Què és la PSD2?
El PSD2 (Payment Service Directive 2) és una directiva europea que té com a objectiu millorar la seguretat i reforçar la protecció contra fraus en les operacions bancàries fetes a través d’internet. A més també regula l’accés, amb consentiment, de les dades dels teus comptes bancaris a tercers (Facebook, Amazon, etc.). Aquesta resolució suposa per al consumidor l’eliminació d’intermediaris en operacions de pagaments electrònics.
Es tracta d’una directiva europea que pretén ampliar la competència en el mercat dels pagaments electrònics per reforçar la posició del consumidor, com explica la Comissió Europea en la seva proposta.
La PSD2 suposarà un gran canvi pel que fa a les relacions entre clients, comerços i bancs ja que permetrà, per exemple, aglutinar tota la teva informació en un únic lloc.
La primera Directiva de serveis de pagament (PSD) va néixer el 2007 i pretenia crear un mercat únic de pagaments a la Unió Europea. El 2013, la Comissió Europea va proposar una revisió (PSD2) per unificar el sistema de serveis de pagament electrònics, els que es fan en línia o mitjançant el telèfon intel·ligent, entre països i proveïdors.
Últimament són molt comuns els canvis en les formes de relacionar-se que s’estan donant en l’actualitat entre clients, comerços i bancs; canvis que es materialitzen, per exemple, en la possibilitat d’agrupar tota la informació bancària en un únic lloc.
Aquesta és una de les principals novetats que porta la nova normativa, atès que per ella les entitats financeres han d’obrir els seus sistemes a tercers, moviment conegut com open banking.
Amb tot, és imprescindible que aquest procés es faci de forma segura, de manera que es requereix una adequada gestió que no suposi problemes de ciberseguretat.
I a mi, com m’afecta PSD2?
Com a consumidor, la directiva et permetrà realitzar les teves gestions financeres a través de tercers. És a dir, podràs comprar directament un producte sense haver de fer l’operació a través del teu banc.
Això vol dir més rapidesa a l’hora de comprar en línia, ja que podràs autoritzar expressament a qualsevol comerç el cobrament d’una compra de forma immediata i sense utilitzar la targeta, com si fos una simple transferència.
Per exemple, vols comprar un mòbil i la botiga on ho fas necessita de diversos intermediaris per processar el pagament (comerç – proveïdor de pagaments electrònics – companyia de la targeta – banc). Amb PSD2 el procés s’escurça: comerç – banc. Un sol pas en comptes de quatre que es produeix a través d’una estructura de dades (coneguda com API).
La PSD2 suposarà un gran canvi pel que fa a les relacions entre clients, comerços i bancs, ja que permetrà per exemple aglutinar tot el teu informació en un únic lloc.
La PSD2 habilita l’accés a tercers -com poden ser Google, Facebook, Amazon o AliPay-, escurça els processos en el comerç electrònic i augmenta l’oferta a nivell financer. Evidentment, aquest accés dependrà de l’aprovació del propi client.
Aquesta nova normativa inclou millores en els drets per als usuaris dels serveis de pagament, entre els quals destaquen:
1. Transparència i informació
L’accés a la informació no tindrà cap cost per als usuaris que hauran de conèixer gratuïtament les despeses associades a cada operació, les condicions de la mateixa i el termini d’execució en què es durà a terme.
2. Facultat de rescissió
En tot moment, llevat que es pacti el contrari, l’usuari dels serveis PSD2 podrà rescindir el seu contracte marc sense avís previ. En cas d’existir pacte en contra, aquest no podrà superar el mes.
La rescissió d’un contracte, a més de comptar amb la llibertat d’acció que acabem d’esmentar, també serà gratuïta. És més, la rescissió només perd el seu caràcter gratuït si el contracte ha tingut una durada inferior a sis mesos.
3. Rectificació d’operacions no autoritzades
En cas de realitzar operacions no autoritzades, la nova directiva europea obliga a la seva correcció immediata. L’usuari haurà de notificar al seu proveïdor tan aviat s’adoni de l’operació.
Si l’autorització de l’operació no especifica un import exacte o si l’import supera el que s’esperava, l’usuari podrà sol·licitar la devolució del mateix.
Una cosa que també afavoreix a l’usuari i al consumidor és que, en cas de disputa, serà el subministrador del servei de pagament el qual haurà de demostrar que l’operació s’ha realitzat comptant amb la pertinent autorització i que la seva execució ha estat la correcta.
4. Responsabilitat per operacions no autoritzades
Es limita la responsabilitat dels usuaris que siguin víctimes d’operacions fraudulentes. La quantitat màxima que s’haurà de suportar serà de 50 euros, enfront dels 150 € actuals.
5. Autenticació reforçada
Una de les mesures de la directiva PSD2 és la d’emprar mesures d’autenticació reforçada o doble autenticació. Un dels objectius és reduir el frau i augmentar la seguretat. Això vol dir que per autoritzar una operació serà necessari emprar almenys dos d’aquests mètodes:
Element inherent: empremta dactilar, iris o reconeixement facial, sistemes habituals en els dispositius mòbils.
Element posseït: una cosa física com una targeta, un certificat digital o un telèfon mòbil.
Element conegut: un nombre PIN o contrasenya.
Ja que aquestes mesures de control són independents entre si, en el cas que una d’elles estigui compromesa a l’efecte de ciberseguretat, el risc d’amenaça disminueix donat que serà necessari passar un doble filtre de control. Això, sens dubte, suma un motiu de tranquil·litat per als usuaris pel que fa a la protecció de les seves dades i activitats financeres.
6. Compres en línia més ràpides
Amb la nova Directiva l’intercanvi monetari es fa de forma instantània, a l’estil d’una transferència.
Una vegada que s’ha autoritzat l’operació, no hi haurà retards motivats per processos de confirmació de pagament que allarguin la disponibilitat dels fons implicats en l’operació. S’aposta per l’agilitat de les operacions i per la rapidesa sí, però recolzada per una major seguretat.
Quan entra en vigor la PSD2?
La data ja està marcada al calendari. Al setembre de 2019 comencen a ser efectives les mesures de la segona directiva europea sobre serveis de pagament, que es va aprovar el 2015.
La directiva PSD2 habilita l’accés a tercers (com poden ser Google, Facebook, Amazon o Alipay) escurçant els processos del banc electrònic i augmentant l’oferta a nivell financer.
Quines mesures d’actuació són recomanables per part dels usuaris?
Actuar de manera responsable i prendre mesures de seguretat per verificar la legitimitat dels proveïdors de serveis amb els quals actuem és una tasca que no has de descuidar. Competeix als usuaris d’aquest tipus de serveis de pagament electrònic.
Compte amb els intents de phishing
No oblidis algunes premisses bàsiques de protecció a l’hora de navegar en línia. Per exemple, que el teu banc mai et contactarà per correu electrònic o SMS per demanar-te informació personal com el teu PIN, contrasenya o per realitzar operacions o comprovacions de seguretat. Si et trobes en aquesta situació, el més probable és que et trobis davant d’un intent de phishing.
Si en algun moment tens la sospita que estàs sent víctima d’una ciberestafa, el més recomanable és que aturis l’operació immediatament i que no facilitis cap tipus d’informació que posi en perill la teva seguretat financera. A més, recorda avisar al teu banc perquè estigui al corrent dels intents de phishing que reben els seus clients i pugui actuar en conseqüència.
Has de ser extremadament curós amb la divulgació de dades personals i financers. Comprova sempre que la plataforma compta amb les totes les mesures de seguretat necessàries que acreditin que és una operació legítima. Al web de NCG Banco pots conèixer tots els mecanismes de seguretat que emprem.
Activa un sistema d’avisos i alertes
Configurar alertes i comprovar amb freqüència els moviments dels teus comptes també t’ajuda a detectar possibles activitats il·lícites i mantenir la teva seguretat financera.
Informa’t abans de contractar en línia
Siguem honestos, hi ha activitats molt més entretingudes de llegir que els termes i condicions d’un servei que vagis a contractar en línia. No obstant això, és importantíssim per saber i entendre el que estàs acceptant i no tenir sorpreses tan inesperades com desagradables.
Quan acceptes els serveis de Proveïdors de Serveis d’Informació de Compte (més endavant t’expliquem què són), la seguretat de les teves dades passarà a formar part de la seva responsabilitat. Com a consumidors no podem controlar com es realitzarà la gestió dels mateixos. Per això, hem de prendre les regnes de control i assegurar-nos que tot va com ha d’anar.
Nous operadors de la PSD2: què són els AISP i els PISP?
Fa un moment parlàvem de “tercers” i és que amb la nova normativa sorgeixen dos nous tipus d’entitats:
Els PISP, que són els Proveïdors de Serveis d’Iniciació de Pagaments.
Els AISP, que són els Proveïdors de Serveis d’Informació de Compte.
A continuació, et parlem d’ells més en profunditat per deixar clar qui és qui i què aporten en aquest nou panorama de mitjans de pagament al qual ens estem incorporant.
1. Els Proveïdors de Serveis d’Iniciació de Pagaments o PISP
Els PISP són proveïdors de serveis de pagament que connecten el client amb el banc per a realitzar una operació.
En aquest cas, el proveïdor es manté en part al marge de la informació i accés a les finances de l’usuari, ja que els diners de l’usuari no passen pel PISP.
Realment et trobes amb un PISP quan fas una compra o pagues un servei amb una targeta de crèdit i, abans d’acceptar l’operació i sense sortir de la plataforma o web en què estaves, et redirigeixen a una passarel·la de pagament on certifiques que acceptes la operació.
Però aquest no és l’únic exemple representatiu de servei PISP. Aquest sistema també permet comprar a internet sense necessitat de comptar amb una targeta de crèdit o fins i tot poder realitzar transferències entre particulars des d’una aplicació que no és la del banc d’origen de la transferència.
2. Els Proveïdors de Serveis d’Informació de Compte o AISP
Els AISP (Proveïdors de Serveis d’Informació de Compte) integren i agrupen la informació financera d’un client, que pot correspondre a un o diversos bancs, i es l’ofereixen al client de forma conjunta perquè des d’una sola plataforma accedeixi i gestioni totes les seves comptes, independentment que estiguin en diverses entitats bancàries.
Evidentment, es requereix l’autorització de l’usuari i el seu principal avantatge és oferir una varietat de serveis a partir de l’obtenció de la informació financera de l’usuari.
Com potser ja estiguis pensant, aquest avantatge també pot ser un desavantatge si el proveïdor d’aquest servei no ofereix una sèrie de garanties pel que fa a ciberseguretat i protecció de dades. Per això és tan important tenir en compte les recomanacions de seguretat que et vam donar abans.