Paula De Biase, Juan López-Frías, Cristina Villasante, Eduardo Nebot, Jaime Rossi, Xavier Foz, Carlos Sáiz, Carolina Rodríguez
La PSD2 va a traer grandes cambios a los pagos online. El más significativo, un cambio en la propiedad del dato bancario, que pasa de pertenecer al banco a ser propiedad del propio cliente, que puede cederlo a terceros para recibir determinados servicios. Este nuevo escenario de compartición de datos inaugura lo que se conoce como ‘Open Banking’, un nuevo paradigma en el mundo de la banca de consumo que trae consigo una multitud de nuevos productos y servicios digitales basados en las tecnologías de agregación bancaria e iniciación de pagos que forman el núcleo de la PSD2.
Para conocer el impacto que tendrá la PSD2 sobre las empresas desde una perspectiva legal, hemos consultado con expertos de algunos de los despachos de abogados más importantes de España.
Paula De Biase, Responsable de Regulación y Servicios Financieros, Pérez-Llorca
La trasposición tardía de PSD2 en España ha dejado el sector en cierta desventaja en comparación con otros proveedores europeos, que han podido tramitar sus licencias con mayor antelación, y ya pueden beneficiarse del “pasaporte” para prestar servicios en otros países.
No obstante, es importante reconocer que en ciertas materias que la PSD2 permitía opción nacional sobre su implementación, España ha adoptado el camino que otorga más flexibilidad al sector, salvo en cuanto a la equiparación de la microempresa a los consumidores en ciertos derechos que les son aplicables.
En este sentido, la gran novedad es la excepción de una autorización como entidad de pago, exigiéndose solamente un registro simplificado, para la prestación de servicios de pago (distintos a AIS y PIS) que limiten sus operaciones a €3 millones mensuales (media de los últimos 12 meses), algo que podría dar más juego para nuevas Fintechs y start-ups que el famoso “proyecto de sandbox”.
Carlos Sáiz, Responsable de Riesgo y Compliance, ECIX Group
La normativa conocida como PSD2 está teniendo un impacto importante en el sector financiero y los proveedores de servicios de pago. Los primeros beneficiados son los consumidores, ya que lo que pretende esta norma es fomentar la competencia y la innovación, así como fortalecer los requisitos de seguridad de los pagos on line. En este sentido, se presentan dos importantes retos para las entidades financieras:
El primero es la apertura que deben realizar los bancos, permitiendo el acceso a terceras entidades (terceros proveedores de servicios de pago) a las cuentas de sus clientes. Todo ello representa la necesidad de implantar protocolos que equilibren el cumplimiento de este requisito normativo de transparencia y apertura, con la necesaria protección de los datos personales e información financiera de sus clientes, al hilo del Reglamento General Europeo de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales.
El segundo es la implantación de rígidas medidas de protección y seguridad en los sistemas de información para garantizar los pagos, así como los derechos de los clientes, debiendo las organizaciones afectadas adecuar sus políticas de ciberseguridad, realizar análisis de riesgos, dotarse de procedimientos de detección y notificación de posibles brechas de seguridad, etc.
Xavier Foz, Socio de Derecho Bancario y Financiero, Roca Junyent
La PSD2 da carta de naturaleza al fenómeno llamado “open banking” que conmina a los bancos a abrir a terceros sus infraestructuras de pago y su información de cuentas de clientes con el consentimiento de éstos.
En cuanto a las empresas, es de destacar que se extiende la protección prevista para los consumidores a las microempresas (aquellas que tienen menos de 10 trabajadores y una facturación anual inferior a 10 millones de euros).
Además, es probable que el entorno de datos abierto que favorecerá PSD2 cambie los criterios de concesión de financiación, ya que las entidades financieras podrán disponer de más información de las empresas.
Carolina Rodríguez, Asociada Principal, Finreg 360
Desde el punto de vista legal y regulatorio, pueden destacarse dos impactos del nuevo modelo Open Banking bajo la normativa PSD2.
El primero más formal relativo a la adaptación de los contratos de prestación de servicios de pago al nuevo nuevo régimen (e.g. las obligaciones de información, cuantía de responsabilidad del ordenante en caso de operaciones de pago no autorizadas, autenticación reforzada), así como, las modificaciones necesarias en los términos y condiciones de las cuentas de pago para permitir el acceso por iniciadores y agregadores a la información de la cuenta de pago, así como la portabilidad de la información.
El segundo, de mucho mayor impacto en los modelos de negocio, relativo a regular, de acuerdo con el marco normativo de PSD2 y el nuevo reglamento de protección de datos, el uso y la explotación de los datos de los usuarios de los servicios de pago, para mejorar los servicios y productos que se les presentan, así como para la promoción de nuevas líneas de servicios y productos
Juan López-Frías, Asociado Senior, Garrigues
El objetivo primordial de PSD2 consiste en el establecimiento de unas reglas comunes encaminadas al desarrollo del mercado único de pagos en la EU sobre la base de las nuevas tecnologías, fomentando la interoperatividad de los participantes en el mismo como demanda esencial del proceso de digitalización creciente que experimenta el sector financiero en los últimos tiempos.
Facilitar y mejorar la seguridad en el uso de sistemas de pago a través de Internet y reforzar el nivel de protección al usuario en este ámbito es su gran reto. Como novedad, la creciente innovación digital ha propiciado la aparición de dos nuevas figuras.
Nos referimos a los agregadores de información y a los iniciadores de pago, que ofrecen a sus clientes soluciones novedosas de interconexión con los participantes del mercado de pagos, lo que aporta un indudable valor añadido que beneficia tanto a éstos como al conjunto de la sociedad
Cristina Villasante, Manager, Ecija
Podríamos decir que las principales novedades de la nueva directiva es que introduce dos nuevas figuras, (i) los proveedores de servicios de agregación de información sobre cuentas, por el que los usuarios pueden acceder a la información de las cuentas de pago abiertas en otras entidades, así como a las operaciones de pago asociadas a las misma y (ii) los proveedores de servicios de iniciación de pagos, que permiten a los usuarios de servicios de pago iniciar y ordenar pagos desde las cuentas que estos tienen contratadas con otros proveedores de servicios de pago.
Además, a partir del 14 de septiembre de 2019, los gestores de cuentas, las entidades bancarias, estarán obligados a disponer de interfaces de acceso específica mediante las que estos nuevos proveedores de servicios de pago puedan comunicarse de forma segura para iniciar órdenes de pago o para recibir información sobre las cuentas de pago designadas por los usuarios.
De esta forma, por un lado, a las entidades bancarias tradicionales se les abre la posibilidad de ofrecer nuevos modelos de negocio a sus clientes mediante, por ejemplo, los servicios de agregación financiera. Sin embargo, por otro lado, supone la entrada en el mercado de los servicios de pago nuevos players que podrán competir con la banca tradicional en relación con estos servicios. Gigantes tecnológicos, como Google, ya han dado un paso adelante consiguiendo la licencia para operar como proveedor de servicios de pago y posicionándose, así como un claro competidor de la banca tradicional en los servicios de pago.
Eduardo Nebot, Socio de Derecho Mercantil, Rousaud Costas Duran
La norma obliga a que los bancos den acceso a cuentas de pago de sus clientes a otras empresas que operan en el mercado (principalmente Fintech especializadas en servicios de iniciación de pagos y agregación de información sobre cuentas) y que confirmen disponibilidad de fondos en la cuenta del ordenante del pago.
Además, la PSD2 dotará de mayor seguridad a los usuarios, obligando a la industria de los servicios de pago a reforzar sus medidas internas bajo la supervisión del Banco de España, e intensificar los mecanismos de autentificación reforzada de clientes, para evitar fraudes en operaciones de pago, desarrollando factores de autentificación como el reconocimiento facial, con todas las derivadas que ello comportará desde el punto de vista legal y de tratamiento de datos.
Adicionalmente, establece la obligación de que dispongan de un servicio de atención al cliente y de acudir a la entidad de resolución alternativa cuando se presenten quejas y reclamaciones.
Jaime Rossi, Counsel, Fieldfisher Jausas
El Real Decreto-ley 19/2018 establece, entre otras novedades y con el objetivo de dotar de una mayor protección a los datos de los consumidores, la regulación de dos nuevos servicios de pago: la iniciación de pagos y la información sobre cuentas, que en ambos casos suponen el acceso de terceros a las cuentas de los usuarios de servicios de pago.
Asimismo, sujeto a ciertas excepciones, las entidades de pago deberán ser autorizadas por el Banco de España y estar inscritas en un registro especial. Además, las entidades prestadoras de los servicios de iniciación de pagos y/o información sobre cuentas deberán tener un seguro de responsabilidad civil profesional.
Sin duda, la implementación de estas novedades va a fomentar la innovación tecnológica y a incrementar la seguridad de los pagos y la competencia del sector.
Si quieres aprender más sobre la PSD2 desde una perspectiva técnica y regulatoria, no puedes perderte el vídeo de nuestro webinar PSD2: Requisitos regulatorios en un nuevo entorno en los servicios de pago, que organizamos junto al despacho Finreg360. Puedes acceder al vídeo en el siguiente enlace.