Nuevos proveedores de servicios de pago

El pasado mes de Julio, la Comisión Europea emitió el borrador de la segunda directiva de pagos. El objetivo es la creación de un mercado único integrado de pagos electrónicos para aprovechar las oportunidades de la economía digital y cubrir de paso las lagunas jurídicas ante la aparición de nuevos intervinientes en el negocio y nuevos tipos de pagos propiciados por la innovación tecnológica. La directiva intentará también promocionar la seguridad y fiabilidad de estos servicios, ya que en los últimos años, los riesgos relacionados con la seguridad han aumentado debido a la mayor complejidad técnica y el continuo incremento en el volumen de este tipo de operaciones.

Uno de los aspectos más relevantes del borrador es que da carta de naturaleza a una nueva figura interviniente en este mercado: los llamados proveedores de servicios de pago terceros (Thrid Party Payment Service Providers o TPP) que hasta el momento no están sometidos a regulación y que tras la aprobación de la directiva, deberán estar registrados y supervisados como una institución de pagos más. En este artículo vamos a analizar brevemente esta figura y las consecuencias que se derivan de la misma en el borrador de la directiva, principalmente desde la perspectiva de la seguridad de las operaciones.

Proveedores de Servicios de Pago Terceros (TPP)

De acuerdo con la definición del borrador: “Los proveedores de servicios de pago terceros, ofrecen a los consumidores y los comerciantes los denominados servicios de iniciación de pagos, a menudo sin llegar a tener en su poder los fondos que han de transferirse. Estos servicios facilitan los pagos en el comercio electrónico al proporcionar un soporte lógico que sirve de puente entre el sitio web del comerciante y la plataforma bancaria en línea del consumidor, con el fin de iniciar pagos por transferencia o adeudo domiciliado a través de internet. Los proveedores de servicios de pago terceros ofrecen una alternativa de bajo coste a los pagos con tarjeta tanto a los comerciantes como a los consumidores, y permiten a estos hacer compras en línea aun cuando no posean tarjetas de crédito. Sin embargo, los proveedores de servicios de pago terceros no están actualmente sujetos a la Directiva 2007/64/CE, por lo que no están necesariamente supervisados por una autoridad competente”. Además, la directiva refiere como servicios complementarios ofrecidos por los TPP, los “servicios de información sobre cuentas y agregación de cuentas”.

La figura del TPP se contrapone con la de los proveedores de servicios de pago gestores de las cuentas que son los que gestionan también los fondos de las mismas. Se trata normalmente de los bancos donde tiene sus cuentas el usuario final de los servicios ordenante de los pagos.

Servicios de los TPP

De acuerdo con el borrador, los servicios que se atribuyen a los futuros TPP son:

Servicios de Iniciación de pagos

Facilitan los pagos en el comercio electrónico al proporcionar un soporte lógico que sirve de puente entre el sitio web del comerciante y la plataforma bancaria en línea del consumidor, con el fin de iniciar pagos por transferencia o adeudo domiciliado a través de internet. Sin embargo, también se contemplan pagos entre cuentas bancarias de particulares.

En esta categoría se encuadrarían los servicios de actuales jugadores como PayPal o el servicio Ideal, muy extendido en los países bajos.

M_PayPal

Servicios de Información

En este tipo de servicios se proporciona al usuario, en una forma fácil de utilizar, información agregada sobre una o varias cuentas de pago de las que el usuario del servicio es titular en uno o varios proveedores de servicios de pago gestores de cuentas.

En esta categoría se encuadrarían servicios de agregación bancaria como los prestados por Moven, Mint o Fintonic

moven

MINT

Algunas consecuencias a considerar

  • Para poder llevar a cabo su actividad, los TPP reciben una autorización por parte del titular de una cuenta para poder acceder en su nombre al banco y acceder a la información de la cuenta del cliente.
  • En algunos casos, para que los TPP puedan acceder a las cuentas del usuario final del servicio, éste debe facilitar las credenciales bancarias de acceso a sus cuentas.
  • Los proveedores de servicios de pago gestores de las cuentas (ej: los bancos donde los usuarios tienen sus cuentas) deben permitir el acceso y uso de la información de las cuentas a los proveedores terceros sin ninguna restricción que no obedezca a razones objetivas.

Gestión de riesgos y cuestiones relacionadas con la seguridad

El borrador establece que todos los proveedores de servicios de pago (sean gestores de las cuentas o terceros) deben gestionar adecuadamente los riesgos operativos y derivados del uso de la tecnología, debiendo adoptar de acuerdo con una metodología de análisis de riesgos, las medidas de seguridad necesarias. Asimismo, se establece que los proveedores tendrán la obligación de comunicar los incidentes graves de seguridad que se produzcan a la autoridad bancaria europea.

El borrador establece que: “Los estados miembros velarán por que los proveedores de servicios de pago proporcionen anualmente a la autoridad designada información actualizada sobre la evaluación de los riesgos operativos y de seguridad asociados a los servicios de pago que prestan y sobre la adecuación de las medidas paliativas y los mecanismos de control aplicados en respuesta a tales riesgos”.

En relación con la autenticación de las órdenes de pago, el borrador establece: “que los proveedores de servicios de pago apliquen la autenticación fuerte de clientes cuando el ordenante inicie una operación de pago electrónico, salvo que las directrices de la autoridad bancaria europea autoricen determinadas exenciones basadas en el riesgo inherente al servicio de pago prestado. Esta disposición se aplicará igualmente a los proveedores de servicios de pago terceros, cuando inicien una operación de pago por cuenta del ordenante. El proveedor de servicios de pago gestor de cuenta deberá permitir al proveedor de servicios de pago tercero basarse en los métodos de autenticación de aquel cuando actúe por cuenta del usuario de servicios de pago”.

Finalmente, en lo relativo a protección de datos de carácter personal, somete todo tratamiento que implique tratamiento de datos personales a la directiva vigente.

Cuestiones relacionadas con la autorización de las operaciones de pago

Las operaciones de pago se considerarán autorizadas únicamente cuando el ordenante haya dado su consentimiento a que se ejecute la operación de pago. El consentimiento podrá darse, asimismo, directa o indirectamente a través del beneficiario y en aquellos casos en que el ordenante haya autorizado a un proveedor de servicios de pago tercero a iniciar la operación.

Cuando un TPP haya sido autorizado a prestar servicios, estará sujeto a una serie de obligaciones:

  • Garantizar que nadie más pueda acceder a los elementos de seguridad personalizados del usuario del servicio de pago (ej: contraseñas de acceso al servicio).
  • Autenticarse de manera inequívoca ante el/los proveedores de servicios de pago gestores de las cuentas de los usuarios.
  • No almacenar datos sensibles sobre las operaciones de pago o credenciales de seguridad personalizadas del usuario de servicios de pago (este punto es un tanto ambigüo y contradictorio con el primer punto, pero entendemos que se refiere a no almacenar información como el PIN de las tarjetas financieras ni ningún dato no permitido por estándares como PCI o datos que no sean estrictamente necesarios para la prestación del servicio y que puedan ser usados para la comisión de fraude en caso de ser comprometidos).

En el caso de que un usuario niegue haber realizado una operación de pago ya ejecutada o alegue que se haya realizado de manera incorrecta, será responsabilidad de los proveedores de servicios de pago (ya sean gestores de las cuentas o terceros), demostrar que la operación ha sido autenticada, registrada con exactitud y contabilizada y que no se ha visto afectada por un fallo técnico o cualquier otra deficiencia vinculadas al servicio de los que son responsables. En este sentido, la utilización del servicio registrada por el proveedor de servicios no bastará necesariamente para demostrar que la operación haya sido autorizada por el ordenante, ni que éste haya actuado de manera fraudulenta o negligente.

En el caso de que un usuario niegue haber realizado una operación de pago y en donde no haya mediado una actuación fraudulenta o negligente por su parte, será responsabilidad de los proveedores de servicios de pago (ya sean gestores de las cuentas o terceros) devolver de inmediato el importe del pago al ordenante. Sin embargo, se contempla que hasta un máximo de 50€ sea el ordenante el que soporte la pérdida como consecuencia de la utilización de un instrumento de pago, robado extraviado. Además, se deja abierta la puerta a que los proveedores puedan acordar contractualmente con los usuarios una limitación de las responsabilidades por parte de los proveedores en casos de pagos de poco importe puntual o acumulado.

En fin, habrá que esperar a la redacción final de la directiva; sin embargo, no es de esperar que haya grandes cabios en los aspectos revisados en este artículo, por lo que esperamos que la información sea de utilidad y ayude a entrever, vías de negocio a explorar. Un fuerte abrazo y hasta pronto.

Artículos relacionados

Seguridad de pagos por Internet: recomendaciones del Banco Central Europeo

Open API o el camino hacia la innovación de Crédit Agricole

Economía digital y e-business: guía breve

Deja un comentario