La Comisión Europea está actualizando su normativa para el sector de los servicios de pago y, con su tercera Directiva de Servicios de Pago (PSD3 por sus siglas en ingés) prevista para finales de 2024, comerciantes, bancos, fintechs, redes de tarjetas y procesadores de pagos se están preparando tanto para el trabajo adicional como para las oportunidades que traerá consigo.
PSD3, de un vistazo:
- La PSD3 es un conjunto de normas para el sector de los servicios de pago publicado por la Comisión Europea que se basa en sus directivas anteriores, la PSD2 (publicada en 2015) y la PSD1 (publicada en 2007).
- Los objetivos de las Directivas sobre servicios de pago de la Comisión Europea son proteger a los consumidores y facilitar un mercado de pagos de la UE más seguro, integrado, competitivo y eficiente.
- La PSD3 amplía el marco de la PSD2, concretamente en los ámbitos de la prevención del fraude, la banca abierta, el acceso a los datos, los derechos de los consumidores, la disponibilidad de efectivo y la competencia leal.
¿Qué es PSD3?
La PSD3 es la tercera Directiva de Servicios de Pago de la Comisión Europea, cuya publicación está prevista para finales de 2024. Se trata de un conjunto de normas para el sector de los pagos diseñadas para mejorar y ampliar los objetivos de las directivas anteriores, la PSD1, publicada en 2007, y la PSD2, publicada en 2015.
El objetivo central de las directivas sobre servicios de pago de la Comisión Europea es desarrollar y mantener un mercado único de servicios de pago para la UE que ofrezca el mismo nivel de protección al consumidor, eficiencia e innovación en todos sus Estados miembros. Estas normas pretenden que los pagos transfronterizos sean tan ágiles y seguros como los nacionales, normalizando la legislación sobre pagos electrónicos y fomentando un entorno que facilite la competencia y la innovación. Mientras que la PSD1 pretendía crear este mercado único, la PSD2 y la futura PSD3 pretenden mejorarlo con protecciones para los consumidores, los comerciantes y los proveedores de servicios de pago que respondan a las exigencias del panorama moderno de los servicios financieros.
¿Que és la Payment Services Regulation (PSR)?
El nuevo reglamento consta de dos secciones. La PSD3 sigue siendo una directriz que aborda principalmente las operaciones de los proveedores de servicios de pago y la concesión de licencias. La mayoría de las obligaciones de los bancos estarán ahora cubiertas por el PSR, una norma que tomará el relevo de la DSP2 y que se promulga automáticamente como ley en todos los estados miembros de la UE.
Componentes clave de la PSD3
Requisitos reforzados para las EMC
Al evaluar el impacto de la PSD2, la Comisión Europea consideró que sus normas de prevención del fraude, en concreto sus requisitos de autenticación fuerte del cliente (SCA), eran uno de los componentes más exitosos de la directiva. Los requisitos de la SCA añaden una capa adicional de seguridad al proceso de pago al exigir a los consumidores que faciliten al menos dos datos identificativos durante el proceso de pago. Esta información debe pertenecer a dos de las siguientes categorías:
- Algo que el cliente SABE (por ejemplo, un PIN o una contraseña)
- Algo que el cliente TIENE (por ejemplo, un lector de tarjetas o un teléfono móvil)
- Algo que el cliente ES (por ejemplo, reconocimiento facial o dactilar)
Algunas de las principales formas en las que la PSD3 ampliará sus requisitos en materia de SCA con respecto a la PSD2 incluyen:
- Aclaración de los casos en que determinadas operaciones pueden quedar exentas de la obligación de declarar.
- Exigir SCA para las inscripciones de monederos móviles
- Exigir a los proveedores de servicios de pago que ofrezcan métodos de SCA que no dependan únicamente de una tecnología, garantizando la accesibilidad de todos los usuarios (por ejemplo, usuarios de edad avanzada, usuarios con bajos ingresos, etc.).
"Prevención del fraude por "spoofing"
La Comisión Europea ha destacado el fraude por suplantación de identidad, también conocido como "spoofing", como un ámbito en el que la PSD2 no está suficientemente equipada. Este tipo de fraude es más difícil de prevenir, ya que el cliente, tras haber sido manipulado por el estafador, da de hecho su consentimiento para autorizar un pago. Dado que la suplantación de identidad y los fraudes de ingeniería social se aprovechan de errores humanos razonables, es difícil que los sistemas automatizados de prevención del fraude los detecten y eviten.
Con la PSD3, la Comisión Europea planea mejorar los requisitos para la detección y prevención de la suplantación de identidad de las siguientes maneras:
- Utilizar la comprobación IBAN/nombre para todas las transferencias, exigiendo al banco que verifique que el nombre de la cuenta coincide con el IBAN vinculado a ese nombre.
- Reforzar las medidas de control de las transacciones para detectar actividades de pago inusuales y potencialmente fraudulentas.
- Proporcionar un marco jurídico para que los proveedores de servicios de pago compartan información sobre el fraude, como los datos relacionados con las estafas en curso.
- Exigir a los proveedores de servicios de pago que formen exhaustivamente a su personal y a sus clientes en materia de prevención del fraude en los pagos.
Competencia leal para los PSP no bancarios
Los proveedores de servicios de pago no bancarios, como las entidades de pago (EP) y las entidades de dinero electrónico (EDE), se han hecho más populares durante la era de la PSD2, pero la falta de legislación en materia de competencia leal ha impedido a muchos de ellos acceder a los servicios bancarios esenciales y a las infraestructuras de pago que necesitan para operar. Por ejemplo, los bancos comerciales a menudo se niegan a permitir que las IP y las EDE abran cuentas bancarias, o cierran sus cuentas sin previo aviso, alegando vagas preocupaciones sobre las normas contra el blanqueo de capitales. El entorno actual pone a los proveedores de servicios de pago no bancarios a merced de los bancos comerciales a pesar de ser sus competidores directos.
Para resolver estos problemas, la PSD3 exigirá a los bancos una justificación mucho más sólida para denegar servicios a los proveedores de servicios de pago. Si un banco deniega a un proveedor de servicios de pago servicios bancarios esenciales o decide cerrar su cuenta, el PSP podrá recurrir la decisión ante su autoridad nacional. Estas actualizaciones contribuirán a igualar las condiciones de los proveedores de servicios de pago no bancarios, permitiéndoles competir en condiciones más equitativas con los bancos tradicionales.
Mejoras en el open banking
La PSD3 se basará en el marco de la PSD2 para la "banca abierta", en la que terceros proveedores pueden acceder a los datos bancarios y de cuentas de pago de un cliente que dé su consentimiento para prestar servicios valiosos, como resúmenes de gastos, herramientas presupuestarias y productos financieros específicos.
El objetivo de la PSD3 en relación con la banca abierta es mejorar la funcionalidad del intercambio de datos entre bancos y terceros sin perturbar la infraestructura existente ni aumentar los costes. Además de establecer normas más estrictas para las interfaces de acceso a datos, se espera que la PSD3 introduzca los siguientes cambios específicos en sus requisitos de banca abierta:
- Eliminación de la necesidad de que los bancos mantengan dos interfaces de acceso a datos (ya no será necesario tener una interfaz "de reserva").
- Exigir a bancos y proveedores de cuentas de pago que dispongan de una herramienta de control del consumidor que permita a los clientes ver qué empresas tienen acceso a sus datos y les facilite revocar el acceso en caso necesario.
Mayores derechos de los consumidores
Proteger a los consumidores y normalizar su protección en toda Europa es desde hace tiempo uno de los objetivos de la Comisión Europea. La PSD3 se basará en directivas anteriores para reforzar aún más los derechos de los consumidores de la UE de varias maneras, entre otras:
Mejor comunicación y claridad sobre los gastos de cambio
La PSD3 exigirá a los proveedores de servicios de pago que informen a los clientes de las comisiones estimadas por conversión de divisas en las transferencias y envíos de dinero a países no pertenecientes a la UE, así como del tiempo estimado que tardará el beneficiario en recibir los fondos.
El objetivo de esta iniciativa es dar a los clientes más herramientas para comparar los tipos de conversión de divisas y las comisiones por transferencias internacionales, de modo que puedan tomar decisiones informadas a la hora de elegir un proveedor de servicios de pago.
Información más clara sobre el beneficiario en los extractos de las cuentas de pago
Con la PSD2, no se especifica si el nombre legal o el nombre comercial de un beneficiario debe aparecer en los extractos de cuenta del cliente. Como consecuencia, los consumidores no suelen reconocer el nombre de un beneficiario legítimo y sospechan erróneamente que se trata de un fraude, lo que provoca molestias y confusiones innecesarias. La PSD3 solucionará este problema exigiendo a los proveedores de servicios de pago que identifiquen claramente a los beneficiarios, incluyendo su nombre comercial si procede.
Más transparencia en las comisiones de los cajeros
En virtud de la PSD3, los proveedores de servicios de pago deben revelar a los usuarios información sobre las comisiones que cobran todos los operadores de cajeros automáticos en sus Estados miembros. Esto permitirá a los consumidores conocer de antemano los costes en los que incurrirán antes de elegir un cajero automático en el que retirar fondos.
Mayor protección para los fondos retenidos temporalmente o "bloqueados"
Ciertos tipos de comerciantes, como gasolineras, hoteles y empresas de alquiler de coches, retienen temporalmente fondos para cubrir costes previstos o posibles daños. Aunque se trata de una práctica habitual en estos sectores, la Comisión Europea ha señalado que la cantidad de dinero retenida suele ser desproporcionadamente alta en comparación con el importe real de la transacción final, y el proceso de devolución de los fondos retenidos al cliente puede ser largo e innecesariamente complicado. La PSD3 establecerá normas para garantizar un desembolso más rápido de los fondos "bloqueados" no utilizados y que los fondos retenidos sean más proporcionales al importe final de la transacción.
Mayor disponibilidad de efectivo
Con la PSD3, la Comisión Europea espera dar a los consumidores más oportunidades de retirar efectivo facilitando a comerciantes y operadores de cajeros automáticos la prestación de servicios de retirada de efectivo. La PSD3 aumentará la disponibilidad de efectivo para los consumidores de dos formas principales:
1. "Cashback" gratuito en tiendas físicas
En el mercado actual, los minoristas, como los supermercados, pueden ofrecer a los clientes "cashback" como parte de una compra de bienes o servicios. La PSD3 actualizará la normativa vigente para que los minoristas puedan ofrecer a los clientes este servicio de retirada de efectivo al margen de una transacción de compra tradicional. En otras palabras, los clientes no tendrán que comprar nada en la tienda, sino que simplemente podrán solicitar efectivo directamente al cajero utilizando su tarjeta de pago o su monedero móvil. Se mantendrán algunas restricciones, como un límite de retirada de 50 euros, para competir en igualdad de condiciones con los cajeros automáticos y no vaciar los cajeros de los comercios físicos.
2. Más cajeros automáticos
En virtud de la PSD2, algunos operadores de cajeros automáticos (los que no prestan servicios a cuentas de pago) pueden operar sin licencia. Sin embargo, el sector tiene poco conocimiento de ello. La PSD3 aclarará estas exenciones para fomentar un mayor número de cajeros automáticos en toda la UE, sobre todo en las zonas donde hay pocos o ningún cajero disponible.
¿Cuál es el plazo previsto?
En esta entrevista publicada en la web de la Comisión Europea, Eric Ducoulombier, Jefe de Unidad de la Comisión Europea, indicó que la publicación de la DSP3 está prevista para el primer semestre de 2025:
"En cuanto al calendario, no tengo una bola de cristal y, como dijo Mark Twain, "es difícil hacer predicciones, especialmente sobre el futuro". Creo que no es descabellado prever una posible adopción final de los textos durante la primera mitad de 2025".
PSD2 vs PSD3
Los bancos, los proveedores de servicios de pago y todas las organizaciones afectadas por las Directivas sobre servicios de pago de la Comisión Europea pueden considerar la PSD3 como una ampliación de la PSD2, y no como una perturbación significativa de la infraestructura de servicios de pago existente en Europa.
En muchos casos, las nuevas normativas que se espera que surjan de la PSD3 son mejoras de los requisitos existentes y no requieren una amplia reconstrucción de las infraestructuras de pago ni costosas integraciones de nuevas tecnologías. En su lugar, la PSD3 pretende basarse en el éxito de la normativa de la PSD2 y ofrecer soluciones sencillas para cubrir áreas pasadas por alto o insuficientemente atendidas por la PSD2.
Las principales diferencias entre PSD2 y PSD3 son:
- Requisitos más estrictos en materia de SCA
- Mayor protección contra el fraude, sobre todo en lo que respecta al "spoofing".
- Mejora del intercambio de datos para facilitar marcos de "banca abierta" más eficientes y valiosos.
- Más derechos para los consumidores en materia de transparencia y comunicación, gastos de pago, extractos y fondos retenidos.
La PSD3 está diseñada para mejorar el sector de los servicios de pago para todas las partes implicadas: comerciantes, bancos, proveedores de servicios de pago, empresas de tecnología financiera, redes de tarjetas y, lo que es más importante, los consumidores. Se espera que marque el comienzo de una nueva era de transparencia, seguridad y protección de los consumidores que consolide a la UE como líder mundial en regulación e innovación de servicios financieros.
FAQs
¿De cuánto tiempo disponen las empresas para aplicar los requisitos de la PSD3?
Se espera que la versión final de la PSD3 se publique a finales de 2024. Si se le concede un periodo de transición de 18 meses, como ocurrió con directivas anteriores, la PSD3 entrará en vigor en algún momento de 2026.
¿Cuál es la diferencia entre PSD3 y PCI DSS?
La PSD3 es un marco jurídico establecido por la Comisión Europea para regular el sector de los servicios de pago y armonizar los servicios de pago en un mercado único de la UE. Las normas y requisitos establecidos por estas directivas forman parte de la legislación europea y su incumplimiento tiene consecuencias jurídicas.
PCI DSS (Payment Card Industry Data Security Standard) es un conjunto de normas mundiales emitidas por el PCI Security Standards Council que se centra principalmente en la seguridad de los pagos con tarjeta. Su cumplimiento corre a cargo de las redes de tarjetas y, aunque está vinculada a determinadas leyes de todo el mundo, la PCI DSS en sí no es una ley.
En resumen, PSD3 tiene un ámbito de aplicación más amplio que PCI DSS, sólo se aplica a los Estados miembros de la Unión Europea y contiene leyes explícitas. PCI DSS solo se ocupa de la seguridad de los pagos con tarjeta, no es una ley, sino una norma del sector, y se aplica en todo el mundo.
¿Por qué se necesita PSD3?
La PSD3 es necesaria porque, a medida que cambian los hábitos de consumo y avanza la tecnología de pago, la legislación debe adaptarse para satisfacer las demandas tanto de los consumidores como de los comerciantes de toda la UE. La PSD3 revisará y mejorará los requisitos de la PSD2 para proteger a los consumidores de los nuevos tipos de fraude y corregir los puntos débiles en materia de seguridad. Mejorará los marcos de intercambio de datos y contribuirá a garantizar que tanto las entidades de servicios financieros tradicionales como las no tradicionales puedan competir en igualdad de condiciones.
¿Cuáles son las sanciones por no cumplir la PSD3?
Al igual que sus predecesoras, la PSD2 y la PSD1, la PSD3 es ley. El incumplimiento de la PSD3 dará lugar a multas y a la posible pérdida de la licencia para la institución infractora. La naturaleza de la sanción variará en función del tipo de incumplimiento y de su gravedad. Las Directivas sobre servicios de pago de la Comisión Europea son supervisadas y aplicadas por la "autoridad competente" del Estado miembro en el que se comete la infracción.
