El próximo día 14 de septiembre será obligatorio que la banca aplique unos nuevos requisitos de seguridad a los clientes con una doble autentificación para acceder a la banca online. Será imprescindible el móvil para acceder a la banca digital, según fija la nueva normativa de servicios de pago, conocida como PSD2 (Payment Service Directive).
El objetivo de este doble sistema de autentificación por parte del cliente tiene como objetivo garantizar la seguridad de los pagos electrónicos y reducir al máximo posible el riesgo de fraude. Además, liberaliza el ecosistema de los medios de pago y la información bancaria, ya que un cliente puede autorizar a un tercero ajeno a la banca, a que su entidad financiera le facilite los datos de sus cuentas, algo impensable para el sector hace unos años.
Ante esta apertura de los medios de pago, los supervisores han querido incrementar la seguridad en las compras por internet. Pero según coinciden todos los expertos consultados esta revolucionaria norma se ha vuelto de una complejidad difícilmente asumible por ciertos sectores de la economía. Ante ello, el Banco de España (responsable final de la vigilancia de esta norma en el mercado doméstico) ha decidido flexibilizar el plazo final de su aplicación, aunque queda por determinar si el calendario se ampliará a 14 o a 18 meses, según explican varias fuentes consultadas.
Fuentes del Banco de España han afirmado que el debate sobre cuándo se aplicará la norma está aún debatiéndose con los diferentes sectores industriales.
Se prevé que el plazo se amplíe entre 14 y 18 meses
Bancos, asociación de comercios y de consumidores, hoteleros, MasterCard, Visa, American Express, y diferentes plataformas de pago, y prácticamente todos los sectores involucrados de una forma u otra en los pagos online solicitaron al supervisor nacional que retrasase la entrada en vigor de esta norma. La petición se hizo formalmente el pasado 23 de julio, casi un mes después de que la Autoridad Bancaria Europea (EBA en sus siglas en inglés) hiciese pública su decisión de otorgar un periodo adicional a toda la industria para la implementación de los nuevos requisitos que lleva consigo la PSD2.
Las diferentes asociaciones españolas solicitaron al Banco de España entre 12 y 18 meses de periodo transitorio, ya que consideran que no están preparados para su aplicación, pero al final decidieron reclamar 14 meses.
La EBA explicó el 21 de junio que serían los bancos centrales de cada país de la Unión Europa los que fijasen esta moratoria, razón por la que la industria española realizó su petición a la institución que dirige Pablo Hernández de Cos antes de irse de vacaciones.
La decisión de la EBA, ya bajo la presidencia del español José Manuel Campa, se sustentaba en el reconocimiento de la complejidad que supone el cambio en el modo en que se realizan los pagos, y ante la necesidad de que tanto los comercios, los usuarios, como el sector bancario puedan gestionar adecuadamente las modificaciones necesarias en sus plataformas.
Algunos países, como Reino Unido o Irlanda, y ayer mismo Dinamarca, ya han comunicado oficialmente la flexibilidad en el calendario para aplicar la doble autenticación para el e-commerce. Estos países han extendido el periodo de adaptación en 18 meses.
Reino Unido, Irlanda y Dinamarca ya han flexibilizado el calendario
También ayer el sector hotelero reclamó al Banco de España que retrasase la aplicación de la directiva europea. La patronal española Cehat y su homóloga europea Hotrec pidieron, además, que las autoridades nacionales competentes acordasen con la EBA un plazo común y una hoja de ruta europea para la aplicación de PSD2 por parte de todos los comerciantes y proveedores de servicios de pago.
Los bancos y los comerciantes (estos últimos a través de sus patronales) entregaron a la EBA el pasado lunes sus respectivos análisis sobre las condiciones tecnológicas que tienen en la actualidad para aplicar esta norma de pagos.
Una vez que la EBA estudie sus respuestas y las peticiones de cada país, es previsible que determine un periodo común de adaptación a la PSD2 para Europa. De hecho, este organismo se reunirá en estos días con los diferentes bancos centrales europeos. Fuentes financieras mantienen que lo ideal sería que la implementación de esta norma se produjera en los mismos plazos en toda Europa.
“Hay que tener en cuenta que el 60% de las compras de los españoles en comercios electrónicos se realizan fuera de España”, explican fuentes bancarias.
En España el volumen de negocio en comercio electrónico con tarjeta suma 40.000 millones al año. El 49% corresponde a compras de tarjetas españolas fuera de España, el 33% a compras de tarjetas españolas en España y el 18% de tarjetas extranjeras en España.
Fuentes financieras elevan a un 20% de los clientes bancarios españoles los que podrían tener dificultades para realizar una autentificación reforzada en comercios electrónicos si fuese obligatoria la aplicación de la norma el próximo 14 de septiembre.
Imprescindible el móvil para acceder a la banca online desde el día 14
A partir del 14 de septiembre, los clientes que accedan a sus respectivos bancos online deberán realizar un nuevo sistema de autenticación reforzada (strong customer authentication, abreviado como SCA), una de las medidas estrella de la norma PSD2. Aunque se retrasará el calendario para aplicar esta norma en las compras online, sí será obligatorio la doble autentificación en al acceder a la banca online desde el día 14.
Hasta ahora, para acceder a una cuenta corriente por Internet bastaba un usuario y una contraseña o, en su lugar, algún tipo de información biométrica como la lectura de la huella dactilar o el reconocimiento del iris. Pero con la nueva directiva, el proceso cambia.com. En la práctica, cuando tras entrar en vigor la PSD2 si un cliente quiere acceder a su cuenta online, necesitará disponer de un smartphone y, en algunos casos, tener instalada la app de su banco, explican los expertos del comparador HelpMyCash.
La autenticación reforzada de la directiva PSD2, cuyo objetivo es reducir el fraude, combina dos elementos independientes para verificar la identidad del cliente que accede a una cuenta o realiza un pago electrónico. La norma obligará a usar al menos dos de los siguientes factores: algo que solo conozca el usuario, como, por ejemplo, una contraseña; algo que tenga el usuario, como un teléfono móvil o un tarjeta; y algo que forme parte de él, como su huella dactilar.
A escasos días de que entre en vigor la medida, algunos bancos ya han informado sobre cómo la pondrán en práctica. La mayoría han optado por combinar una clave personal con un código temporal recibido por SMS, de manera que será necesario tener a mano el smartphone no solo para operar, sino también para entrar en la banca online.
Para agilizar el proceso, la doble autenticación no será necesaria siempre que se acceda a la banca online, sino que los bancos que lo consideren oportuno podrán dar una tregua de 90 días a sus clientes.
Fuente: El País