PSD2: Sistema de Autenticación Reforzada en pagos digitales

El próximo día 14 de septiembre de 2019 entrará en vigor el Reglamento Delegado (UE) 2018/389, de la Comisión por el que se complementa la Directiva (UE) del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros, también conocida por sus siglas en inglés PSD2.Se cumple así con el mandato dado por la Directiva y recogido en nuestro Real Decreto 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera a través de la cual se traspone aquélla, de implementar un sistema de autenticación reforzada en operaciones de pago en las que exista riesgo de fraude, particularmente en los pagos electrónicos remotos, y todo ello con el objetivo último de construir y consolidar un mercado interior único y eficiente dentro de la Unión Europea en el que exista una verdadera libertad de circulación de bienes, servicios, trabajadores y capitales, y en el que el consumidor y usuario goce de un alto estándar de protección.A partir de esta fecha, cuando se hayan de efectuar pagos electrónicos (aquéllos en los que no se utiliza una cuenta bancaria o tarjeta de crédito) el proveedor de servicios de pago deberá generar un código de autenticación basado en alguno de los tres elementos siguientes: conocimiento (algo que el usuario sólo sabe), posesión (algo que el usuario tiene) e inherencia (algo de lo que sólo es el usuario como datos biométricos de éste); a este protocolo que se conoce en el argot como “3D Secure” será utilizado por el usuario de servicios de pago para identificarse como tal y verificar la operación; además, el código de autenticación deberá estar limitado a un determinado número de intentos fallidos y tendrá una duración limitada no pudiendo exceder de un máximo de cinco minutos.Por otro lado, en las operaciones remotas de pago electrónico (aquéllas iniciadas a través de internet o de un dispositivo que pueda utilizarse para la comunicación a distancia), se incrementará la seguridad en la autenticación reforzada vinculando la operación de pago a un determinado importe y usuario que debe ser conocido tanto por éste como por el beneficiario de la operación.No obstante estos requisitos no serán de aplicación a cualquier operación de pago recogiéndose un catálogo de exenciones en las que bien por su objeto, bien a iniciativa del usuario de pago, no les será exigible la autenticación reforzada. Así, a título de ejemplo, quedan exentos los pagos sin contacto en el punto de venta cuyo importe no exceda de cincuenta euros, siempre y cuando el importe total de operaciones en las que no se haya exigido la autenticación reforzada no supere los ciento cincuenta euros ni se exceda el número de cinco operaciones. Precisamente es este importe el que un ordenante ha de soportar como pérdida en caso de fraude en pagos cometidos por robo, hurto o estafa en tarjeta.En definitiva, si bien el conjunto de medidas en que consiste la autenticación reforzada han de ser aplicadas por los proveedores de servicios de pago, lo cierto es que a partir del día 14 de septiembre cualquier empresa que opere a través de internet deberá implementar este sistema en sus pagos, bien directamente por ellos o bien a través de un proveedor de servicios de pago; en caso contrario se expondrá a que el pago sea rechazado por el proveedor de servicios de pago o por el propio ordenante.

Hortensio Santos (Abogado T&L)