Pasar al contenido principal

PSD2

¿A quién va dirigido?

PSD2 es una directiva europea aplicable por cualquier organización, pequeña o grande, pública o privada, que lleve a cabo servicios de pago electrónico.

¿Qué es?

La Directiva (UE) 2015/2366 sobre servicios de pago, también conocida como Directiva PSD2, establece las reglas que deben cumplir los proveedores de servicios de pago electrónico dentro de la Unión Europea. Además de regular cómo deben constituirse y operar este tipo de organizaciones, uno de sus capítulos establece las condiciones que deben cumplir estas organizaciones con relación a los riesgos operativos y de seguridad y a la autenticación. En este sentido, establece:

  • Que los proveedores de servicios de pago deberán realizar análisis de riesgos de seguridad periódicos, y aplicar las correspondientes medidas de seguridad que permitan gestionar y controlar dichos riesgos.
  • Que los incidentes graves de seguridad que sufran estas organizaciones deberán notificarse sin dilación a la autoridad competente.  
  • Que los mecanismos de autenticación que utilicen los usuarios de estos proveedores de medios de pago estén reforzados para la ejecución de determinadas operaciones.
  • Que se apliquen medidas de seguridad para proteger la confidencialidad e integridad de estos medios de autenticación.
  • Que se desarrollarán normas técnicas específicas que regulen las medidas de seguridad, los mecanismos de autenticación y las capacidades de interoperabilidad de estos proveedores de servicios de pago.

La Directiva PSD2 fue transpuesta en España a través del Real Decreto-Ley 19/2018 de servicios de pago y otras medidas urgentes en materia financiera. Así mismo, las normas técnicas que desarrollan la PSD2 fueron publicadas en el Reglamento Delegado 2018/389 de la Comisión Europea.

En términos de seguridad la PSD2 se ha traducido, a nivel práctico, en que los proveedores de servicios de pago han tenido que actualizar los elementos de autenticación que facilitan a sus clientes, sustituyendo tarjetas de coordenadas o 'tokens' por mensajes al móvil o tokens más avanzados, por ejemplo. Además, han tenido que desarrollar sistemas y procesos que permitan a estos proveedores de servicios de pago hacer uso de las exenciones que permite la normativa para el uso de esta autenticación reforzada en aquellas transacciones en que el nivel de riesgo se considera bajo.

Objetivos

Los objetivos de la Directiva PSD2 son:

  • Mejorar la protección del consumidor
  • Impulsar la competencia e innovación del sector
  • Reforzar la seguridad en el mercado de pagos
  • Favorecer el surgimiento de nuevos métodos de pago
  • Favorecer el comercio electrónico.

Beneficios de la PSD2

La Directiva PSD2 ha propiciado diversos beneficios a diferentes niveles, como son:

  • Ha agilizado los pagos y facilitado la tramitación de los pagos cuenta a cuenta, gracias a los cambios operativos que ha introducido.
  • Ha hecho los pagos más seguros, a raíz de los mecanismos de autenticación reforzada que requiere.
  • Ha aumentado la competencia en el sector de servicios de pago, gracias a los requerimientos de apertura e interoperabilidad que introduce, permitiendo que los nuevos actores puedan acceder a las cuentas bancarias de sus clientes para ofrecerles servicios contando con la infraestructura de los bancos.
  • Ha establecido nuevos requerimientos relacionados con la transparencia de los servicios de pago, introduciendo modificaciones en los términos y condiciones de los servicios que redundan en dar al cliente más información sobre el servicio prestado.

Factores a tener en cuenta para la aplicación de la Directiva PSD2

  • El tipo de servicios prestados por la organización
  • Los mecanismos de interoperabilidad utilizados
  • Los mecanismos de autenticación utilizados
  • Los mecanismos de seguridad utilizados
  • Los procesos de pago implementados
  • Otros aspectos organizativos

Fases de la aplicación de las exigencias de la Directiva PSD2

Fase 1. Lanzar el proyecto

El lanzamiento del proyecto va a requerir de la implicación de una gran parte de la organización, ya que las exigencias que introduce la Directiva PSD2 tienen amplias repercusiones tanto a nivel operativo y de negocio como a nivel técnico.   

Fase 2. Rediseñar los procesos operativos

La Directiva PSD2 establece de manera detallada determinadas exigencias tanto para los procesos de pago como para los procesos que regulan la relación con los usuarios de los servicios de pago. La organización deberá rediseñar sus procesos operativos de acuerdo a esas exigencias.

Fase 3. Adaptar los procesos de pago

La organización deberá adaptar tanto los propios procesos de pago como todos aquellos relacionados con su articulación de acuerdo al rediseño de los procesos operativos llevado a cabo, asegurándose en todo momento de que dicha adaptación satisface las exigencias de seguridad que establece al respecto La Directiva PSD2.

Fase 4. Desarrollar los mecanismos de interoperabilidad

Una vez rediseñados los procesos operativos, la organización tendrá que adaptar sus mecanismos de interoperabilidad con el resto de agentes intervinientes en los servicios de pago, articulando las APIs correspondientes para que dicha interoperabilidad pueda tener lugar de acuerdo a las exigencias de la Directiva PSD2 y asegurándose de que dichas APIs cuenten con las garantías de seguridad necesarias.

Fase 5. Adaptar los mecanismos de autenticación

La organización también deberá llevar a cabo la adaptación de los mecanismos de autenticación de usuarios utilizados anteriormente, de acuerdo con el rediseño de procesos llevado a cabo, con el fin de articular tanto las exigencias de autenticación reforzada como las relativas a la autenticación adaptativa, garantizando que la seguridad de los mecanismos de autenticación utilizados cumple con las exigencias que al respecto establece la Directiva PSD2.

Fase 6. Articular los procesos de seguridad

Por último, toda organización que quiera cumplir con los requisitos de seguridad que establece la Directiva PSD2 deberá articular tanto el proceso de análisis y gestión de riesgos requerido, desplegándolo de manera que dicho proceso gestione la articulación de las medidas de seguridad consideradas en las fases anteriores, como el proceso de gestión y notificación de incidentes de seguridad, garantizando que se lleva a cabo la notificación de los incidentes graves de acuerdo con lo estipulado.

¿Dónde recibir asesoramiento o contratar servicios de adecuación a la Directiva PSD2?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

Directiva PSD2: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32015L2366

PSD2 en Wikipedia: https://es.wikipedia.org/wiki/Directiva_de_Servicios_de_Pago

PSD2 según Xataka: https://www.xataka.com/legislacion-y-derechos/psd2-asi-revolucion-pagos-electronicos-que-llega-a-espana-septiembre

Compartir

Compartir en Linkedin