Blog de Internet Security Auditors

Blog de Internet Security Auditors: Bancos, Fintech…¿hasta dónde llega PSD2?

Escrito por Internet Security Auditors | Dec 17, 2018 5:00:00 AM
Directiva de Servicios de Pago 2 y antecedentes
Desde hace algunos meses todos venimos escuchando hablar de la Directiva 2015/2366, mejor conocida como PSD2 (Payment Services Directive 2). Mucho se ha hablado de esta directiva; de la obligación de los bancos de disponer formas de consultar sus servicios para minoristas (probablemente en forma de APIs). Sin embargo, esta directiva tiene un ámbito de aplicación y un alcance mucho más extendido.

La Unión Europea ha publicado varias normativas en relación a la seguridad de los pagos. Por ejemplo, en 2007, la Unión Europea creó la primera Directiva de Servicios de Pago, que sentó precedente para posteriormente generar el Reglamento SEPA, el cual definía la Single Euro Payments Area (o en castellano, Zona Única de Pagos en Euros).

Definiciones
Antes de continuar entrando en materia es necesario tener claro algunos conceptos:
¿Qué es el dinero electrónico?
El dinero electrónico se entiende como el valor monetario que cumple las siguientes características:
  • Se almacena en un soporte electrónico.
  • Es emitido al recibir fondos de un importe cuyo valor no será inferior al valor monetario emitido.
  • Es aceptado como medio de pago por empresas diferentes al emisor.
¿Qué son los servicios de pago?
Probablemente uno de los conceptos más importantes de toda la Directiva. Estos servicios de Pago se encuentran definidos en al Anexo I y son:
  • Servicios que permitan el depósito de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  • Servicios que permitan la retirada de efectivo de una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  • Ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago:
    • Ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes.
    • Ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar.
    • Ejecución de transferencias, incluidas las órdenes permanentes.
  • Ejecución de operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago:
    • Ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes.
    • Ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar.
    • Ejecución de transferencias, incluidas las órdenes permanentes.
  • Emisión de instrumentos de pago y/o adquisición de operaciones de pago.
  • Envío de dinero.
  • Servicios de iniciación de pagos.
  • Servicios de información sobre cuentas.
Como vemos, son muchos los casos por los que un proveedor de servicios de pago se ve afectado por la presente directiva, pero de aquí surge otra pregunta: ¿qué es una cuenta de pago?

Una cuenta de pago no deja de ser cualquier cuenta sobre la que un usuario puede hacer un depósito o una retirada de efectivo, como sería una cuenta corriente de un banco. Es cierto que no hay una definición estandarizada de lo que es una cuenta de pago, y, además, la Directiva presenta cierta ambigüedad con el propósito de englobar posibles cambios y avances tecnológicos futuros, haciendo que surjan dudas en relación al alcance de la misma.

Una de las descripciones más ampliamente aceptadas es la que da la autoridad financiera del Reino Unido ( Financial Conduct Authority, FCA). Según la FCA, para establecer si una cuenta puede ser considerada de pago se deben considerar:
  • El propósito para el que ha sido creada la cuenta.
  • Las funcionalidades que ofrezca la propia cuenta (como, por ejemplo, si permite realizar o no transferencias).
  • Restricciones de la propia cuenta (si únicamente pueden realizarse retiradas de dinero en un momento dato, por ejemplo).
  • Que la cuenta tenga limitación en la retirada y depósito de dinero siendo necesaria la intervención o acuerdo de un proveedor de servicios.
  • La finalidad con la que el propio usuario utiliza la cuenta.
Teniendo todo esto en consideración, ejemplos de cuenta de pago se considerarían, además de las ya mencionadas cuentas corrientes, las cuentas de dinero electrónico, las cuentas de las tarjetas de crédito o las cuentas de ahorro flexibles.

Pero ¿a quién afecta PSD2? Los Proveedores de servicios de pago
Este año ha entrado en vigor la directiva PSD2 que, a raíz de los progresos en la integración de los pagos minoristas en la Unión Europea, sirve como actualización y revisión del marco jurídico para englobar los nuevos servicios y productos ofertados. También sirve para detallar y clarificar artículos que en directivas anteriores eran demasiado ambiguos o generalistas.

Teniendo esto en consideración, la norma establece una serie de directrices en materia de seguridad y los requisitos para poder establecerse como proveedor de servicios de pago, además de definir nuevos actores en base a los nuevos servicios ofertados por algunas organizaciones, pero ¿qué es un proveedor de servicios de pago?

Para contestar a esta pregunta vamos a ver las diferentes categorías para los proveedores de servicio de pagos que vienen detalladas en el artículo 1 de la presente directiva, y en las que se incluyen:
  • Las entidades de crédito, tal como se definen en el Reglamento (UE) 575/2013, artículo 4, apartado 1, punto 1: "una empresa cuya actividad consista en recibir del público depósitos y otros fondos reembolsables y en conceder créditos por cuenta propia". Se incluyen también las sucursales de dicha entidad, siempre y cuando se encuentren dentro del territorio de la Unión. Los bancos son un ejemplo de proveedor de servicios de pago que entran en esta categoría.
  • Entidades de dinero electrónico: Estas entidades se definen en la Directiva 2009/110/CE, artículo 2, punto 1, "toda persona jurídica a la cual se haya otorgado autorización de conformidad con el título II, para emitir dinero electrónico". En el título II de esta directiva se describen las condiciones para realizar actividades con dinero electrónico. En caso de disponer de oficinas en territorio de la Unión, éstas también se verán afectadas por PSD2.
    Paypal sería el ejemplo más conocido de una entidad que trabaja con moneda electrónica y que realiza transacciones a través de "dinero virtual".
  • Instituciones de giro postal capaces de prestar servicios de pago. Es decir, servicios de pago realizado por un servicio de correos. En España sería la propio Correos, o bien instituciones como Western Union.
  • El Banco Central Europeo y los bancos centrales nacionales cuando no actúen en su condición de autoridad monetaria. Esto será para los servicios de pago que ofrezcan estas entidades, más allá de su rol como autoridad monetaria.
  • Los estados miembros y sus autoridades regionales y locales cuando no actúen en su condición de autoridades públicas. Similar al caso anterior; cuando las autoridades ofrezcan servicios de pago y no estén relacionados con su rol como autoridad monetaria, deberán cumplir con PSD2.
  • Entidades de pago. En este apartado recaerán la mayoría de los proveedores de servicios de pago. Encontramos la definición de este concepto en el artículo 4, que indica: "una persona jurídica a la cual se haya otorgado autorización, de conformidad con el artículo 11, para prestar y ejecutar servicios de pago en toda la Unión". El artículo 11 incluye requisitos para conceder autorización a un proveedor, por lo que lo que nos interesa en este momento es el concepto de "Servicios de pago".
Uno de los nuevos actores definidos por la Directiva viene derivado del servicio de “ iniciación de pagos”. Se trata de servicios online a través de los cuales un usuario inicia una orden de pago en la cual se accede a una cuenta de pago para iniciar una transferencia de fondos. Para más información, podemos consultar el FAQ del 12 de enero de 2018 de la Comisión Europea, en la que se indica que los proveedores de servicios de iniciación de pagos " ayudan a los consumidores a hacer transferencias de crédito online e informan al comercio de forma inmediata de la iniciación del pago, permitiendo el envío de los bienes o el acceso inmediato al servicio contratado online". Al indicar que se trata de transferencias de crédito online, se incluye la posibilidad de realizar pagos a través de internet sin necesidad de una tarjeta de crédito, siendo únicamente necesaria una cuenta de pago; aunque en España no estamos muy habituados a esta operativa, sí se ve en algunos países europeos.

El último actor que se define en esta nueva PSD2, es el de " Proveedor de servicios de información de cuentas" que se define como un servicio online que da información agregada sobre una o varias cuentas de pago en las que es titular el usuario del servicio en otro proveedor o proveedores de pago. Un ejemplo de este tipo de actores sería la empresa española Fintonic.

Ámbito de aplicación
Estos son los actores sobre quienes aplica la Directiva PSD2. No obstante, debemos considerar que estamos ante una directiva europea, por lo que el ámbito de aplicación también se verá impactado por diversas características, que se definen en el artículo 2. En este artículo, en el punto 1, se define que el alcance de PSD2 aplicará a los servicios de pago prestados dentro de la Unión, cosa que ya definía la Directiva de 2007. Sin embargo, en los subsiguientes puntos se amplía el alcance, incluyendo:
  • Operaciones de pago en monedas diferentes de las utilizadas en la Unión, cuando tanto emisor como receptor se encuentran establecidos dentro de la Unión.
  • Operaciones de pago donde el emisor o el receptor estén en la Unión (basta con que uno de los proveedores de servicio esté en la Unión), independientemente de la moneda utilizada.
A este aspecto cabe hacer dos aclaraciones, la primera es que la Directiva limita el alcance en estos escenarios: “ Respecto de aquellas partes de la operación de pago que se lleven a cabo en la Unión”, dejando claro que es posible que los proveedores de servicios de pago no puedan cumplir sus obligaciones en relación a transacciones que tienen lugar fuera de la Unión.

También indicar que hay varios artículos (como el 45 o el 52) dentro de la Directiva que sirven como excepciones a los casos aquí listados. Estas excepciones darían para otro artículo, por lo que no las trataremos aquí.

Otras consideraciones
Otro de los aspectos que quiero destacar de esta nueva Directiva es el de la transparencia. Siguiendo los caminos marcados por otras regulaciones y directivas, PSD2 también es muy explícita exigiendo requisitos de transparencia. Lo podemos ver en al artículo 1, punto 2 “ La presente Directiva establece asimismo normas en materia de los requisitos de transparencia”, donde ya se introduce esta necesidad y para la que se profundiza mucho más en el Título III “ Transparencia de las Condiciones y Requisitos de Información Aplicables a los Servicios de Pago” (artículos 38-60). Este título se subdivide en cuatro capítulos, de los cuales me centraré en los capítulos 2 y 3. Estos capítulos son muy similares entre sí, y describen los derechos de deberes de todos los actores involucrados en los pagos; pagos singulares en el capítulo 2 y contratos marco en el capítulo 3.

En el artículo 44 (capítulo 2), por ejemplo, vemos cierto alineamiento con el RGPD, cuando se indica que el proveedor de servicios de pago estará “ obligado a poner a disposición del usuario de servicios de pago, de un modo fácilmente accesible para él, la información y las condiciones … en relación con sus propios servicios, antes de que el usuario quede vinculado por cualquier contrato u oferta”, añadiendo además “ La información y las condiciones estarán redactadas en términos fácilmente comprensibles, de manera clara y legible”, de manera que el usuario tenga claros sus derechos y obligaciones antes de utilizar el servicio cuando se trata de una operación de pago.

Continuando con este capítulo, por su parte, el artículo 45 da más detalle sobre la información que se requiere facilitar a los usuarios, mientras que los artículos 46-49 reflejan la información a aportar por el proveedor de servicios de pago a los diferentes actores durante y tras la ejecución de la operación.

En relación al capítulo 3, la estructura es similar al capítulo 2, solo que en este caso hablamos de contratos marco, obligando (artículo 51) a facilitar al usuario en un ‘soporte duradero’ la información y condiciones del servicio, detalladas en el artículo 52, que además recoge cláusulas sobre los gastos, tipos de interés, cambios y ceses de los contratos.

Mencionar también el artículo 40, donde se indica que el proveedor de servicios de pago no podrá cobrar al usuario por el suministro de la información, aunque se podrá cobrar por facilitar información adicional a través de canales de comunicación especificados en un contrato marco, siendo siempre un precio razonable y acorde a los costes efectivos.

España aún no ha publicado una ley que trasponga la Directiva 2015/2366 (a diciembre de 2018), aunque ya se dispone de un anteproyecto que se puede consultar en la web del Ministerio de Economía y Empresa, bastante alineado, aunque con algunos cambios estructurales; tendremos que esperar para ver cómo queda la ley finalmente.

Conclusiones
En resumen, esta directiva amplía los límites existentes en materia de servicios de pago, e incluye los nuevos roles para adaptarse a los cambios tecnológicos y nuevos actores que han surgido en los últimos años, mejorando los derechos de los ciudadanos y aumentando las responsabilidades de las compañías.

Sin duda, la mayor carga de trabajo esté en los propios bancos, ya que facilitar el acceso a su información supone, además del gasto en el desarrollo de la API y el gasto en seguridad consecuente (lo veremos en otro artículo, pero también se recogen necesidades en materia de continuidad de negocio y doble factor de autenticación), pierden su ‘monopolio’ en relación a esta información. Desde mi punto de vista, sin duda son los principales ‘perdedores’ de esta nueva directiva, aunque considero que también puede verse como una gran oportunidad de negocio, ya que al facilitar el acceso a la información de terceros tendrán una gran variedad de canales a través de los que ofrecer sus servicios.

Por su parte, los proveedores de servicios de pago pasarán a estar más regulados. A su favor tienen que para ellos será más fácil y transparente acceder a la información de los bancos (ya sea para acceder a información bancaria en el caso proveedores que se hagan consolidación de información como para los iniciadores de pago, que tendrán que consultar el saldo del usuario), pero, por el contrario, tendrán gran cantidad de obligaciones, siendo necesario establecerse como proveedor regulado, demostrar la disponibilidad de fondos propios (aunque esto no será necesario para todos los proveedores de servicios) y garantizar la seguridad a través de ciertos requerimientos técnicos incluidos en los reglamentos delegados.

¿Los grandes beneficiarios? Los usuarios, sin ninguna duda. Ganan en derechos, al tener la información fácilmente accesible; ganan en seguridad, pues su información debe ser tratada siguiendo ciertas pautas que están obligados a cumplir estos proveedores de servicio y ganan en el servicio prestado, ya que, al poder facilitar el acceso a su información a terceros, podrán elegir entre gran cantidad de proveedores que ofrezcan servicios similares y elegir el que más se adecúe a sus necesidades.

Bibliografía:
Guía PSD2 del European Banking Federation: https://www.betaalvereniging.nl/wp-content/uploads/EBF_PSD2_guidance_september2016.pdf
FAQ Payment Services de la Financial Conduct Authority: https://www.handbook.fca.org.uk/handbook/PERG/15/3.html?date=2016-02-03
FAQ PSD2 de la Comisión Europea: http://europa.eu/rapid/press-release_MEMO-15-5793_en.htm

Autor: Antonio Martínez Jiménez - CISSP Instructor, ISO 20000 L.A., ISO 27001 L.A., ISO 22301 L.A.
Dpto. Consultoría