PSD3: Qué es y qué cambia en la nueva directiva de servicios de pago

A finales de 2018 entraba en vigor la segunda directiva de servicios de pago, PSD2. Cinco años después, la Comisión Europea comienza a dar los pasos necesarios para dar el salto a PSD3, la nueva actualización que viene a ampliar lo ya implementado por su predecesora, especialmente en lo relativo a la autenticación reforzada de clientes y los protocolos bancarios abiertos.

Tras una serie de evaluaciones de PSD2 en 2022, la Comisión Europea determinó que su eficacia y ámbito de aplicación eran mejorables y ampliables. Por ello, desde entonces y hasta ahora Europa ha estado trabajando en una regulación más moderna y adaptada a las necesidades del entorno FinTech actual con todas las novedades de PSD3 necesaria.

En este artículo definiremos qué es PSD3, desgranamos todos los detalles sobre el borrador que se ha publicado y sus mejoras y exploraremos el impacto que tendrá en el sector financiero, la banca, los seguros e industrias relacionadas. A continuación, la compararemos con PSD2, veremos qué pasos se pueden seguir hasta su definitiva aprobación y entrada en vigor, con fechas e hitos en el calendario según lo que ocurrió previamente.

Qué es la PSD3: Tercera Directiva de Servicios de Pago

PSD3 es la tercera directiva europea que regula los servicios de pago y transacciones relacionadas. Esta normativa también marca cómo deben realizarse una gran cantidad de procesos dentro del ecosistema bancario del Espacio Económico Europeo (EEE). Por lo tanto, la normativa afecta a todos los estados miembros de la Unión Europea así como a Croacia, Islandia y Noruega que participan de él a través de la Asociación Europea de Libre Comercio (AELC).

Reino Unido también adoptó todas las medidas incluidas en PSD2 pese al brexit por lo que se espera que haga lo mismo con PSD3. Las directivas europeas regulan aspectos relevantes de la economía y la sociedad siendo traspuestas por los estados a nivel nacional y regional tras un periodo de adaptación definido por la Comisión Europea.

Las normativas de servicios de pago abordan los protocolos bancarios abiertos, la identificación digital de clientes y una serie de estándares para las operaciones más habituales en industrias BFSI (Banca, Servicios Financieros, Seguros y áreas relacionadas). PSD3 llega para actualizar todos estos contenidos, ampliar su ámbito de actuación y mejorar la seguridad de las transacciones electrónicas dentro y fuera de la banca online.

De esta forma, la PSD3 es una iniciativa que forma parte de la estrategia de pagos al por menor de la Comisión Europea, que incluye cláusulas para revisar y actualizar las directrices y la legislación a intervalos regulares, para adaptarse a las necesidades del mercado y de los consumidores, así como a los avances tecnológicos y al panorama general.

La sucesora de PSD2

Por su parte, PSD2 (Segunda Directiva de Servicios de Pago) es una actualización de la primera normativa que regulaba los servicios de pago en la Unión Europea. Es la sucesora de PSD1, creada en 2007 y que fundó las bases para el SEPA (Single Euro Payments Area). Tras la implantación de PSD2, los pagos electrónicos aumentaron superando en 2021 los 240 billones de euros frente a los 180 de 2018.

Fue publicada en 2015 pero no se aprobó definitivamente hasta 2018, cuando se dio un paso decidido hacia el open banking, obligando a los bancos a realizar modificaciones sobre cómo comparten los datos de sus clientes y la forma en la que pueden realizarse determinado tipo de operaciones financieras a través de medios digitales. 

Esto consiguió ampliar la oferta de servicios financieros de todas las BFSI y el surgimiento de nuevos actores FinTech, desarrollando conceptos como las finanzas integradas, creando la Autenticación Reforzada de Clientes (SCA) y una mayor estandarización que ha propiciado el trabajo conjunto entre distintos players de la industria que se consideraban competencia y mejorar la seguridad global de la economía digital.

El 10 de mayo de 2022 la Comisión Europea inició diligencias para auditar y analizar PSD2. Esta evaluación ha durado alrededor de un año, determinando la eficacia de la norma y explorando qué margen de mejora existe. Así, la Autoridad Bancaria Europea (EBA) dio respuesta en forma de opinión con una propuesta a la Comisión con más de 200 medidas específicas a ser incluídas en una futurible mejora de la actual normativa de servicios de pago.

Tras este periodo, llegamos a junio de 2023, cuando la CE publicó una propuesta encaminada a la instauración de una nueva directiva y sucesora de la norma auditada, la PSD3. Por un lado, se va a lanzar una nueva actualización de PSD2 y se publicará, además y de forma coordinada, un Reglamento de Servicios de Pago (PSR).

Los cambios más importantes en PSD3 respecto a PSD2

La PSD3 está encaminada a ser una actualización mayor de la PSD2 que pretende mejorar y ampliar lo ya establecido por la anterior directiva añadiendo nuevos conceptos e involucrando a actores que se quedaron rezagados. A continuación mostramos los aspectos más relevantes de PSD3 y sus novedades:

• Mayor alcance geográfico: La PSD3 ampliará el ámbito de aplicación de la directiva a los pagos electrónicos transfronterizos entre el EEE y terceros países, tanto para las transacciones entrantes como salientes. Esto significa que los proveedores de servicios de pago tendrán que cumplir con las mismas normas que se aplican dentro del EEE, como la SCA (Strong Customer Authentication) y el Open Banking (o Finance en el nuevo escenario), cuando operen con clientes o comerciantes fuera del EEE .
• Mayor alcance funcional: Se transicionará como avanzábamos el concepto de Open Banking a Open Finance, lo que significa que los proveedores de servicios financieros podrán acceder no sólo a los datos e iniciar transacciones relacionadas con las cuentas bancarias, sino también con otros productos financieros, como seguros, pensiones, inversiones, renting, etc. Esto permitirá ofrecer servicios más integrados e hiperpersonalizados a los clientes.
• Mayor protección al consumidor: La tercera directiva de servicios de pago (DSP3) reforzará las medidas de protección al consumidor en materia de seguridad, transparencia, responsabilidad y derechos. Por ejemplo, se espera que la PSD3 introduzca un límite máximo de responsabilidad para los clientes en caso de uso fraudulento o no autorizado de sus medios de pago, así como un mecanismo de resolución de disputas más rápido y eficaz.
• Mayor supervisión e interoperabilidad: Los servicios de pagos deberán hacerse bajo un marco común para la supervisión y el control de los proveedores por parte de las autoridades competentes, así como para la cooperación entre ellas, incluidas las que comentábamos previamente de terceros países y no sólo las de los del Espacio Económico Europeo Común y sus aliados permanentes. Además, la PSD3 fomentará la interoperabilidad entre los diferentes sistemas y estándares técnicos utilizados por los proveedores de servicios de pago (entremezclado con la facturación electrónica y sus nuevas normativas recientemente aprobadas), con el fin de facilitar el acceso y la competencia en el mercado .

Otro aspecto importante y estrechamente vinculado con lo que se venía realizando bajo PSD2 es que la nueva normativa permite el acceso y uso de datos de servicios financieros por encima de los relacionados con las cuentas de pago, ampliando a ambas variantes. No sólo se mantienen todos los pilares de la anterior como la obligatoriedad de dar el control pleno sobre los datos y las finalidades de sus uso sino que ahora se establecerá un régimen más claro de responsabilidad en caso de filtraciones. 

Nuevos requisitos en Autenticación Reforzada de Clientes SCA

La PSD3 (Tercera Directiva de Servicios de Pago) introduce cambios importantes respecto a los estándares SCA y de autenticación de múltiples factores. La SCA (Strong Customer Authentication) es un requisito para verificar la identidad del cliente mediante al menos dos factores independientes (algo que sabe, algo que tiene o algo que es) antes de autorizar un pago electrónico. Este concepto se introdujo con PSD2 y se plantea reformar de una manera drástica en PSD3. La fórmula se perfila como una API común financiera de autenticación reforzada de clientes para todo el EEE, SEPA y países asociados.

Se plantean preguntas sobre las alternativas a los actuales métodos de autenticación SCA y se exploran opciones similares a lo que ya indica la FIDO Alliance. Una posible modificación es la ampliación del periodo de SCA de 90 a 180 días para reducir los retrasos.

Así, muchas de las mejoras sobre la SCA en PSD3 se centran en definir correctamente qué es un acceso 'en línea' bajo las cuentas de pago, algo que constituye la obligación de aplicar a los usuarios de servicios de pago los controles y aplicaciones de autenticación reforzada de clientes. Por otro lado y de cara la extensión del tan funcional y seguro estándar, se puede aplicar de forma global los mecanismos SCA a todas las operaciones de pago exceptuando algunos casos muy concretos pero reducidos al mínimo.

De esta forma, se piensa exigir a los AISP que apliquen sistemas de autenticación reforzada SCA propios más allá del que realicen los bancos, algo imprescindible para pasarelas de pago ágiles y sin necesidad de acudir a otro sistema externo. Esto modifica las responsabilidades de ambas partes y se haría una vez se haya verificado el acceso inicial de los primeros.

La introducción de requisitos propios para los esquemas de tarjetas, pasarelas y eCommerce serán ampliados y hechos en base a los ya definidos en SCA o los nuevos que se definan en un hipotético estándar SCA2 o SCA3.

Borrador de la Comisión Europea para la tercera directiva de servicios de pago

Por otro lado, se toma SEPA como el ámbito de aplicación y actuación principal por encima de la EEE y la UE, con un foco más versátil y adaptado a los mercados y regiones pertenecientes a este espacio. Así, podemos resumir los objetivos de la PSD3 en los siguientes:

1. Eliminar por completo el fraude de identidad y la seguridad informática en las transacciones de pagos y relacionadas gracias a la autenticación ampliada.
2. Ampliar los derechos de los ciudadanos y dar un mayor control sobre sus datos.
3. Democratizar el acceso a un ecosistema bancario más sencillo y estandarizado a bancos y entidades no bancarias que han nacido como startup FinTech y otras compañías BFSI innovadoras.
4. Transicionar del Open Banking al Open Finance no sólo mejorando su funcionamiento sino ampliando su ámbito de aplicación a toda la economía y a cualquier industria, apostando por una mejora de la competitividad a través de la diversificación.
5. Cambios sobre las disponibilidades de dinero en efectivo para todas las divisas.
6. Cohesionar y estandarizar todas las directrices y operaciones económicas en los mercados en los que aplica.

Por otro lado, y ya entrando en detalle jurídico, se incluyen nuevas definiciones se modifican algunas para optimizar su cumplimiento: desde la definición de entidad de pago o instrumento hasta los servicios de emisión de dinero electrónico o los fondos digitales. Las cifras de capital mínimo aumentan en función del ámbito de servicios prestados de la compañía.

Finalmente, los requisitos de salvaguardia se modifican con el fin de no aplicarlos a todos los fondos en la misma entidad de crédito. Esto permite mayor seguridad e impacta en una ampliación de los servicios prestados como la explotación de los sistemas de pago, otras actividades empresariales relacionadas y asegurar la ejecución de operaciones de pago como la custodia o el cambio de divisas. 

De esta manera, vemos cómo nuevos agentes, distribuidores y sucursales pasarán a regirse por las normas de PSD3, habiendo escapado anteriormente de PSD2.

Open Banking, Open Finance y embebidas: nuevos conceptos

El Open Banking es un sistema que permite a los proveedores de servicios financieros acceder a los datos e iniciar transacciones en nombre de los clientes con su consentimiento. Esto implica dos tipos de proveedores: los proveedores de servicios de información sobre cuentas (AISP) y los proveedores de servicios de iniciación de pagos (PISP).

Los AISP son entidades que pueden acceder a la información de las cuentas bancarias de los clientes y ofrecerles servicios como agregación de datos, asesoramiento financiero o comparación de productos (Fintonic, Money Up!...). Los PISP son entidades que pueden iniciar pagos desde las cuentas bancarias de los clientes a los comerciantes o a otras cuentas, sin necesidad de intermediarios como las tarjetas de crédito o débito (Paypal, Pecunpay…). Esto dio una gran agilidad a los pagos digitales gracias y junto a las técnicas SCA y otras API cómodas para los usuarios y para las empresas.

La PSD2 supuso un cambio radical en el sector financiero, ya que abrió el mercado a nuevos actores y obligó a los bancos a compartir sus datos e infraestructuras con terceros. Sin embargo, también planteó algunos desafíos, como la implementación técnica, la armonización regulatoria, la protección de datos y la prevención del fraude. Gran parte de las actualizaciones en PSD2 vs. PSD3 parte de aquí.

El Open Banking es uno de los pilares fundamentales de la PSD2 y la PSD3. El Open Finance es una extensión del Open Banking que abarca otros productos financieros además de las cuentas bancarias, como seguros, pensiones, inversiones, etc. El objetivo es ofrecer a los clientes una visión más completa y holística de su situación financiera y facilitarles el acceso a servicios más integrados y personalizados.

Por otro lado, las finanzas embebidas en PSD3 son una forma innovadora de integrar los servicios financieros en otras plataformas o aplicaciones, como redes sociales, comercio electrónico o movilidad, para lo que se necesitará de nuevo más sistemas de autenticación reforzada de clientes SCA. El objetivo es ofrecer a los clientes una experiencia más fluida y conveniente al realizar pagos o acceder a otros servicios financieros sin salir del entorno en el que se encuentran.

Fechas y pasos de aprobación para PSD3

El día 28 de junio de 2023 se produjo la emisión de un comunicado de prensa por parte de la Comisión Europea, a través del cual se anunció la promulgación de los fundamentos que sustentan los pilares conceptuales de la Tercera Directiva de Servicios de Pago (PSD3).

En relación a los plazos concernientes a la implementación de esta normativa, se vislumbra un extenso período por delante. La secuencia futura en este proceso involucra la remisión de la propuesta a los estamentos del Parlamento y el Consejo Europeo, etapa en la cual se proyecta la realización de ulteriores evaluaciones y enmiendas.

No obstante, en el presente instante carecemos de un calendario oficial que especifique los términos de aplicación y conformidad. Sin embargo, es plausible anticipar que la iteración definitiva de la proposición estará disponible hacia finales del año 2024, mientras que la imposición de los plazos de aplicación se fijará en torno al año 2026. La venidera directiva europea sobre servicios de pago entrará en vigor transcurridos veinte días desde su publicación en el Diario Oficial de la Unión Europea.

La modificación normativa que incluye la PSD3 insta a muchas empresas a emprender acciones de preparación inmediata en vista de las mutaciones regulatorias inminentes. Con la ratificación proyectada para la PSD3 estimada para el año 2024, el compás actual demanda la instauración y formulación de estrategias y soluciones innovadoras que se alineen con los fines delineados por la nueva directiva.

Los estados, regiones y mercados sujetos a la jurisdicción de la PSD3 contarán con un margen temporal de dieciocho meses desde su adopción para materializar en sus ámbitos legales y regionales cada una de las alteraciones, deberes y prerrogativas recién instituidos por la nueva norma de servicios de pago. Solo se presenta una excepción en relación a la Directiva 98/26/CE, para la cual el plazo máximo de implementación es de seis meses desde su sanción.

El punto temporal actual se encuentra en sus inicios. Se anticipa que la Comisión Europea confeccionará el marco jurídico correspondiente en el transcurso del primer o segundo trimestre del año 2024, que este reciba la aprobación pertinente y que cada nación miembro de la UE/EEE cuente con un plazo para la incorporación de dichas disposiciones en sus corpus legislativos internos. En última instancia, es improbable que la PSD3 entre en vigor antes del año 2025, o posiblemente aún más adelante. 

Cabe destacar que la adaptación por parte de las empresas a PSD3 puede hacerse desde ya, gracias al borrador facilitado por la Comisión Europea. Esto implica que pueden beneficiarse de grandes ventajas y beneficios antes de su aplicación así como evitar sanciones desde el primer momento en el que la Directiva se haga efectiva.

Una incógnita que ha suscitado el interés de muchos versa en torno a si la PSD3 constituye una directiva o una normativa, y la connotación precisa de tal clasificación. En este contexto, es relevante destacar que esta legislación no se reviste de opcionalidad, sino que se impera como una obligación ineludible para todas las entidades que realizan operaciones en los mercados EEE, SEPA y asociados. Si bien este panorama podría sugerir cierta fricción en relación a la adopción por parte de las empresas, es indispensable reconocer que la metamorfosis de ciertos procesos lleva consigo ventajas y provechos superiores al costo asociado con la implementación de las modificaciones.

Una directiva, cabe subrayar, no se reduce al estatus de una mera recomendación, sino que configura un marco directriz que los estados miembros deben transponer a sus respectivos marcos legales y con graves sanciones de no realizarse, con la creación de legislaciones concretas o la actualización de las ya existentes en la esfera socioeconómica y jurídica correspondiente. En este contexto, es oportuno constatar que los términos "Directiva PSD3" y "Normativa PSD3" ostentan un carácter sinónimo. Cabe añadir que todas las naciones involucradas ya han efectuado los procedimientos requeridos en este sentido, lo cual traduce que los objetivos normativos están en proceso de implementación y acarrean la obligación de cumplimiento para todas las empresas que operan en estos mercados y las que tienen relación con otras de estos mismos.

eIDAS, FinTech y la Payment Services Directive 3

Como avanzábamos, se espera que la Payments Services Directive 3 (PSD3) dé un impulso a los players innovadores FinTech, WealthTech, InsurTech y todas las X-Tech de otras industrias cuyo core de negocio no es necesariamente la actividad de servicios financieros. Esto llevará a la creación de sinergias con empresas del sector telecomunicaciones, utilities y otros.

La normativa eIDAS sigue aún alineada con los nuevos mandatos de PSD3, aunque se prevee que ocurra lo mismo que con PSD2 y en un futuro se haga un proceso de revisión, evaluación y actualización más allá de lo que se está trabajando actualmente en eIDAS2. Asimismo, y tras el parón del marco regulatorio del Euro Digital que se esperaba que saliera junto a la tercera generación de normativa de pagos electrónicos, veremos cómo más pronto que tarde se vuelve a trabajar en el ECOFIN para este proyecto.

Etiquetas