PSD2: luces y sombras de la nueva directiva de pagos

Ha sido la propia banca la primera en sacar partido a la norma a través de los agregadores bancarios

El pasado 23 de noviembre de 2018 se traspuso la directiva europea de medios de pago, conocida como PSD2, que sustituye a la anterior de 2009 y será de aplicación a partir de septiembre, con el objetivo de proteger al usuario de un posible acceso indebido a su información sensible. Dentro del sector bancario creó mucha polémica ya que, en principio, se planteaba como una directiva que se posicionaba del lado de las fintech, obligando a los bancos a compartir su activo más importante, los datos de sus clientes, que ahora pasa a tener la potestad de decidir con quién los comparte.

El nuevo escenario que introduce este principio obliga a las entidades bancarias a habilitar los medios técnicos que permitan a terceros acceder a los datos sobre cuentas de pago de sus clientes. Además, les obliga a adoptar las medidas de seguridad necesarias que garanticen el control total sobre quién y cuándo acceden a esos datos, implementando lo que se conoce como SCA (Strong Customer Authentication) para garantizar que realmente es el usuario el que está dando permiso para acceder a dichos datos.

Uno de los objetivos de esta directiva PSD2 es dotar a las fintech de un marco legal que, bajo un control regulatorio, facilite su crecimiento y la aparición de nuevas empresas que, bajo una rápida gestión de la tecnología, impulsen el desarrollo de nuevos modelos de negocio. No obstante, han sido las propias entidades bancarias las primeras en sacar partido de la directiva ya que, a través del desarrollo de los agregadores bancarios, son varias las entidades en España que ya han incluido dentro de su portfolio de servicios la posibilidad de tener una visión única de todas las entidades, desde su propia aplicación.

Además, PSD2 trata de liberar la información que poseían los bancos, cediéndola a los clientes de las entidades, lo que favorece la aparición de nuevas empresas que sepan aprovechar dicha información, creando un sector más competitivo y acelerador de soluciones. Sin embargo, el exceso de protagonismo de algunos reguladores y el recelo de las grandes compañías a facilitar acceso a otros gigantes como Facebook, Google y Amazon, acostumbrados a gestionar los datos de una manera más ágil y con una mejor imagen y control sobre los usuarios, ha provocado que la letra pequeña de la directiva esté generando mucha controversia antes de su entrada en vigor. La directiva establece que la EBA (European Banking Authority), en colaboración con el BCE, sea la encargada de desarrollar el marco jurídico que regirá la seguridad de los pagos electrónicos.

PSD2 supone un paso más, con el objetivo de agilizar los procesos y mejorar la protección al cliente, que sabrá bajo qué criterios dejará la información, con la garantía del Banco de España, para que no haya problemas en el acceso ni suplantaciones.

Javier Bartolomé es vocal de medios de pago de AEFI (Asociación Española de Fintech e Insurtech) y CTO de IM Solutions

Normas