Banca
Blindaje a los pagos 'online': en qué consiste la nueva directiva que busca mejorar la seguridad de los consumidores
Desde el pasado sábado, los pagos a través de Internet están doblemente protegidos. Al menos, ese era el objetivo que perseguía la nueva directiva europea que entró en vigor ese día. Se la conoce como PSD2 y pretende reforzar la seguridad del usuario que realiza operaciones bancarias a través de Internet. Porque, según el Parlamento Europeo y el Consejo de la Unión Europea, "en los últimos años han aumentado los riesgos de seguridad de los pagos electrónicos, debido a la mayor complejidad técnica de estos, el incesante incremento del volumen de pagos electrónicos en todo el mundo y los nuevos tipos de servicios de pago". Por ello, continúa el texto aprobado con fecha de 2015, "disponer de servicios de pago fiables y seguros es condición esencial para el buen funcionamiento del mercado de servicios de pago, por lo que los usuarios de esos servicios deben gozar de la debida protección frente a tales riesgos". A priori, algo positivo para los consumidores, tal y como aseguran las asociaciones defensoras de sus intereses. No obstante, como suele ocurrir, existen algunos aspectos que impiden afirmar lo anterior con rotundidad.
La normativa entró en vigor el pasado sábado. Algunas entidades avisaron a sus clientes de que se ponía en marcha la bautizada como PSD2, pero otras no. No obstante, el impacto que el nuevo reglamento tendrá en los consumidores es evidente. Así lo señalan las asociaciones. Sus datos estarán más protegidos y serán, exclusivamente, de su propiedad. Por tanto, los podrán disponer del modo que quieran y compartirlos con quien elijan. El banco no podrá oponerse. "La nueva normativa es una regulación europea que responde a una realidad de cambio tecnológico en el comercio, en las finanzas y en los medios de pago", explica Fernando Herrero, secretario general de la Asociación de Usuarios de Bancos, Cajas y Seguros (Adicae). Según dice, la normativa persigue adaptarse a esos cambios "abriendo la posibilidad de que las empresas no financieras que pueden operar con medios de pago (fintech) intervengan en ese ámbito" y propiciando "el recurso a los medios de pago electrónico".
¿De qué manera? Por ejemplo, dice Herrero, la directiva recoge "una antigua reivindicación de los consumidores" que tiene que ver con el fraude en el uso del medio de pago, como la tarjeta bancaria. Hasta ahora, si alguien la usaba sin el consentimiento del titular y éste no podía demostrar que había sido un fraude, el cliente estaba obligado a asumir los primeros 150 euros del importe gastado. A partir del sábado, lo hace solo de los primeros 50.
Ahora, además, han cambiado los límites de los pagos contactlesscontactless. Según recuerda Helpmycash.com, antes las compras inferiores a 20 euros se pagaban mediante una tarjeta de contacto sin necesidad de introducir ningún tipo de clave. Ahora seguirá siendo así, pero no siempre. Si el cliente ha realizado más de cinco operaciones seguidas sin validar o ha acumulado 150 euros de gasto sin introducir ningún pin, deberá empezar a hacerlo. Pero esas no son las únicas novedades.
Doble autenticación para reforzar la seguridad
La doble autenticación es lo que realmente cambia a partir de ahora el sistema de pagos online. Y lo que, además, contribuye a ese refuerzo de la seguridad que busca la normativa. Ahora el usuario tendrá que demostrar de dos maneras completamente diferentes que es quien está realizando cualquier pago. Tal y como explica José Luis Martínez, portavoz de la Asociación Española de Banca (AEB), a partir del sábado "se establecen dos o tres elementos independientes de verificación: conocimiento (algo que solo sabe el cliente), posesión (algo que tiene el cliente) o inherencia (algo que es). De esta forma se combinan elementos como el móvil, contraseñas, SMS y cada vez más elementos biométricos". Es decir, la huella dactilar o el reconocimiento facial.
"Hasta ahora, los pagos se hacían con una sola clave. A partir de ahora se tendrá que combinar con otra cosa", explica Patricia Suárez, presidenta de la asociación de consumidores Asufin. "Se implementa una doble autenticación para asegurar que realmente es esa la persona que está llevando a cabo un pago", añade. Y se hará tanto en los comercios como en los pagos online, dice Herrero. Lo explica mediante un ejemplo. Supongamos que una persona acude a un comercio y compra algo por un importe superior a 20 euros. Decide pagar con tarjeta y, para ello, la pasa por el lector del dispositivo de cobro, que le pide que introduzca su clave. Hasta ahora, ahí terminaba el proceso. "Ahora van a pedir, de forma añadida, o una clave que se enviará por SMS o el reconocimiento facial o la huella dactilar", dice. Todo ello se hará mediante el teléfono móvil, que gana protagonismo con esta nueva directiva. "En la banca online ocurrirá lo mismo, por ejemplo, para realizar transferencias", añade.
Esta medida de seguridad ya está implantada para los pagos a través de Internet, pero no en los comercios, dice Herrero. El Banco de España ha aceptado una moratoria para que los establecimientos y las entidades se adapten de la manera adecuada como para poder cumplir con esta normativa.
Falta "alfabetización digital"
De esta manera, se mejora "la seguridad en los pagos electrónicos" y se reduce "el fraude en el acceso a las cuentas a través de Internet", dice Martínez. Pero aunque la finalidad es buena, la normativa tiene aspectos a mejorar. Según Herrero, antes de aplicar la directiva, habría que tener en cuenta "el grado de alfabetización digital de los usuarios". "El espíritu de la directiva adolece de un complemento necesario: deberían existir campañas de alfabetización", dice. "Si vamos hacia un mundo en el que el comercio electrónico aumenta en peso e importancia y donde se pretende que los pagos electrónicos se impongan, hay que capacitar a los usuarios para que conozcan el medio y puedan aprovechar sus ventajas", añade.
Entra en vigor este sábado la nueva normativa europea que busca blindar los pagos electrónicos
Ver más
Porque el conocimiento tecnológico de los españoles, en general, no es bueno. Según el Índice de Economía y Sociedad Digital (Desi) correspondiente al año 2019 y elaborado por la Comisión Europea, España suspende en competencias digitales básicas. El estudio pone de manifiesto que sólo el 55% de las personas entre 16 y 74 años cuentan con capacidades digitales básicas. Mientras tanto, la media europea se sitúa en torno al 57%. Además, el informe sobre la Educación Digital en las aulas en Europa publicado el pasado jueves por la Comisión Europea, reveló que España es uno de los nueve países de la Unión Europea que no evalúa las competencias digitales de sus estudiantes de Educación Primaria y Secundaria.
"Hay amplios sectores de población a los que estas nuevas circunstancias les pueden confundir", dice Herrero. Por eso, Adicae ha iniciado una campaña de información, "pero es necesario reforzarlo y que las entidades se involucren y asuman parte del coste de esa operación". "Si impulsan a los consumidores a usar tecnologías, deberían cooperar a capacitar a los consumidores", critica.
Suárez destaca, no obstante, que hay un aspecto que ha causado "polémica" entre las entidades bancarias. Y es que los datos dejen de ser propiedad de ellas y empiecen a serlo de los clientes. A partir de ahora, explica la presidenta de Asufin, "si un usuario tiene una app y quiere hacer una transacción con otra entidad que no sea el banco, este tiene que facilitar esos datos". "Esto les ha generado reticencia porque su mayor valor son los datos de los clientes", dice. Para entenderlo, lo ejemplifica con el servicio de pago por Whatsapp que ya está implantado en México. Mediante esa aplicación móvil, dos personas pueden enviarse dinero mutuamente si antes vinculan su cuenta bancaria. La entidad de cada una no interviene en ningún momento, pero sí tiene que autorizar a que el cliente dé sus datos financieros a la app.
