Pagos online. La seguridad de la PSD2

Artículo

Pagos online. La seguridad de la PSD2

Dentro de los objetivos de la Unión Europea en la construcción de un mercado único eficiente, está la construcción de un mercado común de servicios de pago.

En España desde el 2009, se llevan asentando bases comunes en la regulación de la prestación de servicios de pago, trasponiendo el contenido de las directivas europeas (Directiva 2007/64/CE).

Desde entonces, el avance tecnológico ha provocado que sea necesaria la adaptación de la normativa reguladora sobre medios de pago, dado que hay nuevos agentes que se van implantando en un mercado que va más allá que el nacional, y que hace necesario disponer de formas más fiables para los usuarios a la hora de realizar los pagos online.

Elaborar un entorno más seguro y fiable se encuentran en la base de la aprobación de una nueva Directiva en el 2015 (Directiva (UE) 2015/2366), directiva que se traspone en España en el 2018 a través Real Decreto-ley 19/2018, de 23 de noviembre, que tiene como principales objetivos:

  1. facilitar y mejorar la seguridad en el uso de sistemas de pago a través de internet.
  2. reforzar el nivel de protección al usuario contra fraudes y abusos potenciales, respecto del previsto en la Ley 16/2009, de 13 de noviembre.
  3. y promover la innovación en los servicios de pago a través del móvil y de internet.

El Real Decreto establece una entrada en vigor fraccionada, dependiendo de la materia, cuyo plazo total se estableció para el 14 de septiembre de 2019, sin embargo dicho plazo , debido a la complejidad en su aplicación, ha sido prorrogado por la Autoridad Bancaria Europea (EBA) aprobando una moratoria de 15 meses. De esta manera, las empresas tendrán hasta el 31 de diciembre de 2020 para implementar las tecnologías necesarias para adaptarse a la directiva (entidades bancarias y empresas tecnológicas desarrolladora de herramientas de pagos online).

El mayor hito establecido para la consecución de los objetivos establecidos en el avance de esta regulación es la Autenticación reforzada de cliente.

¿En qué consiste la Autenticación reforzada de cliente?

La norma establece con claridad su definición:

Se basa la utilización de dos o más elementos categorizados como:

  1. conocimiento (algo que solo conoce el usuario).
  2. posesión (algo que solo posee el usuario)
  3. inherencia (algo que es el usuario) identificación biométrica.

Estos elementos son independientes, es decir, que la vulneración de uno no compromete la fiabilidad de los demás, y se conciben de manera que se proteja la confidencialidad de los datos de identificación.

¿Cuándo se aplicará la autenticación reforzada?

Sólo en los pagos online, en estos supuestos:

  1. a) pago en línea;
  2. b) inicie una operación de pago electrónico;
  3. c) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos.

Siendo todo esto así, uno de los sectores que se verán más afectados será el turístico (35% del comercio electrónico en España), ya que para sus transacciones en contrataciones a futuro venía utilizando las tarjetas como garantía de pago.

¿Cuál es el beneficio para los hoteleros?

Esta nueva legislación va a suponer una inversión para las empresas turísticas así como un impacto en la experiencia del cliente, pero lo positivo a valorar es cómo se disminuirá la indeseable consecuencia para los hoteleros de los rechazos bancarios en los cargos online sobre servicios efectivamente prestados, y de imposible prueba cuando se utilizaban por los clientes tarjetas de titularidad diferente al cliente alojado, y que una vez rechazados VISA únicamente admitía como prueba del consentimiento la firma de la obsoleta papeleta del datafono.

Ahora, la autenticación reforzada obligará al cliente a enviar a través de pin, huella, o cualquier similar medio implementado por su banco, a enviar su consentimiento al cargo, lo que disminuirá gradualmente la práctica de rechazos sobre pagos online, así como admitir reservas realizadas de manera fraudulenta por usuarios que en realidad no disponen de autorización para el uso de la tarjeta que presentan para el pago, y que facilitaba el posterior rechazo del cargo por el auténtico titular.

Ahora, en este tipo de situaciones, la prueba de la autenticación debe ser conservada por el proveedor de servicios de pago, debiendo demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. Por lo que, los hoteleros podrán dirigirse a dichas entidades en su oposición al rechazo recibido por el cliente, solicitando la prueba, de dicha autenticación además de aportar la documentación que verifica la prestación del servicio. Reclamación que debe recibir respuesta en un plazo de 15 días.

Por otro lado, el uso fraudulento de los datos de la tarjeta, que pudieran utilizarse por empleados deshonestos, se elimina por completo, dado que todo cargo requiere la doble autenticación del cliente.

El proveedor de servicios de pago tiene obligación de conservar la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones durante, al menos, seis años.

En el caso de operaciones devueltas, ¿Cuál es la novedad?

Para el cliente:

  • sólo podrá quedar obligado a soportar, hasta un máximo de 50 euros, (según su entidad bancaria) las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de su tarjeta extraviada, sustraída o apropiada indebidamente por un tercero, salvo que él mismo hubiera actuado de manera fraudulenta, en cuyo caso soportará todas las pérdidas de la operación fraudulenta.

Para los hoteles:

  • Los hoteles podrán recibir durante los 2 meses siguientes a la operación de pago autorizada, rechazo del cargo por parte del ordenante, si bien el proveedor de servicios de pago tendrá la prueba de la autenticación reforzada para que el hotelero pueda oponerse al rechazo.
  • Si la operación es fraudulenta podrá recibir rechazo hasta 13 meses después de la operación, en cuyo caso será el proveedor de servicios de pago quien responderá con la rectificación de operación de pago no autorizada.

Exclusiones de la aplicación de la doble autenticación:

  • No se aplica en las operaciones de usuarios que no sean un consumidor o una microempresa. Luego, la PSD2 no afecta a la gestión de los pagos a proveedores.
  • Si así se ha negociado, podrá no aplicarse la doble autenticación a operaciones de pago individuales no superiores a 30 euros.

En conclusión las empresas turísticas, contarán gracias a la aplicación de esta normativa con una mayor seguridad en los pagos online ya que su aplicación deberá aumentar la confianza del consumidor, para las compras realizadas y abonadas de manera no presencial.

Paloma Aguilar (Abogada T&L)

Artículo publicado en la edición de febrero del periódico mensual CEHAT