¿Qué es la PSD2? 5 claves para entenderla

4 min lectura
Ciberseguridad y Regulación / 02 septiembre 2020
¿Qué es la PSD2? 5 claves para entenderla
¿Qué es la PSD2? 5 claves para entenderla

BBVA API Market

¿Qué es la PSD2? 5 claves para entenderla

El pasado 23 de diciembre de 2015 se aprobó la Directiva Europea 2015/2366 del Parlamento Europeo y del Consejo, conocida como la directiva PSD2, aportando un nuevo marco normativo al uso de los pagos móviles, las herramientas de terceras partes ajenas a las entidades bancarias o la seguridad reforzada. ¿Qué suponen estos cambios frente a la primera PSD y cómo afecta a las empresas?

¿Qué es la PSD2 y por qué es relevante?

La PSD2 es el nombre corto dado a la segunda versión de la Directiva de Servicios de Pago (PSD, por sus siglas en inglés Payment Service Providers) cuyo objetivo es «proporcionar la base jurídica para seguir avanzando en el desarrollo de un mercado interior más integrado de pagos electrónicos en la Unión Europea».

Esta directiva crea un marco normativo que cada país deberá usar para legislar sus propias normativas internas. De este modo, se unifican algunas directrices clave para que «los pagos internacionales (dentro de la UE) sean tan fáciles, eficientes y seguros como los pagos realizados dentro de un único país».

No aparecen en el documento, pero es evidente que las herramientas API son el vehículo perfecto para hacer cumplir esta directiva y sus trasposiciones locales en cada país. Con la apertura de los TPPs (Third Party Payment Service Providers, lo veremos más abajo), las API se vuelven herramientas básicas de apoyo en la gestión segura de la información.

1. La normativa contempla los pagos móviles y por internet

La primera directiva PSD data de 2007, año en que comenzaron a venderse los dispositivos smartphone. Para 2015, el universo de servicios bancarios había cambiado y las empresas demandaban más herramientas, como destacaba el libro verde ‘Hacia un mercado europeo integrado de pagos mediante tarjeta, pagos por internet o pagos móviles’ de 2012. De ahí la necesidad de incluir pagos móviles e internet en la PSD2.

Esto ha facilitado a las compañías el poder realizar pagos sin estar anclados a una ubicación física, y ha supuesto un reto para las entidades bancarias al adaptar sus sistemas informáticos a las exigencias de seguridad y la posibilidad de incluir terceras partes garantizando la seguridad.

2. La inclusión de terceros en la prestación de servicios (TPPs)

Uno de los cambios directivos de mayor calado fue la inclusión con la PSD2 de terceras partes o TPP (Third Party Payment Service Providers) en la prestación de servicios bancarios y servicios relacionados. Aunque la directiva es clara en materia de seguridad y establece garantías para los clientes, también permite el trabajo con APIs de terceros y no solo propias.

La PSD2 permite el trabajo con APIs de terceros

Esta decisión abre la puerta a la integración de servicios bancarios más abiertos, potentes e incluso fiables, dado que cuando una herramienta se usa de forma predominante es más probable encontrar puntos críticos y solucionarlos. La prestación externalizada de servicio puede entenderse como la posibilidad de incluir en una relación de dos el programa o rutina de un tercero.

Esto se traduce en más herramientas para las empresas que deseen utilizarlas. El cambio es similar a abrir un market de apps a desarrolladores externos en lugar de hacerlo la marca del móvil. Las posibilidades se multiplican de forma exponencial, ya que gracias a este punto clave del PSD2 ahora hay más partes interesadas en que dicho servicio sea usado, de calidad y seguro.

Al tiempo, las exigencias en materia de seguridad y verificación han hecho que las entidades bancarias trabajen por construir plataformas abiertas y seguras como BBVA API_Market, puntos de encuentro entre entidades, terceras partes y clientes en busca de alianzas estratégicas y partnerships duraderas y beneficiosas para todos los implicados.

3. ¿Qué ocurre con los servicios de integración de pagos y de información en cuenta?

El servicio de iniciación de pagos (PIS) facilita a terceras partes (proveedores de servicio) el uso de la banca online para realizar pagos a través de internet. Asimismo, el servicio de información de cuenta (AIS) recoge y almacena información de las diferentes cuentas bancarias de un usuario —siempre con su consentimiento expreso— en una única ubicación, facilitando al mismo una mejor comprensión de su situación contable.

No es difícil de entender por qué las APIs han sido tan útiles en estas dos verticales de negocio, ahora integradas bajo un mismo paraguas TPP. Pero, además de agrupar PIS y AIS, la PSD2 también permite al cliente los pagos a terceras partes directamente desde la aplicación de su banco.

Es decir, el usuario puede ceder su información a terceros si lo desea y le es útil, una posibilidad antes no regulada ahora dispone de todas las garantías europeas que bancos como BBVA implementan desde su lado del sistema en la consolidación de sistemas más robustos y seguros.

4. La llegada de nuevos actores al panorama bancario

Hasta hace no mucho los proveedores de servicios de pago (PSP) eran las propias entidades bancarias, de crédito y de pago. Con la apertura de las PSD y PSD2, y la llegada de terceras partes, llegan también los agregadores (AISP o Account Information Service Providers) y los iniciadores de pagos (PISP, Payment Initiation Service Providers), entre otras figuras.

Este enriquecimiento de la diversidad bancaria en tanto a la prestación de servicio, ha atraído talento al sector, así como nuevas empresas interesadas en convertirse en un eslabón eficiente del B2B. Aunque también exige más a las entidades clásicas, dado que han de colocar los medios básicos —un andamiaje o puerto de amarre— para que los TPP puedan diseñar y desplegar sus servicios.

5. PSD2: requisitos de seguridad más exigentes

Requisitos de seguridad exigentes con la PSD2

Todos estos cambios llegan acompañados de una mayor exigencia en la seguridad de los clientes. Es coherente: si terceras partes tendrán acceso a los datos que el usuario del sistema desea proporcionar, protegerlos no puede ser optativo. Así, la PSD2 establece la Autenticación Reforzada de Clientes (ACA, por sus siglas en inglés, Strong Customer Authentication).

Esto se materializa en elementos como la autenticación de dos factores cuando vamos a realizar una transferencia, así como en cualquier otra aplicación bancaria cuando estas incluyen aplicaciones, TPP o APIs. Aunque por supuesto hay sistemas directos que también usan esta autenticación reforzada.

A nivel interno, entidades como el BBVA han tenido que desplegar una serie de herramientas para esta autorización reforzada del cliente, que suelen clasificarse en de conocimiento, algo que sabe el cliente, como un PIN; de posesión, algo que tiene el cliente, como un smartphone; y de inherencia, algo que es el cliente como una huella dactilar.

Imágenes | Luis Villasmil, Halacious, George Prentzas

También podría interesarte