Llegamos a ustedes gracias a:



Reportajes y análisis

7 preguntas sobre el PSD2 que todo CISO debe conocer

[04/05/2020] La Directiva de Servicios de Pago revisada (PSD2, por sus siglas en inglés) entró en vigor en la Unión Europea el año pasado, añadiendo nuevos requisitos para las instituciones financieras, los proveedores de servicios de pago y los comerciantes que hacen negocios en el mercado compartido. Sin embargo, esta también podría tener un impacto en las empresas con sede fuera de la UE, por lo que aquí hay cinco preguntas que todo CISO debería poder responder sobre esta ley.

1. ¿Qué es el PSD2?

El PSD2 es una legislación que regula el mercado de servicios de pago en todo el Espacio Económico Europeo (EEE: los estados miembros de la UE más Islandia, Liechtenstein y Noruega). Fue adoptada por el Parlamento Europeo en el 2015 y entró en vigor en septiembre del 2019, aunque la aplicación de los nuevos requisitos de seguridad de las transacciones se ha retrasado.

La legislación es una revisión de la Directiva de Servicios de Pago original del 2007, y sus objetivos son reducir el fraude con tarjetas en línea mediante la aplicación de requisitos más estrictos de autenticación de las transacciones; regular la industria de la tecnología financiera (FinTech); y hacer más competitivo el mercado de pagos, obligando a los bancos a compartir los datos de las cuentas de los clientes y a aumentar la protección de los consumidores, reduciendo su responsabilidad por los pagos no autorizados. También obliga a los Estados miembros a designar autoridades nacionales que se ocupen de las denuncias relacionadas con los servicios de pago.

2. ¿El PSD2 afecta su empresa?

El PSD2 afecta directamente a los bancos y otras instituciones financieras que tienen cuentas de clientes, a terceros proveedores de servicios de pago, a las empresas de FinTech que ofrecen servicios de iniciación de pagos o de agregación de información de cuentas y, en última instancia, a los comerciantes en línea.

Los comerciantes en particular deben asegurarse de que sus bancos o procesadores de pagos soporten los nuevos requisitos de la autenticación reforzada de cliente (SCA, por sus siglas en inglés) para las transacciones en línea. De lo contrario, corren el riesgo de perder ventas, ya que los emisores de tarjetas se ven obligados a rechazar las transacciones que no cumplen los requisitos o enfrentarán cargos de responsabilidad.

Los nuevos requisitos de autenticación se aplican a las transacciones en las que tanto el emisor de la tarjeta como el adquiriente están situados en el EEE, pero también se extienden a las denominadas transacciones "one-leg out", en las que el comerciante no tiene su sede en el EEE, pero los fondos se procesan a través de un comprador que sí se encuentra en este. En esos casos, la parte de la transacción correspondiente al EEE estará sujeta a la SCA.

Por ejemplo, si un comerciante que no pertenece al EEE utiliza un proveedor de servicios de pago (PSP) con sede en el EEE para procesar transacciones de clientes europeos, o el PSP utiliza una cuenta de compensación de una de sus entidades con sede en la UE, entonces se aplica el SCA.

3. ¿Cuáles son los requisitos de la SCA?

El PSD2 requiere que las transacciones sin tarjeta sean autorizadas con autenticación multifactor, lo que significa que, en la práctica, los consumidores ya no podrán realizar transacciones en línea utilizando únicamente la información impresa en sus tarjetas. Los pagos en línea requerirán el uso de dos o más factores: conocimiento (algo que solo el usuario conoce), posesión (algo que solo el usuario tiene) y herencia (algo que el usuario es).

La Autoridad Bancaria Europea ha aclarado cuáles son los factores aceptables de conocimiento, posesión y herencia, y se espera que la gran mayoría de las implementaciones impliquen el uso de teléfonos móviles para la autorización de transacciones fuera de banda. Por ejemplo, cada vez que se realice una transacción con tarjeta en línea, la aplicación bancaria instalada en el teléfono del usuario le pedirá que autorice la transacción utilizando su huella dactilar o algún otro método aceptable.

También hay exenciones de la SCA para las transacciones de bajo valor que no superen los 30 euros, las transacciones recurrentes al mismo destinatario con el mismo importe que son típicas de los servicios de tipo de suscripción, las transacciones a destinatarios que han sido incluidos en una lista blanca por el cliente, y las transacciones superiores a 30 euros a proveedores de servicios de pago que utilizan el análisis de riesgo de fraude y pueden demostrar una tasa de fraude lo suficientemente baja.

4. ¿Ya están en vigor los requisitos de la SCA?

Los requisitos de la SCA técnicamente entraron en vigor el 14 de septiembre, pero la Autoridad Bancaria Europea (ABE) permitió a las autoridades nacionales retrasar la aplicación y dar más tiempo a los proveedores de servicios de pago porque no todos estaban preparados. En octubre, la ABE comunicó una fecha límite del 31 de diciembre del 2020, para la cual todos los proveedores de servicios de pago deberían completar la adopción de la SCA, incluyendo la implementación y las pruebas por parte de los comerciantes.

"El dictamen recomienda que, cuando sea necesario, las ANCs [autoridades nacionales competentes] comuniquen a los PSPs [proveedores de servicios de pago] de su jurisdicción que la flexibilidad de supervisión que han ejercido no representa un retraso en la fecha de aplicación de los requisitos de la SCA en el PSD2 y las Normas Técnicas de la EBA", señala la EBA. "Más bien significa que las ANCs se centrarán en la supervisión de los planes de migración en lugar de emprender acciones de aplicación inmediata contra los PSPs que no cumplan los requisitos de la SCA".

La EBA señala que los comerciantes habrían preferido un retraso de 18 meses que coincidiera con el despliegue previsto del protocolo de comunicaciones 3-D Secure (3DS) v2.2 desarrollado por las marcas de tarjetas. Esta versión del protocolo es compatible con las exenciones de la SCA y, por lo tanto, permitirá a los proveedores de servicios de pago y a los comerciantes evitar que un gran número de sus transacciones sean impugnadas por los emisores de tarjetas y así reducirá la fricción para los clientes en el pago. Sin embargo, la ABE señaló que las exenciones se han comunicado desde febrero del 2017, por lo que la industria tuvo tiempo suficiente para prepararse.

5. ¿Cuáles son los requisitos de la banca abierta?

En virtud del PSD2, los bancos y las instituciones [financieras] tenedoras de cuentas están obligados a permitir que los servicios de terceros inicien los pagos y accedan a los datos de las cuentas de los clientes, si estos dan su consentimiento. Este requisito tiene por objeto romper el monopolio de los bancos sobre la información de las cuentas de los clientes y permitir un aumento de la competencia y la innovación en el espacio FinTech.

Las empresas de FinTech también podrán obtener licencias válidas en todo el EEE y estar sujetas a reglamentos uniformes, en lugar de tener que tratar con múltiples jurisdicciones nacionales. El objetivo es crear condiciones de igualdad entre las instituciones bancarias establecidas y los nuevos participantes en el mercado.

Esto también significa que los comerciantes podrán ofrecer más opciones de pago a los clientes que no impliquen el uso de tarjetas de pago. Por ejemplo, un cliente podría elegir pagar directamente a través de un proveedor de servicios de iniciación de pagos (PISP, por sus siglas en inglés) que ya haya aprobado para acceder a sus cuentas.

La mayor parte de instituciones financieras están optando por aplicar los nuevos requisitos de acceso a las cuentas a través de los APIs, aunque todavía no existe una norma generalmente aceptada.

6. ¿El PSD2 afectará los mercados fuera del EEE?

Los expertos creen que, aunque los requisitos de la SCA no impactarán directamente en otros mercados -con la excepción de los comerciantes de fuera del EEE que también hacen negocios en Europa- las marcas de tarjetas seguirán presionando para el despliegue global de la versión 2 del 3DS (3DS2) y, los bancos de otras jurisdicciones lo adoptarán debido a la presión del mercado y a la necesidad de seguir siendo competitivos. Por lo tanto, es probable que niveles similares de seguridad en las transacciones en línea estén ampliamente disponibles en otros países, incluso si no son exigidos por las regulaciones. Es posible que los comerciantes también deseen que todos sus clientes tengan una experiencia uniforme, independientemente del lugar en que se encuentren

7. ¿Cuáles son los mayores impactos del PSD2 en la seguridad?

El PSD2 puede tener un impacto positivo en la seguridad de la banca en línea, gracias a los nuevos requisitos de la SCA, pero también puede afectar negativamente a la seguridad si la implementación de las APIs de acceso a las cuentas no se realiza de forma segura y uniforme.

La historia ha demostrado que incluso con los estándares ampliamente utilizados para la delegación de acceso, tales como OAuth y OpenID Connect, los problemas de implementación son comunes y a menudo conducen al secuestro de cuentas. Este mes, un investigador de seguridad fue premiado con 55 mil dólares por encontrar y reportar una falla en la implementación de OAuth en Facebook.

Conceder a múltiples terceros el acceso a una cuenta aumenta el riesgo, ya que los puntos de entrada disponibles para los atacantes también aumentan. Los ataques contra las APIs son atractivos para los hackers porque pueden automatizar más fácilmente los ataques contra ellos en comparación con los formularios de entrada a la web. La finalidad de las APIs es simplificar y automatizar la comunicación entre aplicaciones. Durante los últimos dos años, la empresa de seguridad y entrega de contenido Akamai observó un gran aumento en los ataques basados en API, especialmente contra la industria financiera.

En lo que respecta a la seguridad de las transacciones, se espera que el PSD2 tenga un gran impacto en la reducción del fraude sin tarjeta en Europa, pero existe el riesgo de que este migre a otras jurisdicciones con niveles más bajos de seguridad en las transacciones. Por ello, los expertos esperan que Estados Unidos y otros países sigan el ejemplo y adopten requisitos similares a los de la 3DS2 y la SCA, que debería ser un proceso mucho más fluido que la implementación de tarjetas con chip y PIN.

"SCA tiene la oportunidad de permitir a EE.UU. dar un paso adelante en la era digital segura, habiendo sido un rezagado del mercado -la implementación de PINs llegó al mercado en los últimos dos años", anota James Stickland, CEO de la empresa de gestión de identidad y autenticación Veridium. "Ahora que los dispositivos de punto de venta están habilitados y que los sistemas de pago en línea pueden aceptar el aumento de la autenticación de la SCA, EE.UU. tiene la oportunidad de ofrecer una gran experiencia al usuario junto con transacciones seguras. La implementación de la biometría es considerada, en general, como la elección indicada de tecnología para hacer frente al creciente fraude al que se enfrentan todos los comerciantes y proveedores de servicios de pago, mientras ofrece al usuario un viaje perfecto".