En cuanto al contenido de la PSD2, su aportación más relevante respecto a la PSD es la incorporación del concepto de open banking, según el cual, y siempre que se cuente con la debida autorización, las entidades financieras están obligadas a facilitar el acceso a las cuentas de los clientes a terceras empresas que ofrezcan servicios de pagos online o administración de cuentas personales.
La mayoría de las disposiciones de la PSD2 entraron en vigor a finales del año pasado excepto los artículos concernientes a las medidas de seguridad de las transacciones digitales, los cuales entrarán en vigor a partir de este sábado 14 de septiembre de 2019.
No obstante, las entidades bancarias españolas y prácticamente todos los sectores involucrados en los pagos online formalizaron el pasado 23 de julio una petición ante el Banco de España, responsable final de la vigilancia de esta norma en el mercado nacional, para retrasar la entrada en vigor de una de las medidas estrella de la PSD2, el sistema de autenticación reforzada o strong customer authentication (abreviado como SCA).
Algunos países, como Reino Unido, Irlanda o Dinamarca han solicitado a sus respectivos bancos centrales que se extienda el periodo de adaptación hasta 18 meses. Otros, como España, han pedido retrasar la entrada en vigor de dicha medida a 14 meses. Por el momento, tendremos que esperar a que la Autoridad Bancaria Europea (en adelante EBA) estudie las peticiones de cada país y determine un periodo común de adaptación para todos los Estados Miembros.
En cualquier caso, lo que sí podemos tener por seguro es que el sistema de seguridad de doble autenticación en las transacciones digitales no entrará en vigor hasta el año 2021.
La razón por la cual ha sido necesario aprobar dicho aplazamiento es, según los expertos, la falta de preparación por parte de las entidades bancarias y de la propia tecnología actual para cumplir con el requisito de la autenticación del consumidor, no pudiéndose garantizar por ahora una seguridad suficiente.
El 60% de las compras de los españoles en comercios electrónicos se realizan fuera de España. El volumen de negocio en comercio electrónico con tarjeta suma 40.000 millones al año. El 49% corresponde a compras de tarjetas españolas fuera de España, el 33% a compras de tarjetas españolas en España y el 18% de tarjetas extranjeras en España.
En concreto, se ha determinado que alrededor de un 20% de los clientes de entidades bancarias españolas podrían tener dificultades para realizar una autenticación reforzada en comercios electrónicos si dicha medida fuese de aplicación obligatoria el próximo 14 de septiembre.
Para entender esto último, es importante saber que, para autorizar una operación o acceder a la banca online, el sistema de doble autenticación de la PSD2 requiere emplear al menos dos de los siguientes métodos: un elemento inherente, es decir, algo que forme parte del usuario, como la huella dactilar, el reconocimiento de iris o el reconocimiento facial; un elemento poseído, es decir, algo que solo tenga el usuario, a través de una tarjeta bancaria, un certificado digital o un teléfono móvil; y un elemento conocido, es decir, algo que solo conozca el usuario, a través de un número PIN o de una contraseña. Al tratarse de medidas de control independientes entre sí, en el caso de que una de ellas esté comprometida a efectos de ciberseguridad, el riesgo de amenaza se disminuye con la necesidad de un segundo filtro de control.
No obstante, muchas entidades bancarias no han podido aplicar aún a sus servicios la tecnología necesaria para usar sistemas biométricos de identificación ni tampoco todos los usuarios disponen de teléfonos móviles con tecnología de identificación biométrica por huella dactilar o reconocimiento facial. De este modo, la mayoría de los bancos han optado por combinar una clave personal con código temporal recibido por SMS, siendo necesario, tanto para operar como para entrar en la banca online, que el cliente tenga a mano el smartphone y, en algunos casos, tenga instalada la app de su banco.
En definitiva, queda pendiente establecer pautas claras y prácticas relativas a cómo deben adaptarse las entidades bancarias al sistema de autenticación reforzada, especialmente teniendo en cuenta la tecnología actual. Asimismo, existen algunos problemas de interpretación de la Directiva que generan discrepancias entre la EBA y los propios legisladores y representantes de los Estados Miembros. Estos inconvenientes deben resolverse cuanto antes para una correcta aplicación de la nueva normativa y evitar, hasta que ésta no sea necesaria, la aprobación de una PSD3.
Esta publicación contiene información de interés general y no constituye ni debe ser tomada como una opción legal o asesoramiento sobre asuntos específicos. En caso de ser necesario, deberá procurarse asesoramiento legal sobre el tema de su interés.