Este sábado ha entrado en vigor la nueva normativa europea conocida como PSD2 para mejorar la seguridad de los pagos en internet, que obligará a partir de ahora a reforzar los requisitos de identificación del consumidor, que necesitará disponer de un teléfono móvil para poder operar.

Según indicó esta semana la Comisión Europea, una vez este nuevo marco esté plenamente operativo en la UE, los consumidores se beneficiarán de un entorno de pagos online "más seguro y fácil". A pesar de entrar este sábado en vigor, su implantación se hará de manera gradual.

La norma se conoce como PSD2 por sus siglas en inglés Payment Service Directive, y supone una actualización de la primera directiva PSD que se creó en 2007.

Esta nueva regulación permite mejorar la seguridad en los pagos online, lo que obligará a que los proveedores exijan al menos dos elementos para verificar la identidad del comprador, a elegir entre algo que el cliente sepa (como un código PIN), algo que posea (la tarjeta de pago física) o algo que "sea" (como su huella dactilar o rasgos faciales).

Durante una transacción, una vez que el usuario ha realizado los pasos descritos anteriormente, se generará un código de autenticación de un único uso, que aumentará la seguridad en las transacciones y que deberá cumplir con los siguientes requisitos: no revelará ningún tipo de factor de autenticación utilizado durante la transacción, y no se podrá generar un nuevo código válido a partir de otro existente, es decir, su falsificación no será posible.

La doble autenticación no será obligatoria siempre y habrá una tregua de 90 días a cada cliente. De esta forma, y según marca el Reglamento Delegado 2018/389, el segundo paso de seguridad solo será necesario la primera vez que se acceda a la cuenta y no volverá a pedirse hasta pasados 90 días de ese primer acceso.

Todos los proveedores tendrán que demostrar que han implementado, probado y auditado estas medidas de seguridad, de modo que, en caso de un pago fraudulento, los consumidores tendrán derecho a un reembolso completo.

Asimismo, los nuevos estándares técnicos obligarán a los bancos a crear plataformas de comunicación para garantizar el acceso de terceras partes, en particular de las empresas de finanzas tecnológicas conocidas como fintech, a los datos bancarios de sus clientes de forma fácil y segura.

Para la realización de estos pagos online será indispensable contar con un smartphone que soporte las últimas versiones de las aplicaciones bancarias y que tenga espacio suficiente para instalarlas, ya que muchos bancos como ING obligarán al cliente a descargar su app mientras que otras entidades como Santander o BBVA requerirán una clave de acceso y un código recibido por SMS. Esto puede implicar, además, el fin de las tarjetas de coordenadas.

Por un lado, la autentificación permitirá combatir el fraude al hacer los pagos electrónicos más seguros, y por otro, las nuevas reglas facilitarán la entrada de nuevos operadores en el mercado de servicios de pago.

Además, la nueva norma prevé poner fin a la técnica del scraping que utilizan hoy las fintech para acceder a la información bancaria, y que consiste en obtener los datos a partir de la lectura de la interfaz del banco que ve el cliente y que genera problemas de seguridad.

La entrada en vigor de la nueva directiva supondrá acciones mínimas en aquellos comercios online que, actualmente, ya tengan implementado un sistema de autenticación reforzada o de doble factor de autenticación.

Por el contrario, aquellos negocios online que no cuenten con un sistema de autenticación reforzada en sus pagos deberán adaptar la pasarela de pago a la nueva directiva, y así provocar que sea obligatoria la autenticación reforzada. Para ello, deberán ponerse en contacto con el proveedor de la pasarela de pago y realizar el proceso de migración hacia este nuevo sistema más seguro y de obligado cumplimiento.

Todavía no hay una fecha marcada en el calendario. Tras la moratoria concedida por el Banco de España, la norma entrará en vigor más adelante. Según Bruselas, los nuevos requisitos "serán introducidos de manera gradual y algunos países están más avanzados que otros en ese ámbito".