) del comercio el que realiza la comprobación de fondos, mediante el Proveedor de Servicios de Emisión de Tarjetas, con el Proveedor de Servicios de Pago –banco- del cliente.

Cómo conseguir una posición de ventaja basada en PSD2

En este nuevo escenario que ha creado PSD2, la realidad es que estos nuevos operadores gozarán de una posición de ventaja frente a los bancos tradicionales en dos aspectos. En primer lugar, tanto PISP como AISP cuentan con una información privilegiada sobre el detalle de los pagos que realizan los clientes y, por tanto, pueden ofrecerles, por ejemplo, una financiación en condiciones más ventajosas de lo que es capaz el propio banco. Además, en el caso de los AISP, también cuentan con datos de gran valor: la posición de un cliente en todos los bancos (ya que el propio cliente les ha dado permiso para acceder a esta información). Con ello, estos proveedores pueden analizar los perfiles de estos y ofrecerles servicios que se adecuen a sus necesidades y patrones de demanda.

Pero, además de ventajas, los nuevos operadores también tienen que afrontar retos como la innovación en el front-end, la creación de servicios que puedan ofrecerse en tiempo real en plataformas web y dispositivos móviles y soluciones basadas en big data y analíticas. Pero si hay uno que destaca por encima de todos es que, tanto bancos, como aseguradoras u operadores tradicionales del mundo financiero tendrán que pasar por un proceso de repensar y rediseñar sus infraestructuras IT y sus modelos de negocio.

Seguridad y confianza, claves del éxito

Otro de los objetivos de la Directiva es mejorar la protección de los consumidores. Aquí entra en juego el aumento de la seguridad y la confianza en las transacciones online, mediante la fiabilidad de la identidad digital de los actores implicados en una transacción de pago electrónico.

En este sentido, la Directiva también establece como norma a seguir la identificación clara y única de los TPPs cuando acceden a las cuentas de pago del usuario. La solución propuesta es usar certificados cualificados, de forma que cualquier intento de acceder a las cuentas de pago del usuario pueda ser completamente rastreado. Y esta situación lleva a otro cambio importante en el entorno de los pagos online: prácticas como el “screen scraping” -acceso por parte de un tercero a un sitio web utilizando un software por el que pretende hacerse pasar por el usuario autorizado- ya no serán posibles. En este caso, la solución clave para los proveedores de servicios de pago, como los PISPs, AISPs y CIPSs, parte de los servicios de confianza regulados por eIDAS, que proporciona Camerfirma: sellos electrónicos cualificados y certificados cualificados de autenticación web que además proporcionan información sobre el identificador del TPP proporcionado a la compañía por el Banco de España.

El Certificado cualificado de autenticación en sitio web, o QWAC, hace posible la autenticación de una página web y vincula ésta a una persona jurídica a quien se le emite el certificado. Permite establecer un canal de Capa de Transporte Seguro (TLS) con el sujeto del certificado, lo que garantiza la confidencialidad, integridad y autenticidad de todos los datos transferidos a través del canal.

Para ser considerado como cumplidor de PSD2, los certificados cualificados deben cumplir los requisitos descritos en el estándar técnico ETSI TS 119 495 (“Perfiles de Certificado Cualificado y Política TSP bajo la Directiva 2015/2366/EU de servicios de pago”). En concreto, especifica los perfiles de certificados cualificados de sello y de autenticación web que deben usar los proveedores de servicios de pago para cumplir los requisitos de los Estándares Técnicos Regulatorios de PSD2 (RTS). Además, define los requisitos de políticas adicionales para la gestión (incluyendo verificación y revocación) de atributos de certificado adicionales tal y como se requiere por los perfiles superiores (Número de autorización, Rol del Proveedor de Servicios de Pago, nombre de la Autoridad Certificadora).

El futuro que marca PSD2

PSD2 ha creado un entorno de pago online realmente desafiante, que requiere un gran esfuerzo de adaptación para los proveedores de servicios de pagos pero que, también, ofrece numerosas oportunidades. Estos proveedores que, sin ser bancos, son capaces de ofrecer servicios bancarios a empresas y ciudadanos, nuevas plataformas que ofrecen a los clientes experiencias unificadas para hacer de las transacciones bancarias algo simple e intuitivo. Y lo cierto es que la demanda de estos servicios nuevos está aumentando, sin duda impulsada por el atractivo que supone a los clientes el poder comprar, firmar contratos o llevar a cabo transacciones de todo tipo desde la pantalla de su smartphone.

Saber cómo elegir las soluciones más apropiadas y confiar en el partner adecuado es crucial para aprovechar las oportunidades del mercado.