Este momento parecía inevitable por muchos motivos. La fecha límite para el cumplimiento de la directiva PSD2 está a la vuelta de la esquina, pero muchos bancos y proveedores de servicios de pago europeos aún se encuentran muy lejos de cumplir con los requisitos de la normativa.
A pesar de la ansiedad creada por la cercanía del 14 de septiembre, la fecha límite para la implementación, una posible moratoria de la PSD2 siempre ha sido una posibilidad. Esta posibilidad se estableció el pasado 14 de marzo, que era la primera fecha límite (si bien esta pasó sin apenas repercusión) para que los bancos implementaran sus interfaces dedicadas para que los proveedores de servicios de iniciación de pagos e información de cuentas pudieran empezar a probarlas
Cuando el 41% de los bancos incumplió con la fecha fijada, las especulaciones se convirtieron en realidad, y la industria financiera del continente se dio cuenta de lo complejo que sería en realidad implantar el Open Banking en Europa.
A pesar de que la ABE ha declarado en repetidas ocasiones que considera que ha habido suficiente tiempo desde que se emitió la primera notificación de la PSD2 en 2015, el organismo regulador también reconoce que aún existen preocupaciones legítimas acerca de si los proveedores de pago en la mayoría del Espacio Económico Europeo (EEE), el área afectado por la PSD2, están listos.
Después de la declaración realizada el pasado junio, la ABE afirmó que permitiría a algunas empresas, de forma excepcional, solicitar una prórroga para el plazo límite de la PSD2, pero solo si los proveedores contaban con el consentimiento de las autoridades nacionales competentes. Habiendo fallado en gran medida en abrir sus APIs a proveedores terceros y enfrentado requisitos urgentes para introducir la Autenticación Reforzada de Clientes que establece la PSD2 antes del 14 de septiembre, la mayoría de los bancos se han negado.
“Los nuevos requisitos de la SCA siempre han constituido una normativa compleja, ambiciosa y, en muchas maneras, ambigua,” declaró Jackie Barwell, directora de la gestión de productos de fraude en ACI Worldwide.
“La necesidad de que haya dictámenes que garanticen la correcta interpretación de la nueva normativa enfatiza esto”, añadió, en relación al informe de junio de la ABE, que clarificó que los datos de la tarjeta de crédito/débito no cuentan como elemento de autenticación para cumplir con la normativa de la SCA, al contrario de lo que muchos bancos creían y para lo que se habían preparado.
Jackie aseguró que “el hecho de que muchas empresas no puedan cumplir con los plazos fijados se debe, parcialmente, a la complejidad y a la ambigüedad de la legislación, más que a la falta de preparación de la industria”.
Prórrogas de entre 18 y 36 meses
Varios organismos reguladores financieros nacionales en toda Europa ya han tomado medidas. Con el beneplácito de la ABE, las autoridades reguladoras del Reino Unido e Irlanda han confirmado la disposición de moratorias de 18 meses, mientras que Alemania y Grecia están preparados para seguir el ejemplo.
Sin embargo, puede que esta fecha límite no sea suficiente. Siguiendo las recomendaciones de la EPSM, grupo del sector de los servicios de pago europeo, de permitir moratorias de hasta 36 meses, el organismo regulador francés Banque de France publicó un informe anual, en el que declaraba que ha creado un plan de migración con múltiples pasos con el que pretende que la gran mayoría de empresas francesas cumplan con la SCA antes de diciembre de 2020, y estima que la migración total estará completada en 2022.
La ABE ha apoyado la iniciativa de Banque de France, reafirmando que los proveedores de pago, en particular, deben satisfacer ciertas directrices adicionales para que se les conceda dicha prórroga, entre las que se incluye la presentación de un plan de migración provisional que resuma los plazos de tiempo de la empresa para cumplir con la normativa.
Y si bien es cierto que los dos puntos más delicados para cumplir con la fecha límite de la PSD2 (la apertura de soluciones de API y la introducción de la SCA) han demostrado presentar mayores complejidades de lo que se creía, no se debe poner a todas las empresas europeas en el mismo saco.
Tras la fecha límite de marzo de la PSD2, la mayoría de los principales bancos europeos han introducido entornos de prueba para los TPPs a través de sus portales de APIs. Desde junio, alrededor del 97% de los principales bancos europeos proporcionan entornos de prueba a los que se puede acceder online. Sin embargo, muchos de estos entornos no cumplen con la PSD2 ya que los productos que ofrecen son de una calidad inferior en lo que se refiere a funcionalidad, estabilidad, accesibilidad y calidad de datos.
Esto supone un problema, porque en lugar de mejorar los servicios de Open Banking mediante una mayor facilidad de acceso, muchas de estas API los degradan o paralizan completamente.
El ejemplo más claro es el acceso a los datos personales o la información adicional que contienen las cuentas de pago. A pesar de que los sistemas actuales (basados en el web scraping) permiten a los proveedores de servicios recopilar información del titular de la cuenta y los datos técnicos de la misma, la mayoría de las API bancarias no proporcionan datos personales acerca del propietario de la cuenta, porque los bancos afirman que esta información está más allá del alcance de la PSD2. Sin embargo, esta información es necesaria para muchas aplicaciones, como, por ejemplo, el análisis del riesgo crediticio utilizando la agregación de cuentas, o para verificar la identidad del emisor del pago en servicios regulados, como es el caso de las empresas de ‘money transfer’.
Debido a ello, muchos proveedores de servicios ahora son partidarios de un enfoque que les permita utilizar su tecnología actual como mecanismo de soporte en sustitución del acceso de interfaces dedicadas, pero incorporando sistemas que les permitan autenticarse frente al banco como proveedores autorizados de servicios de información de cuentas (AISP) y servicios de iniciación de pagos (PISP). Los organismos reguladores todavía están discutiendo este enfoque y no hay una resolución final sobre este asunto por el momento.
La prórroga de la fecha límite sería una solución para el problema, porque permitiría que los proveedores de servicios continuaran llevando a cabo sus actividades habituales hasta que las API de los bancos y los requisitos de la directiva estén más desarrollados y su implantación no supongan una pérdida de la calidad del servicio.
El problema de la SCA
Mientras que es sencillo monitorizar las API bancarias, puesto que como bien indica su nombre su naturaleza es “abierta” para que todos las puedan ver, los requisitos de la SCA son vistos desde el lado opuesto del espectro: el mundo encriptado de la ciberseguridad. En el momento de la redacción de este documento hay escasa información pública disponible acerca de cuáles son los pasos que los proveedores de servicios de pago y los bancos han dado ante la inminente implementación de los ahora conocidos requisitos de la SCA.
Según la plataforma que realiza el seguimiento del progreso del open banking, todavía no hay datos disponibles que ayuden a determinar en qué medida los principales bancos europeos han implementado el proceso de autenticación de doble verificación. No obstante, varios proveedores de pago han anunciado su cumplimiento con de los requisitos SCA, incluyendo Amazon Pay, Stripe y PayPal.
Conforme a la legislación de la ABE, la normativa de la SCA será aplicable cuando el banco adquiriente o el procesador y el instrumento de pago del cliente sean emitidos en el EEE, un área que incluye todos los estados miembros de la Unión Europea, así como Islandia, Liechtenstein y Noruega. Esto hace que sea más que difícil esconderse, ya que la legislación es aplicable a la mayoría de la actividad económica del continente.
Si la decisión de la ABE de emitir un dictamen en junio es interpretada como un indicio, la implementación de la SCA hasta ahora no pinta bien.
Pero es oportuno señalar que la SCA asegura tener el impacto inmediato más notable en el comercio online, y por lo tanto está garantizado que será un tema de conflicto, debate y especulación a largo plazo.
La ABE argumenta que la implementación de la SCA como medida final para la PSD2 es una causa directa del deseo de construir un mecanismo de respaldo dentro del ecosistema del open banking para impedir la escalada prevista de los ciberdelitos. De hecho, combatir el crecimiento del fraude online se ha convertido en una prioridad que es proporcional al auge del comercio electrónico mundial.
Según Euromonitor International, se estima que los consumidores de todo el mundo gastarán
$ 6,77 billones en bienes y servicios en compras online este año (lo que duplica el gasto online de hace cinco años).
Los ciberdelitos aumentan en este inmenso volumen de comercio digital porque las transacciones realizadas sin tarjetas físicas están mucho más expuestas al fraude. De hecho, Mastercard estima que el índice de fraude para las transacciones online es alrededor de 10 veces superior al que observan en las transacciones en los puntos de venta.
Puesto que el 10% de todas las transacciones de pago de consumidores en Europa se realizan a través de dispositivos digitales, y con la promesa de que dicho índice no dejará de aumentar en los próximos años, la dirección que la ABE ha tomado para imponer unas mayores medidas de autenticación en los pagos digitales tiene unos buenos argumentos.
Otro “momento RGPD”
Y a pesar de que las empresas de venta online permanecen totalmente expuestas a las pérdidas asociadas con estos ciberataques, también están preocupadas con las expectativas de la llegada de la SCA. Ha habido un pánico palpable entre los miembros de las empresas de comercio electrónico, que ha puesto en alerta a todo el continente por la llegada de “otro momento RGPD”.
Los exponentes de la optimización de la experiencia de clientes están sudando, y es que se enfrentan a la amenaza de un callejón sin salida que acabaría con el fruto de largas horas de trabajo dedicadas a la creación del embudo de ventas perfecto.
“Los comerciantes han hecho todo lo posible para optimizar el viaje del consumidor a lo largo de los años y de repente esta normativa causará más fricción”, declaró Charles Damen, vicepresidente senior de la estrategia de pagos para el procesador de pagos Worldpay.
No obstante, no expresó ningún miedo injustificado. “No creo que se vaya a producir un caos al comienzo”, aseguró Damen. Y añadió: “Lo que no se ha hecho suficientemente es, que ni los emisores ni determinados comerciantes han expresado el verdadero impacto a sus consumidores”.
Pero diversos estudios recientes afirman que hay mucho de lo que preocuparse. Un informe de junio, llevado a cabo por el proveedor de pagos online Stripe, preveía que Europa corre el riesgo de perder € 57 mil millones en su actividad económica durante los primeros 12 meses desde la entrada en vigor de la SCA. Esta pérdida está principalmente relacionada con la caída en picado prevista de la experiencia del usuario.
La mayoría de los consumidores estarán expuestos a un proceso nuevo mediante el que tendrán que introducir al menos dos nuevos elementos para la autenticación del pago, lo que, en el mejor de los casos, provocará fricciones o una verdadera crisis en la facilidad de uso.
“Puede que sea necesario que [las empresas] tengan que adaptarse al comienzo porque la primera vez podría no ser intuitivo y puede presentar interrupciones,” afirma Gilberto Caldart, presidente de mercados internacionales para Mastercard.
Es probable que se conceda una moratoria sobre la fecha límite de la entrada en vigor de la PSD2, para conceder unos plazos de tiempo más extensos y permitir que las empresas online y proveedores de pago se organicen y se preparen para cumplir con la oleada final de regulaciones sobre el open banking, de una vez por todas. Nadie puede decir que no se les ha advertido.