PSD3: Todo lo que sabemos sobre la actualización de la Normativa de Servicios de Pago

El 10 de mayo de 2022, la Comisión Europea (CE) publicó una iniciativa/convocatoria de consulta sobre su 2ª Normativa de Servicios de Pago – PSD2 para abreviar – actualmente en vigor. 

¿El objetivo? Utilizar las conclusiones para informar de la actualización de la que se llamará PSD3. 

Ya se ha empezado a especular sobre el contenido de la directiva revisada, PSD3, y las consecuencias que tendrá para el sector bancario y de pagos, así como para los comerciantes.

Echamos un vistazo actualizado tanto a los hechos sólidos que conocemos hasta ahora, como a lo que la historia ha demostrado que podría ocurrir a medida que nos acercamos a la 3ª Directiva. 

¿Qué es la PSD3?

La 3ª Normativa de Servicios de Pago, PSD3, es un próximo marco que regula los pagos electrónicos y el ecosistema bancario dentro del área del mercado único europeo (EEE). La DSP3 será decidida por la CE tras una ronda de consultas.

Al igual que su predecesora, la DSP3 va a abordar la autenticación reforzada de clientes (SCA) y los estándares y protocolos bancarios abiertos, con el objetivo de facilitar a los consumidores las transacciones con confianza en el panorama digital, tanto con los comerciantes como con los bancos. 

Además, los protocolos financieros y bancarios abiertos abordarán el intercambio de información sobre los clientes entre las autoridades competentes y los bancos en los que el consumidor tiene cuentas, incluidas las autoridades fiscales, los procesadores de pagos, etc. 

El director general de SEON, Tamas Kadar, dice sobre la DSP3:

«Es reconfortante saber que se está revisando y actualizando la importante legislación en materia de SCA y finanzas abiertas. Estamos siguiendo de cerca los acontecimientos y, como solución de prevención del fraude independiente del sector y altamente personalizable, estamos bien posicionados para abordar cualquier cambio».

Hay que dejar claro que únicamente las transacciones electrónicas entran en el ámbito de aplicación de las Normativas sobre Servicios de Pago, tanto en lo que respecta a los pagos como a la banca en línea y móvil. Por tanto, no se refieren a los pagos en efectivo ni a los cheques bancarios, por ejemplo.

¿Por qué cambia la DSP2?

La estrategia de pagos minoristas de la Comisión Europea incluye cláusulas para revisar y actualizar las directrices y la legislación a intervalos regulares, con el fin de adaptarse a las necesidades del mercado y de los consumidores, así como a los avances tecnológicos y al panorama general.

En particular, en septiembre de 2020, la CE adoptó una estrategia de pagos al por menor para permitir la innovación y el crecimiento. Dentro de esta decisión se incluyó un hito para revisar y potencialmente actualizar las normas actuales sobre servicios de pago en 2022.

En otras palabras, estas consultas y el debate posterior son una forma de averiguar si las partes interesadas consideran que la legislación actual sigue siendo adecuada para su propósito o, en caso contrario, qué falta.

Este cambio no carece de precedentes. La DSP1 se introdujo en 2007 y finalmente se actualizó a la DSP2, que se aprobó en 2015. Siete años después, se ha detectado la necesidad de garantizar que todo lo que contiene esté al día.

Países sujetos a la PSD2

PSD3 vs PSD2: Diferencias

La PSD3 es la próxima legislación establecida para regular la provisión de pagos electrónicos y el ecosistema bancario dentro del mercado único de la UE, mientras que la PSD2 es la versión más antigua de este marco, que ha estado en uso en la Unión Europea y el Espacio Económico Europeo desde 2019/2020, cuando pasó el plazo ampliado para su implementación. 

La PSD2 rige todos los pagos digitales y las finanzas abiertas en la UE y el EEE, y se espera que la PSD3 haga lo mismo, ampliando potencialmente su alcance. 

Una forma de pensar en términos sólidos sobre lo que podría formar parte de la DSP3 es examinar las preguntas formuladas durante la fase de consulta. Estas nos muestran los ámbitos que las autoridades ya han señalado como susceptibles de ser reconsiderados y posiblemente actualizados. 

Por lo tanto, la nueva Normativa de Servicios de Pago pretende responder a preguntas y abordar cuestiones como las siguientes:

• ¿Son adecuados los actuales requisitos de banca abierta?
• ¿Existen alternativas a los métodos actuales de SCA?
• ¿Debería ampliarse el periodo de SCA de 90 a 180 días para reducir la fricción?
• ¿Deben cambiar los límites de los pagos sin contacto?
• ¿Deberían revelarse los costos de conversión de divisas aplicables antes de las transacciones?
• ¿Siguen siendo adecuadas las excepciones previstas en la PSD2?
• ¿Deben acelerarse las operaciones de pago de un solo proveedor de servicios de pago en el EEE?
• ¿Puede racionalizarse la autorización de los proveedores y las entidades de pago?
• ¿Deberíamos empezar a regular actividades actualmente no reguladas, como los pagos con criptomonedas y la BNPL?
• etc.

Por supuesto, es muy posible que se descubra que algunas de ellas son suficientes para el uso futuro, en cuyo caso es probable que esas partes de la PSD2 simplemente se dejen como están en lugar de actualizarse. Sin embargo, es casi seguro que también habrá cambios importantes.

La consulta sobre la Normativa de Servicios de Pago

Lo que a menudo se denomina consulta sobre la PSD3 es, en realidad, tres iniciativas distintas: una consulta pública, una consulta específica sobre los aspectos técnicos de la PSD2 y una consulta específica sobre las finanzas abiertas, también llamadas frecuentemente open banking. 

La consulta pública finalizó el 3 de agosto de 2022. Según el anuncio oficial, los ciudadanos de la UE, las empresas, las asociaciones empresariales y las autoridades públicas compartieron sus opiniones, y las partes interesadas vinieron de todas partes, incluyendo Alemania, Francia e incluso el Reino Unido, a pesar de haber cambiado su estatus a fuera de la UE. Las consultas específicas también han concluido.

Hay que tener en cuenta que los resultados de la consulta no son vinculantes y no constituyen ninguna propuesta formal ni posición final para ninguna de las partes interesadas.

Una de las opiniones más destacadas que se han emitido durante la fase de consulta y que son totalmente accesibles al público es la de la ABE (Autoridad Bancaria Europea), que pone de manifiesto una serie de problemas, oportunidades y retos que la PSD2 y la propuesta de PSD3 plantean a las entidades bancarias.

A partir de aquí, los órganos competentes de la CE revisarán las respuestas, así como las conclusiones adicionales, y trabajarán para elaborar un proyecto de PSD3, que se espera para principios o mediados de 2023.

Cumplimiento de la PSD3: ¿Qué hay que saber?

Tanto para las empresas que aceptan pagos electrónicos como para los bancos e instituciones financieras que los procesan y gestionan, el cumplimiento de la PSD3 será finalmente obligatorio, una vez que la PSD3 haya sido decidida, ratificada en la ley y después de que haya pasado un plazo de implementación.

Este plazo no se conoce por el momento, pero podemos hacer una estimación basada en el tiempo que tardó la PSD2 en sustituir a la primera PSD: cinco años.

• Los países europeos tuvieron dos años para transponer la PSD2 a la legislación nacional después de que se aprobara a nivel de la CE.
• Las empresas tuvieron otros dos años (ampliados a tres) desde la transposición para cumplir plenamente con la PSD2.

Siempre existe la posibilidad de que este proceso se acelere, pero se puede afirmar que pasarán al menos tres años desde que la PSD3 se convierta en legislación de la UE hasta que las empresas se vean obligadas a cumplirla plenamente. 

Por supuesto, dependiendo del alcance de las actualizaciones, es probable que esto no sea fácil, por lo que se aconseja a los procesadores de pagos, bancos y otras instituciones financieras que comiencen el proceso de adaptación de sus sistemas tan pronto como la PSD3 se convierta en ley de la UE.

Sanciones por incumplimiento de la PSD3

Todavía no hay nada escrito, pero una vez que la PSD3 se convierta en ley, es probable que las sanciones por incumplimiento sean similares a las de la PSD2, que implican multas, así como el posible retiro de la licencia para las instituciones financieras y las empresas adyacentes.

Esto significa que corresponde a la «autoridad competente del Estado miembro de origen» donde reside la empresa en cuestión detectar el incumplimiento y aplicar las multas y otras sanciones, según la legislación local.

Hay que tener en cuenta que si la PSD3 sigue el camino que han forjado las Normativas anteriores, serán los propios procesadores de pagos los que tengan que cumplir con la normativa, no los comerciantes que aceptan pagos digitales. 

Por lo tanto, aunque los comerciantes hagan bien en mantenerse al tanto de la evolución de la PSD3, por el momento hay pocos motivos para que los minoristas en línea y empresas similares se preocupen.

¿Cómo ayudará la PSD3 a combatir el fraude?

Además de agilizar la provisión de pagos y servicios financieros, la PSD3 tratará de salvaguardar las operaciones y los usuarios, haciéndolas más seguras para todas las partes implicadas, en línea con sus predecesoras.

Por ejemplo, la PSD2 definió y obligó a utilizar la autenticación multifactor (MFA) en determinados tipos de pagos, así como cuando un consumidor quiere acceder a su cuenta financiera con su banco o compañía de crédito. Esto dificultó considerablemente el éxito de los ataques de fuerza bruta, phishing y otros tipos de robo de cuentas.

Como hemos señalado antes, la banca abierta conlleva tanto riesgos como oportunidades. Una consideración clave es cómo esto amplía la posible superficie de ataque, como un ecosistema significativamente mayor en comparación con las configuraciones anteriores. 

Como dice el refrán, tu seguridad es tanta como tu eslabón más débil. En este caso, esto significa que entre las diversas instituciones que comparten la autenticación o la identidad de alguien, una sola laguna puede dar a los estafadores exitosos una mayor recompensa. 

Así, la PSD3 tratará de ampliar la protección de los consumidores y las organizaciones, así como de las economías nacionales y regionales en general, abordando los métodos fraudulentos más recientes y anticipando los nuevos riesgos en la medida de lo posible. 

A medida que se publique más información sobre la PSD3, iremos informando a nuestros socios de las principales novedades para que puedan preparar sus respuestas.

Preguntas frecuentes

Fuentes

• Europa.EU: Servicios de pago: revisión de la normativa de la UE
• European Banking Authority: La EBA responde a la petición de asesoramiento de la Comisión Europea sobre la revisión de la Normativa de Servicios de Pago