Por Gonzalo Gómez Lardiés, Head of Digital Business Strategy – Financial Services – de Informática El Corte Inglés.
Durante el 2016 uno de los temas más comentados en el sector de la banca comercial española fue el de la identificación de clientes por videoconferencia. En este año 2017 no se deja de hablar de la nueva directiva de pagos europea que va a transformar el ecosistema financiero, al obligar a los bancos a compartir con terceros los datos y transacciones que sus clientes autoricen, y por dar entrada a agentes que pueden ejecutar pagos, en su nombre, usando la infraestructura de las entidades financieras.
Un poco de historia: de la directiva PSD1 a la PSD2
La primera directiva sobre servicios de pago (PSD1), aprobada en 2007 aunque con efectos prácticos algo posteriores, estableció las bases para implementar un mercado único de pagos más seguros e innovadores en toda la Unión Europea. Si bien contenía algunas deficiencias estructurales, gracias a ella se consiguió ampliar el mercado competitivo en toda la región europea.
Esto fue posible gracias a la apertura de los ecosistemas de pago a nuevos agentes: éstos ya no estaban obligados a utilizar a los bancos tradicionales para poder participar en este mercado, sino que obtenían el derecho propio para hacerlo. De hecho, tras la transposición de la primera directiva más de 2.000 instituciones de pago y de dinero electrónico recibieron autorización en toda la Unión Europea. La primera consecuencia de este nuevo escenario competitivo fue la de una importante reducción de los costes de las transacciones de pago en toda Europa.
A finales del 2015, se publicó la nueva directiva de servicios de pago (PSD2) que entró en vigor meses después, en enero del 2016, pero que no tendrá efectos legales hasta enero del 2018. En cualquier caso, es importante destacar a este respecto dos cuestiones, por una parte, al ser una Directiva comunitaria, no tiene efectos directos sobre los países hasta que estos no la traspongan a una ley nacional; por otra parte, existen algunas excepciones a la fecha ya que algunas de las directrices que aparecen recogidas en la PSD2 necesitan otros documentos en los que se regule las características técnicas de cómo se debe proceder para cumplir la normativa.
Algunos de estos documentos se acaban de publicar, otros están aún en proceso de consulta, y dado que pueden exigir desarrollos tecnológicos considerables, se establece un periodo de 18 meses desde la publicación de dicha documentación técnica hasta su entrada en vigor. Por tanto, algunos de los puntos más importantes de la PSD2 no serían efectivos hasta finales del 2018, nunca antes de octubre de ese año y siempre asumiendo que la transposición nacional se produce en fechas.
PSD2: la gran oportunidad del sector financiero
Más de un año después de que la PSD2 fuese aprobada por la Unión Europea, sin transposición en España, ya se han publicado algunos de los principales estándares técnicos que la articulan. Se atisba el mayor cambio dentro del sector de los pagos europeos que hayamos visto hasta el momento.
Con la PSD2 se sientan las bases para la puesta en marcha de un nuevo escenario en el que las oportunidades de negocio son infinitas, al establecer objetivos mucho más ambiciosos para el entorno competitivo del sector financiero, tanto para las entidades financieras tradicionales, como para los nuevos entrantes, las FinTech, y también para empresas de otros sectores que quieran participar de las nuevas posibilidades que esta nueva directiva europea habilita.
Los objetivos principales que se marcaron las autoridades cuando estaban desarrollando la nueva directiva de pagos fueron, entre otros, i) los de impulsar la innovación y la competencia a través de los nuevos servicios de iniciación de pagos y de información de cuentas, ii) mejorar la experiencia de cliente y iii) garantizar la neutralidad tecnológica contribuyendo a la integración de los mercados de pagos europeos.
Pero no se quedaron aquí, ya que introdujeron, por primera vez en la legislación europea de pagos, los requisitos de seguridad que se debían cumplir para proteger a todos los actores participantes de este nuevo ecosistema. El regulador europeo busca abrir aún más el mercado de pagos permitiendo que terceros, sin licencia bancaria, pero si autorizados por los clientes y convenientemente registrados ante las autoridades, accedan a las cuentas de pago de los clientes con el fin de recuperar la información de la cuenta y/o iniciar una transacción de pago.
Esto es, en pocas palabras, que los bancos deben abrir sus sistemas a terceros y, por tanto, el mayor activo que poseen, el de la información de sus clientes, debe poder accederse por otras compañías.
De esta manera se introducen dos nuevos tipos de servicios, lo de iniciación de pagos (PIS) y los servicios de información de cuentas (AIS) y, por ende, de proveedores de dichos servicios. Los primeros podrán hacer pagos en nombres de sus clientes y los segundos acceder a la información transaccional del cliente para ofrecer, en base a ella, servicios de valor añadido a sus clientes.
Autenticación de clientes y acceso a la información
La Unión Europea dejó en manos de la autoridad bancaria europea (EBA) el desarrollo de los requisitos técnicos que, en base a la PSD2, sirviesen para conseguir esos objetivos descritos anteriormente. De los 11 documentos que están en desarrollo, en 6 se establecen los estándares técnicos regulatorios, de aplicación directa en todos los países de la Unión Europea sin ningún tipo de transposición nacional necesaria, y de 5 documentos donde se establecen directrices en distintos ámbitos y que sólo tendrán efecto jurídico en el momento en que cada autoridad nacional competente las traslade a su marco regulatorio nacional.
De todos ellos, la mayoría en pleno proceso de consultas y publicación de versión preliminares, el que más dudas ha generado es el documento sobre la autenticación robusta de clientes (SCA) y la comunicación común y segura (CSC), ya que estas normas especificarán los requisitos de autenticación y comunicación entre los bancos titulares y los nuevos participantes en el nuevo ecosistema establecido por la PSD2.
El pasado 23 de febrero del 2017 fue publicado su borrador final3 , después de haber recibido más de 220 respuestas al documento de consulta que publicaron en agosto del 2016 y que no sólo representa el mayor número de respuestas que la autoridad bancaria europea haya recibido, sino que también ha proporcionado una visión sin precedentes de todas las partes interesadas. Esto demuestra el gran interés, y viendo las consultas realizadas, la gran preocupación que hay en el sector por el impacto de la nueva directiva de pagos.
Con esta publicación, aunque sigue siendo un borrador ya que podría sufrir alguna modificación, se establecen y resuelven algunas de las mayores controversias que han surgido alrededor de la PSD2 y que se pueden agrupar en tres grandes temas: i) neutralidad en los estándares tecnológicos, ii) exenciones en la aplicación de la autenticación robusta de clientes y iii) sobre el acceso a las cuentas de pago de terceros, números de veces e información proporcionada.
Sobre la neutralidad tecnológica han sido eliminadas las referencias a la ISO27001 y a las características específicas de los tres elementos que constituyen la autenticación robusta de clientes. Por tanto, el ISO20022, sobre el que se articulan las transferencias SEPA, sigue siendo el estándar para mensajería de pago bajo la PSD2.
Se han publicado algunas exenciones en la obligatoriedad de autenticar robustamente a los clientes. Ya no es obligatoria para las transacciones menores de 30 euros, con limite en los 100 euros o 5 pagos consecutivos, ni tampoco para las transacciones de hasta 500 euros y cuyos proveedores de servicios de pagos tenga unas tasas de fraude dentro de lo marcado por la normativa (por ejemplo, 0,01% para transacciones remotas con tarjetas), ni en los terminales de pago desatendidos (peajes, expendedoras de billetes de transporte o parquímetros, entre otros).
Por último, los proveedores de servicios de información de cuentas (AISP) podrán solicitar información de sus clientes un máximo de 4 veces al día, a no ser que el cliente final haga una solicitud proactivamente en cuyo caso no habrá límite de solicitudes. Se está analizando las posibles maneras en las que un cliente haga esas solicitudes para obtener información en tiempo real. Los AISP y los bancos podrán llegar a acuerdos bilaterales para ampliar este número de accesos, lo que abre un nuevo escenario de colaboración entre bancos tradicionales y los nuevos actores que entren en el mercado de pagos, así como estudiar nuevas líneas de negocio para los primeros.
Aunque son éstas las cuestiones que más debate han suscitado, son muchas más las recogidas en el documento publicado, ya que se recogen las normas que establecerán los métodos de acceso, identificación y comunicación entre los distintos proveedores de servicios que aparecen con la PSD2. Por ejemplo, la de la desaparición de el “web scraping”, técnica utilizada actualmente por los agregadores de información para extraer datos de sitios web, y que dejará de estar permitida para la recolección de información del cliente una vez que la nueva directiva de pagos entre en vigor.
Conclusiones
Si bien estamos en una etapa temprana de la implantación de la directiva, y con muchas dudas aún por resolver, todas las entidades financieras se encuentran analizando el impacto de la misma en sus modelos de negocio actuales (ingresos por operaciones con tarjetas o transferencias, entre otros) y estableciendo las estrategias para cuando la PSD2 entre en vigor.
El gran reto de los bancos es dejar de operar en un entorno con históricas barreras de entrada y gestionar de manera eficaz y con cierta proactividad para explotar la posición de ventaja que han tenido hasta ahora con sus clientes, los requerimientos de la nueva directiva europea. Si bien es cierto que la PSD2 es una directiva de obligado cumplimiento si definimos correctamente nuevos modelos de negocio podemos convertirla en una gran oportunidad para aumentar la rentabilidad actual.
Así que como cantaba Michael Stipe, junto a su banda REM, en “It’s the end of the world as we know it,” la PSD2 puede ser la palanca que haga que el sector financiero no vuelva a ser tal y como lo conocemos hoy en día.
Estás en Inicio » Actualidad » Fintech » PSD2: el fin de la banca tal y como la conocemos