A pesar de no haber aún fecha específica, los agentes implicados por la nueva directiva esperan en 2025 su entrada en vigor y ponen el foco en poner en marcha los recursos y medidas necesarias para su cumplimiento.
Qué es la PSD3
La Payment Services Directive 3 (PSD3) es una revisión de la anterior directiva (Payment Services Directive 2 o PSD2) realizada en 2022, aprobada por la Comisión Europea en 2023 y aprobada por el Parlamento Europeo en 2024. A pesar de no tener fecha específica de entrada en vigor, se estima que ésta tenga lugar este año o el próximo.
Si la PSD1 (adoptada en 2001) tenía como objetivo establecer un marco legal harmonioso para la creación de un mercado de pagos europeo integrado y la PSD2 establecer las normas para todos los pagos minoristas, euro y no euro, nacionales y transfronterizos, la PSD3 nace de la necesidad de evaluar si la directiva vigente es suficiente tras el crecimiento de los pagos electrónicos, disparado durante el COVID-19, y el avance en innovación y desarrollo tecnológico de los recientes años, que tiene especial impacto en el sector financiero (pagos contactless, pagos instantáneos, etc.).
Tras la evaluación realizada en 2022, se llegó a la conclusión que la PSD2 había obtenido resultados positivos en áreas como la prevención del fraude con la implementación de la Strong Customer Authentication (SCA), así como el incremento en eficiencia, transparencia y posibilidades de elección relativas a los instrumentos de pago de los consumidores, o el Open Banking. Sin embargo, quedaba coja en otras áreas, como el acceso a sistemas de información clave para los perfiles emergentes y en aumento de proveedores no financieros, como proveedores de servicios de pago no financieros, proveedores de servicios de información o proveedores de servicios de iniciación de pago.
Especial foco en el fraude online
A pesar de la implementación de la Strong Customer Authentication (SCA), el fraude online ha encontrado en los últimos años nuevas tácticas para superar esa barrera, como las ya muy habituales técnicas de ingeniería social y suplantación con las que consiguen que los propios usuarios cedan datos sensibles a terceros, datos que les permiten acceder a sus cuentan, realizar pagos con sus tarjetas o autorizar cargos a través de sistemas de envío de dinero. Por lo que la PSD2 ha quedado obsoleta en este terreno.
Más allá de la problemática evidente (el delito), se le suma el hecho de que toda responsabilidad recae sobre el usuario. Como casos recientes han puesto sobre la mesa, los ciberdelincuentes cuentan con información de las víctimas susceptible de ser imputada a robo de datos de la entidad bancaria, además de técnicas como el Caller ID spoofing, es decir, el número que aparece en el marcador de la llamada fraudulenta es idéntico al número legítimo de la entidad bancaria.
La PSD3, pues, busca aligerar la responsabilidad del usuario víctima de fraude online (con condiciones y excepciones) y trasladarla a las entidades bancarias y proveedores de servicios.
Las nuevas medidas antifraude de la PSD3
A continuación, se detallan las medidas incorporadas en la PSD3 para incrementar la seguridad de los usuarios frente al fraude online:
Extensión de la verificación de IBAN/nombre para pagos instantáneos
La directiva propone un nuevo servicio para los pagos instantáneos, de aplicación para todas las transferencias de crédito en la UE y gratuito para los consumidores, que detectará discrepancias entre el nombre del receptor y el identificador único del receptor. El PSP del receptor deberá verificar, bajo petición del PSP del pagador, que el IBAN y el nombre del receptor coinciden. En caso contrario, el PSP del pagador estará obligado a notificarle las discrepancias a éste, que tendrá la opción de autorizar o no el envío de dinero con las discrepancias detectadas. Los usuarios tendrán derecho a rechazar este servicio.
Mejora de la Strong Customer Authentication (SCA)
Ya habituados a la SCA, la doble autenticación del usuario a la hora de realizar pagos, la PSD3 añade las siguientes mejoras:
- Clarifica en qué situaciones puede ser de no aplicación la SCA, como el uso por parte del pagador de otros métodos de pago que no implican plataformas o dispositivos electrónicos, e incorpora salvaguardias para garantizar la protección contra el fraude de los usuarios en estos casos.
- Especifica que el importe y el pagador deben estar ligados a la transacción que debe ser autorizada por el pagador.
- Facilita el acceso a los datos de cuenta de las entidades bancarias por parte de servicios de información de cuentas de pago a través de una única solicitud de SCA durante la primera conexión, a excepción de que se sospeche de fraude.
- Fomenta el uso de monederos digitales de transferencia directa con la implementación de SCA en el momento de incorporación de un nuevo instrumento de pago, bajo responsabilidad del PSP encargado de éste.
- Protege a los usuarios en desventaja tecnológica requiriendo que los proveedores de servicios de pago ofrezcan alternativas que no dependan de una única tecnología para la doble autenticación, como tener un smartphone.
Derecho de reembolso para las víctimas de fraude
Se prevén dos escenarios en los que las víctimas de fraude online podrán reclamar el reembolso del importe perdido por fraude online:
En caso de fallo de la verificación IBAN/nombre, por lo que no se hayan detectado las discrepancias entre los datos y, por lo tanto, el usuario no haya sido notificado de ellas.
En caso de suplantación de identidad del banco, a través de técnicas de engaño sofisticadas, como la llamada de una persona haciéndose pasar por empleada del banco y solicite al usuario la realización de acciones (como una verificación de datos o log in) que acaben en perjuicio económico. Sin embargo, para poder ejercer el derecho a reembolso el caso no deberá mostrar “negligencia grave” por parte de la víctima, esto es, no haber caído en múltiples ocasiones en la misma estafa y ésta deberá ser convincente, como que la llamada telefónica suplante el número legítimo del banco.
Mejora del intercambio de información sobre fraudes
Si bien la PSD2 puso las bases para la lucha contra fraude con medidas como la implementación de la Strong Customer Authentication (SCA), los ciberdelincuentes han sabido explotar los puntos débiles de un marco integrado aún en desarrollo: la fragmentación de las comunicaciones entre proveedores de servicios de pago (PSPs).
Este artículo de Paymerix nos pone ejemplos muy clarificadores:
- Datos de fraude aislados. Los PSPs realizan y mantienen su información de manera independiente, por lo que todo el conocimiento que generan acerca de fraudes no se comparte. Este aislamiento, además, no permite realizar análisis de patrones a mayor escala, por lo que solo se ve parte de la realidad total.
- Compartición reactiva. La compartición de estos análisis se realiza de forma reactiva, es decir, una vez realizado un ataque. Esta demora permite a los ciberdelincuentes seguir explotando vulnerabilidades.
- Falta de estandarización. La compartición de información y colaboración se complica con la inexistencia de una estandarización de sistemas entre países y agentes que lo permita.
- Vacíos normativos. La falta de una regulación conjunta que incluya la prevención del fraude ha propiciado el análisis aislado y reactivo, especialmente para los PSPs.
Por lo tanto, los objetivos de la PSD3 se enfocan a crear un entorno colaborativo con todos los agentes implicados basado en la compartición de información con carácter preventivo.
Para lograr estos objetivos, propone las siguientes medidas:
- Crear redes de intercambio en tiempo real de información relativa al fraude. Incluiría el envío de alertas al detectar un fraude para que el resto de agentes puedan actual rápidamente, y la creación de una base de datos compartida con patrones, cuentas marcadas o credenciales comprometidas.
- Estandarización de los formatos de datos de fraude, propiciando un entorno de compartición ágil e independiente respecto a tecnologías, agentes y países.
- Colaboración entre países. A menudo, los ataques fraudulentos se realizan desde países ajenos, por lo que implican múltiples jurisdicciones. Coordinar las acciones mejoraría y facilitaría la investigación del fraude y su prevención.
- Integración de la IA y machine learning. Sistemas basados en IA permitirían la definición de patrones a gran escala, la predicción de nuevas técnicas de fraude en base a históricos y la automatización de respuestas frente ataques.
- Protección legal para la compartición de información. La PSD3 incluye disposiciones para fomentar que los PSPs compartan información sin peligro de incumplir leyes de protección de datos.
Los objetivos y medidas propuestas por la PSD3 no son moco de pavo y, sin duda, aportarán muchos beneficios a la lucha contra el fraude, creando un espacio de prevención y reacción rápida que protege y fomenta la confianza de los usuarios.
Sin embargo, no está exenta de grandes retos que deberán afrontar los principales agentes del sector, como la integración tecnológica, la coordinación entre gobiernos y marcos normativos, la salvaguarda de la privacidad de los usuarios o la potencial pérdida de ventaja competitiva de los PSPs.
Open banking y Protección de datos
Todas estas medidas se enmarcan en la mayor apuesta de la UE: el Open Banking o banca abierta, es decir, un entorno en el que los clientes comparten de forma segura sus datos financieros con terceros (fintechs, otras entidades bancarias u otros proveedores de servicios), para fomentar nuevos servicios innovadores y de valor.
Para ello, sin embargo, es esencial crear un marco regulador que proteja por encima de todo la privacidad de los clientes, que empieza por dar a éstos acceso y control total a todos sus datos compartidos. Y esto es, precisamente, uno de los focos de la PSD3.
El punto de partida actual es el siguiente: a falta de una regulación específica sobre el intercambio de datos, poco se sabe sobre qué datos se comparten, más allá de los relativos a pagos. Esta situación crea riesgos e inseguridad, e imposibilita a los clientes gestionar qué datos permiten compartir.
Las medidas de la PSD3 para desarrollar el marco ideal para el Open Banking pasa por la creación de un dashboard con interfaces de alta calidad desde el que el cliente pueda gestionar todos los permisos relativos a la compartición de datos, partiendo de la premisa conforme esta compartición será siempre opcional y nunca obligatoria.
De este modo, con la PSD3 los clientes tendrán derecho a acceder a todos los datos que los data holders tienen de ellos sin coste adicional. Esto requiere de un proceso de estandarización para que la compartición de datos entre entidades y proveedores sea real.
Se prevé, pues, que los principales retos de la PSD3 sea la incentivación suficiente para que los agentes implicados estandaricen sus sistemas y ofrezcan dichas interfaces, y que supere los riesgos de responsabilidad en la compartición de datos.
En definitiva, la PSD3 trata de crear un espacio para fomentar la innovación desde una perspectiva centrada en el cliente y alineada con el RGPD.
¿Necesitas ayuda contra el fraude online?
Escríbenos con tu consulta, nos pondremos en contacto contigo pronto.