Eurobits Blog

Open Banking, PSD2 y las fechas límite: ahora es el momento

30 septiembre, 2019

Los Estándares Técnicos Regulatorios para la Autenticación Reforzada de Clientes (RTS SCA y CSC) de PSD2 (Segunda Directiva de Servicios de Pago) entraron en vigencia el pasado sábado 14 de septiembre, implicando la consecución de un nuevo hito en el camino del despliegue de la normativa alrededor del Open Banking. El objetivo principal de PSD2 es aumentar la transparencia y facilitar la libre elección más amplia de servicios financieros para el consumidor en los Estados miembros de la UE. También brinda mayor seguridad a los pagos a través de medidas como la Autenticación Reforzada del Cliente, también conocida como SCA. En este nuevo panorama, los bancos y los proveedores externos deben mirar hacia afuera y definir su enfoque a la vez que unen esfuerzos.

La necesidad de un período de ajuste

A pesar de que PSD2 ha sido tema de conversación desde hace algún tiempo, la mayoría de los expertos, entidades financieras y proveedores de terceros consideraron que había una necesidad de más tiempo para adaptarse y preparar sus operaciones para cumplir con los estándares fijados por las normas técnicas sin problemas (RTS).

La EBA (Autoridad Bancaria Europea) tomó su petición en consideración y permitió a los legisladores nacionales la posibilidad de otorgar un periodo de extensión a sus respectivos actores. Sin embargo, existen algunas preocupaciones crecientes sobre este período de ajuste para SCA y sus implicaciones en el establecimiento de una diferenciación competitiva entre el pago con tarjeta y los métodos de iniciación de pago. Esto es así dado que la extensión solo se aplica a SCA en las transacciones donde la tarjeta no está presente.

Puesto que, según la mayoría de los proveedores de servicios, no muchas API son elegibles para una exención, ahora se requiere que los proveedores externos se identifiquen utilizando un certificado digital eIDAS antes de poder continuar con las prácticas actuales. Esto supondrá un nuevo desafío para ellos, ya que se encuentran con un SCA recientemente introducido que no ha sido documentado ni probado. Teniendo en cuenta que los terceros proveedores de servicios se enfrentan a este nuevo SCA de forma paralela a casi todos los bancos, la adaptación es, en gran parte, a ciegas. Afortunadamente, esto está resultando menos accidentado de lo previsto. Sin embargo, en un mundo donde PSD2 tenía como objetivo introducir nuevos métodos de pago, no tiene mucho sentido no aplicar el mismo margen de maniobra a cualquier tipo de pagos.

Dicho esto, PSD2 es mucho más que la autenticación reforzada. PSD2 presenta un nuevo marco jurídico para los pagos en toda la Unión Europea, que regula los nuevos tipos de servicios que ofrecen los proveedores de terceras entidades supervisadas, y más importante aún, obliga a los bancos a conceder el acceso a dichos terceros.

Este es el elemento clave de los múltiples desafíos a los cuales se enfrentan los bancos y otras instituciones financieras, en una problemática que hemos subrayado con anterioridad: la forma en que tendrán que remodelar su enfoque y sus servicios si quieren convertirse en los centros del mañana para los clientes al unir servicios y aplicaciones en lugar de solo ofreciendo un producto estático.

Construir un ecosistema alrededor de las necesidades del cliente

En el panorama ideal de PSD2, los bancos, las instituciones financieras y los terceros proveedores pueden diferenciarse y ser más competitivos diseñando y ofreciendo servicios innovadores y haciéndolo de manera transparente y segura, gracias a los datos integrados y una forma dinámica de desarrollar la tecnología.

Las API son el corazón y el alma de tal logro. Las API son los puntos de conexión y la columna vertebral de este nuevo ecosistema de Open Banking. Como era de esperar, también son la principal fuente de problemas y errores debido a su comprensible falta de madurez.

Desafortunadamente, después de un análisis en profundidad, creemos que algunos factores han influido en el diseño y pruebas según las directrices de la EBA. La estructura basada en API sigue siendo limitada debido a la insuficiencia de un período de prueba corto de 6 meses. Prueba de ello es el Reino Unido, donde se ha establecido un periodo de prueba en tiempo real de 18 meses adicionales a los establecidos por PSD2. De ahí surge también la iniciativa de la FCA de promulgar un período adicional de seis meses para probar las API y la aplicación de SCA.

Por otra parte, la falta de disponibilidad de certificados eIDAS dentro del período requerido también ha acortado el ya escaso margen de maniobra. Estos certificados son necesarios para conectar de forma segura proveedores de terceros a entornos API. La falta de experiencia, clarificación, y la documentación, han jugado un papel clave en una solución tardía e insuficiente para solventar muchas de las cuestiones que aparecieron en las primeras interacciones con API.

Las API deben ser transparentes, confiables y ofrecer una seguridad estricta en comparación con las tecnologías alternativas para crear valor para los clientes. PSD2 tiene como objetivo facilitar este flujo libre de datos, la capacidad de agregar estos datos y la integración final entre bancos y proveedores externos. A partir de ahí, todos pueden basar su modelo de negocio en la diferenciación basada en servicios complementarios, capacidad de respuesta, innovación, métodos de pago y más.

Ahora es el momento de seguir trabajando juntos para lograr la máxima preparación respecto a las directrices de PSD2 en beneficio de los consumidores. Hay una oportunidad para que todos los interesados involucrados establezcan su posición y sus intereses con el Open Banking. En última instancia, esto dependerá de su capacidad para establecer rápidamente una infraestructura tecnológica sólida y, lo que es más importante, para superar las barreras y obstáculos con respecto al acceso a los datos. Los clientes hoy en día exigen plataformas modernas y fáciles de usar con integraciones flexibles que resuelvan sus problemas y que lo hagan de forma segura.

 

 

¿Nos haces una visita?
Conecta con nosotros
+34 91 708 03 00