Payment Services Directive 2 (PSD2) y autenticación reforzada de clientes – Preguntas frecuentes

A continuación encontrarás información sobre los cambios inminentes que se producirán en la UE para los pagos en línea.

Payment Services Directive 2 (PSD2)

  • ¿Qué es la PSD2?

    La PSD2 entró en vigor el 13/1/2018. Es el resultado de una mayor regulación de las transacciones monetarias dentro de Europa por parte de la Comisión Europea, y cada Estado miembro la ha implementado en el marco de su legislación.

    De todos modos, las disposiciones vigentes que acompañan a la PSD2 no entrarán en vigor hasta el 14/9/2019.

  • ¿Cuál es el objetivo de la PSD2?

    Uno de sus objetivos prioritarios es hacer más seguros estos pagos para los clientes. Una medida central en este contexto es la introducción obligatoria de la autenticación reforzada de clientes. Debe realizarse antes de un pago en línea a través de un banco (por ejemplo: tarjeta de crédito o transferencia en línea).

    Por este motivo, la mayoría de bancos se han puesto en contacto con sus clientes durante los últimos meses para informarles sobre los cambios inminentes y la modificación correspondiente de sus Condiciones generales de uso.

Autenticación reforzada de clientes

  • ¿Qué implica la autenticación reforzada de clientes?

    A partir de ahora, antes de realizar un pago en línea, los bancos deben garantizar que se solicitan dos de las siguientes tres características del cliente:

    • Propiedad (p. ej. tarjeta de crédito, teléfono inteligente)
    • Conocimiento (p. ej. pin)
    • Características personales o físicas inconfundibles del cliente (p. ej. huella dactilar, rostro).

    De este modo, con la autenticación reforzada de clientes, el cliente primero tendrá que autorizar el pago antes de que se produzca con ayuda, por ejemplo, de su huella dactilar combinada con su teléfono inteligente.

    Estos procedimientos biométricos pretenden facilitar al cliente su autenticación, ya que solo necesita lo que ya lleva consigo. En este caso se trataría de su teléfono inteligente y su huella dactilar.

    Las contraseñas estáticas ya no serán suficiente.

  • ¿Cómo se garantiza la autenticación reforzada de clientes?

    Para los pagos con tarjeta de crédito, las entidades bancarias deben exigir una autenticación reforzada de clientes por parte del vendedor. Así, los vendedores deben asegurarse de que el cliente se autentica a través de una página del banco mostrada en su propia página, es decir, que demuestra su identidad forma incuestionable. Así se garantiza que ninguna persona no autorizada tenga acceso a su cuenta bancaria o realice un pago en su nombre.

    Los pagos por transferencia que se lleven a cabo a través de terceros, como por ejemplo en la plataforma alemana SOFORT o la holandesa iDeal, también se realizarán con una autenticación reforzada de clientes.

  • ¿La autenticación reforzada de clientes debe realizarse en cada pago?

    No. La PSD2 prevé ciertas disposiciones excepcionales en el uso de la autenticación reforzada de clientes.
    La autenticación reforzada de clientes no es necesaria, por ejemplo, cuando

    • la entidad bancaria del cliente considera bajo el riesgo de que el pago no esté siendo realizado por el cliente sino por un tercero no autorizado.
    • la cuantía del pago no supere los 30 €. Advertencia: Las entidades bancarias deben volver a solicitar una autenticación reforzada de clientes cuando se hayan realizado cinco pagos desde la última autenticación, o cuando la suma de los importes desde la última autenticación supere los 100 €.
    • el cliente haya notificado al banco de que el vendedor al que está pagando es de confianza. Normalmente el cliente puede notificar al banco durante el proceso de autenticación.

    Importante:
    A pesar de todas las excepciones, la entidad bancaria del cliente puede solicitar de todos modos la autenticación reforzada de clientes en cualquier momento. Así que no hay garantías de que la autenticación reforzada de clientes no vaya a requerirse.

    La autenticación reforzada de clientes nunca es necesaria cuando

    • el cliente ordene al vendedor que realice un cobro. Esto sucede durante el registro del cliente para un servicio del vendedor. Durante el proceso, el cliente también aporta los datos necesarios para el pago, y se somete a la autenticación reforzada de clientes.
    • el pago se produzca en el contexto de una suscripción. En este caso, el cliente solo tiene que realizar la autenticación reforzada de clientes una única vez al suscribirse, y no más.
  • ¿Conoce el vendedor el procedimiento que lleva a cabo el cliente para la autenticación reforzada de clientes?

    La entidad bancaria decide qué procedimientos se ofrecen al cliente para la autenticación reforzada de clientes. El vendedor no puede influir en la decisión.

    El vendedor tampoco puede ver qué procedimiento escoge el cliente para la autenticación reforzada de clientes.

    Esto se debe a que, para mostrar las páginas de autenticación reforzada de clientes de los bancos o de las plataformas de pago de terceros (p. ej. iDeal), se utilizan iFrames.

    El vendedor no tiene influencia sobre el contenido de las páginas que se muestran en el iFrame ni acceso a él.

    En los métodos de pago en los que el vendedor redirige al cliente a la plataforma de pago (p. ej. SOFORT), el vendedor tampoco conoce los procedimientos que se muestran al cliente ni cuál se escoge.

Autenticación reforzada de clientes en los pagos con tarjeta

  • ¿Qué es 3D Secure 2.0?

    En términos generales, 3D Secure es un proceso para garantizar la seguridad en los pagos con tarjeta en línea. Su objetivo es reducir el riesgo de fraude mediante la confirmación adicional de la identidad del cliente con un código o contraseña.

    3D Secure 2.0 es una versión avanzada de dicho proceso que responde a los requisitos de la PSD2, en concreto a la autenticación reforzada de clientes.

    De esta manera, en los futuros pagos con tarjeta se garantizará la autenticación reforzada de clientes mediante el uso de 3D Secure 2.0.

  • ¿Cómo funciona el 3D Secure 2.0?

    La autenticación reforzada de clientes a través de 3D Secure 2.0 se realiza, por ejemplo, al utilizar una aplicación de la entidad bancaria del cliente. Para ello, la página del banco que se muestra en la pantalla del vendedor solicita al cliente que abra la aplicación en su teléfono inteligente. Dependiendo del procedimiento, la aplicación puede requerir, por ejemplo, una comprobación de la huella digital en el teléfono inteligente.

    Previsiblemente, los bancos ofrecerán distintos procedimientos y el cliente decidirá cuál quiere utilizar.

    Otros procedimientos podrían consistir en: contraseñas de un solo uso que se muestren al cliente en una aplicación especial, o reconocimiento facial a través de la aplicación bancaria.

Otros métodos de pago afectados

  • Además de las tarjetas de crédito, ¿qué otros métodos de pago en línea se verán afectados?

    Las transferencias en línea a través de plataformas de pago, como por ejemplo SOFORT, iDeal, Multibanco o Przelewy24, tendrán que integrar la autenticación reforzada de clientes.

Últimas noticias

  • ¿Todas las entidades bancarias de la UE solicitarán la autenticación reforzada de clientes en los pagos en línea a partir del 14/9/2019?

    Muchos vendedores y bancos todavía no están en disposición de soportar la autenticación reforzada de clientes para el 14/9/2019, tal como se exige.

    Por este motivo, el 21/6/2019 la European Banking Authority (EBA), Autoridad Bancaria Europea, recomendó a los países de la UE, así como a sus autoridades financieras responsables de la implementación de la PSD2, que concedieran una prórroga a las empresas afectadas.

    Como resultado, algunos países respetarán la fecha de entrada en vigor, mientras que otros darán una prórroga a las entidades bancarias.
    Pero incluso en los países que concedan una prórroga habrá bancos que comiencen en la fecha prevista y exijan la autenticación reforzada de clientes a partir del 14/9/2019.

  • ¿Qué implica esto para ti?

    Para saber a partir de cuándo solicitará tu entidad bancaria la autenticación reforzada de clientes y cómo funcionará en tu caso, te rogamos que te pongas en contacto con tu banco.

¿No has encontrado lo que buscas? Contactar con el servicio de asistencia