Desde hace semanas hay una palabra que gira entre tabú y trending topic dentro de los mentideros financieros de este país y de muchos otros dentro de la UE y no es otra que la dichosa PSD2 (Payment Service Directive 2 o directiva de servicios de pago 2).
La nueva directiva, aunque de nueva tenga ya poco dado que su publicación data de enero de 2018, vino a suplir deficiencias que la directiva PSD1 de 2007 no cubría, sobre todo en los aspectos disruptivos que la transformación digital de las TI estaban planteando a la banca tradicional. Al surgir startups que ofrecen servicios de ámbito financiero con apps sencillas y con una usabilidad orientada casi en exclusiva al cliente y que además encuentran resquicios legales que les permiten operar sin las restricciones legales que sí deben cumplir los bancos tradicionales, dio lugar a dos acciones que se ofrecían como opuestas una de otra.
Y qué pasa….
En primer lugar, la banca tradicional comenzó a auto-protegerse intentando cerrar esos resquicios legales para no permitir a estas startups salir y crecer. En la mayoría de los casos siguieron operando de manera tradicional sin ni siquiera orientar sus servicios a las nuevas tecnologías que estaban surgiendo y que permitían a las startups aparecer.
Por otro lado, los usuarios fueron dándose cuenta de que el uso de estas nuevas plataformas les resultaba mucho más agradable ya que estaban pensadas en facilitar su interacción con sus necesidades bancarias (y de cualquier tipo) lo que terminó en el triunfo de muchas de estas apps generándose una pequeña revolución que está arrastrando a los usuarios, las sociedades, las instituciones gubernamentales y las entidades financieras a unos cambios enormes que están poniendo patas arriba el negocio financiero.
Por tanto, la UE se ha visto obligada a acomodar la legalidad vigente a los nuevos tiempos y formas que la sociedad requiere y que la transformación digital de las TI está propiciando.
Durante los años 2016 y 2017 la UE trabajó los distintos aspectos que surgían y con los distintas partes interesadas (gobiernos, entidades financieras, asociaciones de startups, usuarios y demás) logrando finalmente ponerla en vigor en el 2018, aunque de manera paulatina. Por desgracia hay una fecha de cumplimiento que está poniendo a todo el sector financiero, y en particular a los medios de pago, en alerta máxima ya que se presupone un incumplimiento bastante extenso por parte de las entidades financieras a las que impacta. Esta fecha es el próximo 14 de septiembre, fecha en la cual entran en vigor los aspectos más controvertidos de la directiva. Voy a explicarlos un poco los dos que más afectan, por separado.
Problemas, problemas…
El primer punto está en el acceso a la información de los clientes de los bancos desde otras empresas que ofrecen servicios externos a la banca (los denominados servicios de pagos a terceros o TPPs en la terminología de la UE). Estas empresas “terceras” tendrán que ofrecer y cumplir las mismas características de una entidad financiera (registro, autorización, seguridad, etc.) para conectar con las entidades bancarias pero a cambio los bancos deben ofrecer APIs de conexión a estos “terceros” para acceder a la información de los usuarios que previamente hayan autorizado a estas empresas el acceso a dicha información.
Como se puede entender, los bancos siempre han sido y son reticentes a permitir este punto dado que su mayor activo actual, tras la irrupción de la manida Transformación Digital, reside en la cantidad ingente de información que poseen de sus clientes.
Podemos asegurar que después de los distintos foros a los que como Grupo Onetec hemos acudido, una parte importante de la banca española (y muchos de los bancos de la UE) no han ofrecido de momento esas APIs a los terceros para que se adecuen y puedan utilizar estos accesos.
El segundo punto, y que afecta sobremanera a los medios de pago en particular es el cumplimiento, a partir del 14 de septiembre, del segundo factor de autenticación en los accesos a cualquier medio de pago que se utilice.
La directiva PSD2 obliga a que se cumpla la norma SCA (Strong Customer Authentication o Autenticación reforzada) y por tanto ejecutar la aplicación del comentado segundo factor de autenticación. Esto implica que además del usuario y la contraseña actuales se incluya otro factor de los que componen la autenticación fuerte (una cosa que se posee –por ejemplo, el móvil, una tarjeta…-, otra cosa que se sabe –la contraseña- y otra cosa que se es –por ejemplo, la huella digital-) o cualquier otra combinación de dos de ellos.
El problema que se genera está además de en la seguridad, en que cualquier solución afecta negativamente a la experiencia de usuario tan demandada actualmente y siendo esta una de las premisas principales en las que se basan las startusps para alcanzar su éxito.
Como en el punto anterior, Grupo Onetec ha estado en distintos foros en los que se han presentado distintas soluciones para este punto pero, o a la banca no les ofrecen la confianza necesaria o están buscando soluciones propias. Dada la poca visibilidad de dichas entidades no se conoce a ciencia cierta si ya tienen la solución o están todavía en ello.
Es sintomático que en el último foro al que acudimos (junio de 2019, sólo a tres meses vista de la aplicación de la norma) las entidades financieras de todo tipo hablaban más de moratoria en la fecha del 14 de septiembre que de las soluciones aplicadas o a aplicar.
Indicar por último que no todo es culpa de las entidades financieras, también la UE, con la EBA como organismo regulador, ha tardado mucho en contestar las múltiples dudas y preguntas de todo tipo enviadas por las entidades afectadas, teniendo en cuenta que aun a día de hoy existen muchas de esas dudas catalogadas sin resolver.
Y ahora qué…
Como se puede ver, la incertidumbre está en el ambiente en cuanto al cumplimiento a partir de esa fecha fatídica. Los usuarios demandan mejores y más fáciles servicios, las tecnologías avanzan con una celeridad que deja obsoletas soluciones muy recientes, los bancos evolucionan en muchos casos a cámara súper-lenta y la UE regula cuatro pasos por detrás de la tecnología. Mal asunto. Me temo que la PSD2 sólo va a ser un parche o un paso intermedio a una futura “PSD3”. Si es esto último, esperemos que tenga mejor base de partida con esta controvertida PSD2.
Si os surgen preguntas, que muchas os surgirán si estáis interesados, ya sabéis donde encontrarme 😉
