El sector bancario está cambiando radicalmente y en gran parte se debe a la nueva directiva de servicios de pago de la Unión Europea, la PSD2.
En términos sencillos, la PSD2 obliga a los banco a renunciar a su monopolio sobre los datos de las cuentas bancarias de los consumidores, permitiendo a terceros proveedores de servicios (conocidos como TPPs) acceder a esta información siempre que cuenten con el consentimiento del consumidor.
En otras palabras, las llaves a una enorme cantidad de datos muy valiosos estarán ámpliamente disponibles.
El mensaje que lanzan las instituciones con esta directiva es claro, pues uno de sus objetivos es impulsar la innovación y la competencia en el sector bancario.
Esto dibuja un futuro cercano en el que Facebook, Google, empresas FinTech e incluso las operadoras de telecomunicaciones comenzarán a invadir el territorio de los bancos para ofrecer pagos de facturas, transferencias de dinero P2P y muchos otros servicios financieros adyacentes. Estas nuevas compañías cambiarán la forma en que se gestionan las cuentas de empresa para siempre.
Por lo tanto, la PSD2 marca un hito en la historia de las finanzas al delimitar dos periodos claramente diferenciados: de un lado, la época pre-PSD2, en la cual los bancos disfrutaban de un coto privado y solo competían entre sí; del otro, el periodo actual en cual deben competir no solo con otros bancos si no también con TPPs y otros proveedores que ofrecen soluciones financieras inteligentes.
Para entender mejor el nuevo entorno que crea la PSD2, hemos creado una sencilla guía con algunas de las preguntas más frecuentes sobre la directiva y su impacto sobre el futuro del sector bancario:
- ¿Cómo afectará la PSD2 a los bancos?
- ¿Cómo afectará la PSD2 a los consumidores?
- ¿Son la PSD2 y el Open Banking lo mismo?
- ¿Cuándo toma efecto la PSD2?
- ¿Cuál es el origen de la PSD2?
- ¿Qué deben hacer las empresas para cumplir con la PSD2?
- ¿Qué viene después de la PSD2?
¿Cómo afectará la PSD2 a los bancos?
A consecuencia de la PSD2, los bancos tradicionales perderán muchas de las ventajas de las que han disfrutado hasta ahora. Estos no solo gozan de enormes reservas de capital, sino que tienen acceso a un enorme volumen de datos de sus clientes.
Estos datos transaccionales son valiosos porque pueden usarse para vender a sus clientes productos y servicios bancarios. Ser los propietarios exclusivos de esta información ha sido una gran ventaja para los bancos porque eran los únicos que tenían visibilidad de los datos financieros de sus clientes, como depósitos de sucesiones, historial crediticio o préstamos bancarios.
Sin embargo, la PSD2 es quizás uno de los desafíos más importantes a los que se enfrentan los bancos en esta década porque eliminará su monopolio sobre los datos. Esto abre las puertas a una nueva ola de competencia desde múltiples direcciones. A su vez, veremos un cambio estratégico y operativo en los bancos a medida que trabajan para adaptarse a un ecosistema financiero en el que tienen que compartir bases de datos con innumerables nuevos actores.
Este escenario de mayor competencia genera la necesidad de que los bancos inviertan en laboratorios de innovación y establezcan colaboraciones con los TPPs. Los bancos también deberán invertir en nuevos requisitos de seguridad y la infraestructura para abrir sus APIs para compartir datos transaccionales de forma segura.
El potencial disruptivo de la PSD2 exige una evaluación clara de los riesgos. Si no se implican, los bancos tradicionales corren el riesgo de volverse irrelevantes dentro del nuevo ecosistema financiero.
¿Cómo afectará la PSD2 a los consumidores?
Con la PSD2, los clientes tendrán muchas más servicios bancarios de los que escoger gracias al aprovechamiento de sus datos por parte de los TPPs para crear soluciones más inteligentes.
Gracias al acceso a los datos transaccionales de los clientes, muchas barreras de entrada al mercado caerán. Actores no-bancarios podrán competir con aquellos que sí lo son, y la demanda de servicios innovadores y cada vez más digitalizados aumentará. Una de las consecuencias más probables es que muchos consumidores pasarán a usar una colección de servicios bancarios y financieros de distintos proveedores en vez de depender de un proveedor bancario único.
Este aumento de la diversidad vendrá habilitado por dos nuevas figuras que aparecen con la PSD2, AISPs (Account Information Service Providers, proveedores de servicios de información de cuentas) y PISPs (Payment Initiation Service Providers, proveedores de servicios de iniciación de pagos).
Los AISPs son aquellas empresas que tienen licencia para usar la API de un banco para agregar información de cuentas bancarias para ofrecer servicios basados en la inteligencia financiera del cliente. Un ejemplo es el Motor de Agregación de Cuentas de Unnax. Las aplicaciones de gestión de finanzas personales (conocidas como PFMs) son un buen ejemplo de la agregación bancaria aplicada al uso común.
Los PISPs son aquellas empresas que ejecutan pagos mediante transferencia bancaria directa desde la cuenta del cliente. En vez de pagar con tarjeta de crédito o logueándote en tu banca online para hacer una transferencia manual, los PISPs usan soluciones como el Motor de Iniciación de Pagos de Unnax para hacer el pago directamente peticionando a la API del banco. El cliente tan solo debe dar su autorización y facilitar sus credenciales de pago y la transacción se ejecuta al momento a través de la infraestructura tecnológica del banco.
¿Son la PSD2 y el Open Banking lo mismo?
No exactamente. En este contexto, el concepto de “Open Banking” generalmente se refiere a la iniciativa Entidad de Implementación de Banca Abierta (Open Banking Implementation Entity) que fue creada por la Autoridad de Mercados y Competencia del Reino Unido (CMA) para promover un futuro de servicios financieros alimentado por datos abiertos. Este reglamento de Open Banking hizo obligatorio que los nueve proveedores de cuentas corrientes más grandes del Reino Unido abrieran el acceso a la información sobre pagos, cuentas y facturas de los consumidores en una interfaz común para los TPPs. Los bancos Británicos disponían de hasta enero de 2018 para acometer estos cambios y todos lo lograron. Además, esta iniciativa de Open Banking solo se aplica en el Reino Unido.
La PSD2 llega más tarde, es mucho más amplia, y afecta a todos los proveedores de cuentas de pago en la UE, incluido el Reino Unido. Bajo la iniciativa Open Banking del Reino Unido, los nueve bancos más importantes del Reino Unido tuvieron que implementar una única plataforma abierta para ver los datos de los clientes, como una API abierta. La PSD2 se edifica encima de la iniciativa Open Banking, lo que permite que el movimiento se extienda. Su radio de acción es más grande, pues están incluidos los proveedores de pagos y cuentas corrientes, así como más seguro gracias a las enmiendas sobre la prevención del fraude. Sin embargo, la directiva no establece parámetros concretos de la forma en que lo hizo el proyecto Open Banking en Reino Unido. En su lugar se deja a la discreción de los estados miembros decidir sobre los detalles técnicos para adaptar la normativa a la legislación de cada uno.
Esto significa que los bancos del Reino Unido seguirán teniendo que cumplir con la PSD2, respetando las decisiones de la Comisión de la UE sobre los Estándares Técnicos Regulatorios (RTS), incluida la autenticación reforzada de clientes (SCA) y la comunicación segura. Actualmente, el Grupo de Berlín está financiando activamente un grupo de trabajo llamado NextGenPSD2 para identificar y resolver los mayores desafíos de implementación, SCA y servicios de iniciación de pagos, a través de un Marco de Acceso a la Cuenta (XS2A).
¿Cuándo toma efecto la PSD2?
La PSD2 fue adoptada el 12 de enero de 2017, disponiendo los estados miembros de un periodo de un año para transponer la directiva la legislación nacional y garantizar que los bancos nacionales cumplieran con esta, hasta el 18 de enero de 2018.
Sin embargo, la implementación no ha sido todo lo fluida que se deseaba. Pasada la primera fecha límite para el cumplimiento de la PSD2, en marzo de 2019, menos de la mitad de los bancos europeos (41%) cumplen con la directiva según un estudio de la Fintech sueca Tink.
La próxima fecha señalada en el calendario de la PSD2 es el 14 de septiembre de 2019, cuando vence el periodo de transición para adaptarse a la directiva y los bancos y TPPs deben estar listos para cumplir completamente con esta.
En este momento, debido a los problemas enfrentados durante la primera fecha límite, incluso los bancos que cuentan con grandes recursos siguen teniendo dificultades para implementar las tecnologías, la seguridad y las revisiones estructurales que se les exigen. El incumplimiento continuo de cumplir con los plazos adicionales obstaculizaría el movimiento Open Banking, ya que las TPP no podrán ofrecer sus servicios en plenitud mientras sigan esperando la oportunidad de acceder a las API de los bancos.
¿Cuál es el origen de la PSD2?
Como sugiere el nombre, la PSD2 es la segunda versión de la directiva de medios de pago de la UE. La directiva original fue adoptada en 2007 con el objetivo de crear un marco común para los pagos electrónicos y digitales de todo en toda el Area Económica Europea (que incluye a Noruega, Islandia y Liechtenstein).
Bajo la directiva original, los proveedores de servicios de pago enfrentaron nuevas regulaciones que los obligaban a informar a los usuarios sobre sus derechos, afectando a las transferencias de crédito, débitos directos, pagos con tarjeta y pagos móviles y en línea.
Tal vez lo más innovador fueron las reglas que establecieron la Zona Única de Pagos en Euros (Single Euro Payments Area, SEPA), que ahora permite a los clientes y empresas realizar pagos en euros en las mismas condiciones en la zona euro.
Desde la introducción de la PSD, muchos proveedores de servicios de pagos y afines han estado operando más allá del ámbito de la regulación. Esto motivó a la Autoridad Bancaria Europea (EBA) a tomar cartas en el asunto y actualizar la normativa para crear un marco más exhaustivo que cubre a empresas Fintech y establece las guías para un mercado digital único, dando lugar a la PSD2.
¿Qué deben hacer las empresas para cumplir con la PSD2?
Para cumplir con la PSD2, las empresas deben cumplir con la última revisión de los Estándares Técnicos Regulatorios (RTS), establecidos por la Comisión de la UE el 18 de marzo de 2018. La legislación incluye una lista de nuevas medidas de seguridad y normas técnicas que deben cumplir los bancos.
Uno de los temas que ha generado mayor debate en torno a las RTS es el cumplimiento de la normativa de autenticación reforzada de clientes (Strong Customer Authentication, SCA). En pocas palabras, SCA requiere que los bancos agreguen nuevas capas de autenticación cuando los clientes realicen compras en línea. Por ejemplo, anteriormente, los clientes simplemente ingresaban su número de tarjeta y el código CVC para hacer una compra. Bajo la PSD2, eso ya no es suficiente.
Para cumplir con el SCA, los bancos han comenzado a implementar un protocolo de seguridad mejorado llamado 3D Secure, que se lanzó por primera vez a principios de la década de 2000. Con esta herramienta, será más fácil para los bancos recopilar la información requerida por SCA en el momento de la transacción.
¿Qué viene después de la PSD2?
La PSD2 representa el primer paso en la creación de un mercado digital único en la Unión Europea. Se basa en la nueva percepción pública de la privacidad del cliente, incluidos los movimientos de datos abiertos y GDPR, e inculca una mayor adherencia a las mejores prácticas en las medidas antifraude para luchar contra las crecientes amenazas de delitos informáticos.
Quizás lo más importante es que la PSD2 crea un nuevo reglamento del cual pueden beneficiarse empresas de todos los tamaños y orígenes, en forma de acceso a datos valiosos. Por lo tanto, podemos decir que es sin duda el futuro del Fintech.