PSD2: Així són les noves normes de pagament en línia

PSD2: Així són les noves normes de pagament en línia

Des de començament d’any hi ha una nova manera de pagar a Internet arran de la Directiva per als serveis de pagament (Payment Services Directive, PSD2, per les seves sigles en anglès). Els canvis en les compres de productes i la doble autenticació dels usuaris volen donar més garanties en els dos extrems del procés de compra.

Què és la PSD2

La Directiva per als serveis de pagament –llançada el 2007 i revisada el 2013, per això el “2”– va néixer amb l’objectiu de desenvolupar un mercat únic de pagaments a la Unió Europea (UE) i d’unificar el sistema de serveis de pagament electrònic entre països, bancs i proveïdors. Aquesta llei, transformada en normativa a Espanya mitjançant el Reial decret llei 3/2020 del 4 de febrer, ha entrat en vigor progressivament. Se sustenta, entre molts altres aspectes, en dos canvis que protegeixen comerciants i compradors:

1. Doble autenticació. Per a processar qualsevol pagament, és obligatori que les entitats en reforcin la seguretat, exigint als clients almenys dues formes d’identificació quan fan una compra en línia.
2. Productes a granel. Es regula la venda d’aquest tipus de productes perquè no hi hagi sorpreses amb el preu.

Quan el preu final no és clar

L’aplicació de la PSD2 en el comerç electrònic s’ajusta com un guant a gairebé totes les situacions. En aquest gairebé entren els productes frescos que es venen al tall, al pes o a granel, ja que, a partir d’ara, la botiga no podrà cobrar un import més alt que l’autoritzat pel client.

Quan comprem unes sabates o un televisor, per exemple, no hi ha cap problema, ja que l’import no canvia entre la sol·licitud del producte i l’enviament. Però la cosa canvia si parlem de mercaderies en què el preu depèn de la quantitat, si pesen uns grams més o menys, o se substitueix per un altre producte.

En aquests casos, davant la impossibilitat de concretar un import exacte en el moment de la compra en línia, alguns comerços sol·licitaran al client l’autorització d’un petit percentatge: un 5% addicional a l’import del “total carretó”. Si es produeixen petites variacions en l’import final que es cobra el dia del lliurament, això permetrà a la botiga ajustar el preu després de pesar-lo i calcular l’import real de la compra a partir de la comanda per a tramitar després el pagament real, segons el pes exacte dels productes lliurats.

Aquests productes sortiran més cars?

No, en absolut. Continuarem pagant exactament el que comprem. No estem autoritzant el comerç a fer una reserva de diners o a cobrar-nos per endavant res que després ens retornarà. Només és una autorització amb la qual ens assegurem que el comerç ens pot servir el que hem demanat, fins i tot si la quantitat (i, per tant, el preu) varia lleugerament. És a dir, no ens cobraran res fins al dia del lliurament de la comanda, i l’import que es cobri serà el corresponent a la quantitat lliurada. Es tracta d’un mecanisme que estableix que cap de les parts no es trobi amb la sorpresa desagradable de carregar un cost que no li correspon.

Com i on canvia la manera de pagar amb targeta a Internet

A més del canvi en el pagament de productes al pes o a granel, amb la PSD2 ens beneficiarem d’un comerç en línia molt més segur dins de la Unió Europea. Fins ara, cada país tenia la seva normativa i, a més, els bancs i els proveïdors feien servir els seus sistemes, més o menys segurs, per a autenticar la identitat de l’usuari.

En la pràctica, per a comprar per Internet només calia aportar dades com el nom del titular i el número de targeta, la data de caducitat i el codi CVV (els tres dígits que hi ha al revers), i rebíem un codi SMS al mòbil per a autoritzar l’operació. Això podia suposar que, si algú ens robava aquestes dades o aconseguia l’usuari i les contrasenyes del nostre compte bancari, podria comprar en el nostre nom a l’instant de manera fraudulenta o, fins i tot, fer transferències.

Amb aquesta normativa, és obligatori que l’usuari s’identifiqui dues vegades. És l’anomenada autenticació en dos passos (Two Factor Autentication, 2FA, per les seves sigles en anglès) o autenticació reforçada del client, tant per als pagaments en línia com per a accedir al nostre banc.

Qui decideix la forma d’identificació?

El banc o l’entitat emissora de la targeta o el sistema de pagament en línia és responsable d’establir quins dos factors seran els que se sol·licitaran, com a mínim. Segons el que anuncia la immensa majoria, si bé el telèfon mòbil no és necessàriament obligatori, serà el dispositiu protagonista i recomanat per a autoritzar els pagaments en línia.

La situació més habitual que ens trobarem quan comprem en qualsevol web o aplicació serà que, després d’introduir les dades de la targeta, passarem a un entorn segur que es genera entre el comerç i el banc, on ens sol·licitaran un codi que ens arribarà per SMS o per una notificació de l’aplicació de la nostra entitat bancària. Això pot ser que se sumi –o se substitueixi, si el nostre mòbil ho permet– per la identificació biomètrica (empremta dactilar, reconeixement facial, iris…) mitjançant els sensors del dispositiu.

El sistema, d’aquesta manera, garanteix que, encara que perdem les dades de la targeta o fins i tot les claus, o ens les robin, serà impossible que les puguin fer servir per a comprar o entrar a les nostres dades bancàries a través d’Internet, ja que l’impostor mai no rebrà el codi ni aportarà un perfil biomètric vàlid.

La directiva té altres avantatges per a l’usuari i consumidor: en cas de disputa, serà el subministrador del servei de pagament qui haurà de demostrar que l’operació s’ha fet comptant amb l’autorització pertinent i que l’execució ha estat la correcta. D’altra banda, es limita la responsabilitat dels usuaris que siguin víctimes d’operacions fraudulentes només a 50 euros, enfront dels 150 euros que calia assumir de cost fins ara.

Com afecta a PayPal i a passarel·les similars

La PSD2 vol crear un marc homogeni i de competència justa en el mercat de pagaments europeu. Així, els bancs ara ja estan obligats a obrir els seus sistemes per a col·laborar amb tercers –el que s’ha anomenat “OpenBanking ”–, i els proveïdors de serveis de pagament com ara PayPal, Apple Pay, Google Pay o AliPay també estan obligats a protegir els pagaments dels usuaris amb sistemes de doble autenticació, i no només amb un simple nom d’usuari i contrasenya, com fins ara. A més, també han d’aportar entorns segurs als comerços que accepten el seu mitjà de pagament i assumir les noves responsabilitats i conseqüències que marca la llei per al seu negoci davant de possibles negligències i fraus.

Hi ha algun pagament que es quedi fora?

La Directiva per als serveis de pagament (PSD2) disposa d’alguns supòsits on potser no calen dos sistemes d’autenticació per a fer pagaments en línia o, almenys, no tots en tots els casos. Ara bé, el banc del titular de la targeta serà qui decideixi si accepta una d’aquestes exempcions o no:

• Imports inferiors a 30 euros. Encara que en poden estar exempts en alguns casos, cada cinc vegades ens tornaran a sol·licitar la doble autenticació.
• Subscripcions d’import fix. Per exemple, quan ens subscrivim a serveis com Netflix, que ens carreguen mensualment la quota. En aquest cas, només caldrà l’aportació de la doble autenticació de l’usuari una vegada.
• Transaccions iniciades pel comerciant. Per exemple, cobraments de pagaments endarrerits, subscripcions amb import variable o facturació d’extensions sempre autoritzats per l’usuari en primera instància.
• Vendes telefòniques
• Pagaments corporatius. Per exemple, despeses de viatges o dietes on es faci servir una targeta de prepagament o un compte corporatiu.
• Entitats de confiança. Quan autentifiquem un primer pagament amb alguna empresa, els clients poden tenir l’opció d’incloure-la en una llista de “beneficiaris de confiança” o “llista blanca”, custodiada pel banc o el proveïdor de pagaments, si ofereixen aquesta opció, per no haver de tornar a fer tot el procés en compres futures.

En definitiva, comprar per Internet dins de la Unió Europea és molt més segur i fiable des d’enguany. I aquest matís és important, ja que la PSD2 i les lleis que en deriven són aplicables per a tots els països membres i els bancs i proveïdors de serveis de pagament que hi operen. Si fem servir mitjans de pagament externs o comprem en un web que no està localitzat dins de la UE, no es podrà garantir el mateix nivell de seguretat en les nostres operacions.

Quina informació ens poden demanar per a demostrar la nostra identitat

Els sistemes 2FA (Two Factor Autentication, per les sigles en anglès), que ja s’utilitzen i es desenvolupen des de fa anys en molts serveis en línia, es basen en un imperatiu: aportar en cada operació dos dels tres elements que permeten garantir la identitat de l’usuari.

Alguna cosa que només tingui l’usuari (“element de possessió”). Serien vàlids un telèfon mòbil on es pugui rebre un SMS amb un codi d’un sol ús, una targeta o un dispositiu la possessió del qual es demostri mitjançant l’escaneig d’un codi QR o d’una targeta llegida per un lector de targetes. No serviran elements com una aplicació mòbil, les dades de la targeta o una targeta de coordenades.

Alguna cosa que només conegui l’usuari (“element de coneixement”). Per exemple, una contrasenya, un codi PIN o una frase o preguntes la resposta de les quals només sap l’usuari. Queden descartats elements com un correu electrònic, el nom de l’usuari o les dades d’una targeta (número, data de caducitat o CVV).

Alguna cosa que formi part de l’usuari (“element inherent”). Les característiques biomètriques de l’usuari que el permeten identificar-se: iris o retina, empremta dactilar, patró de venes, reconeixement per veu, geometria de cara i mans o dinàmica d’escriptura. Aquesta definició exclou el patró de lliscament per tecles com el que es fa servir per a desbloquejar alguns telèfons.