Seguridad de la banca online y DSP2: lo que debes saber
La DSP2 refuerza la seguridad de los pagos online gracias a la autenticación reforzada. Descubre qué cambia esta directiva para tus cuentas bancarias.
La generalización de los servicios bancarios online ha transformado nuestra forma de gestionar el dinero. Pero esta comodidad viene acompañada de nuevos riesgos relacionados con el fraude y el robo de datos. Para reforzar la protección de los consumidores, la Unión Europea ha implementado la segunda directiva de servicios de pago, más conocida como DSP2. Este artículo explica qué abarca esta normativa y cómo influye en la seguridad de tus operaciones bancarias diarias.
¿Qué es la DSP2?
La DSP2 (Directiva de Servicios de Pago 2, o PSD2 en inglés) es una directiva europea adoptada en 2015 y que entró progresivamente en vigor a partir de 2018. Sustituye a la primera directiva de servicios de pago y persigue varios objetivos principales: reforzar la seguridad de los pagos electrónicos, fomentar la innovación y la competencia, y mejorar la protección de los consumidores.
Esta directiva se aplica a todos los proveedores de servicios de pago que operan en el Espacio Económico Europeo. Regula, en particular, los pagos con tarjeta, las transferencias y los nuevos actores del sector financiero, como los agregadores de cuentas y los servicios de iniciación de pagos.
Los grandes principios introducidos por la DSP2
La DSP2 se basa en dos pilares principales. El primero se refiere a la autenticación reforzada del cliente, destinada a mejorar la seguridad de las transacciones. El segundo trata sobre la apertura del sistema bancario, denominada «open banking», que permite a proveedores externos acceder, con el consentimiento del cliente, a ciertos datos bancarios a través de interfaces dedicadas.
La autenticación reforzada del cliente (SCA)
Una de las contribuciones más visibles de la DSP2 para los usuarios es la autenticación reforzada del cliente, a menudo designada por el acrónimo SCA (Strong Customer Authentication). Este mecanismo tiene como objetivo reducir el fraude en los pagos online y el acceso a las cuentas.
El principio de los tres factores
La autenticación reforzada exige la combinación de al menos dos elementos independientes pertenecientes a tres categorías distintas:
- El conocimiento: algo que solo el usuario conoce, como una contraseña o un código PIN.
- La posesión: algo que solo el usuario posee, como un teléfono móvil o un dispositivo de seguridad.
- La inherencia: algo que caracteriza al usuario, como una huella dactilar o el reconocimiento facial.
La independencia de estos factores es esencial: la vulneración de uno no debe comprometer la fiabilidad de los demás. Por eso, la simple introducción de una contraseña ya no es suficiente para validar muchas operaciones.
En la práctica, ¿qué cambia para ti?
En la práctica, probablemente ya hayas notado estos cambios. Al realizar una compra online, tu banco puede pedirte que confirmes la transacción a través de su aplicación móvil, mediante una notificación a validar, introduciendo un código recibido por mensaje o incluso con tu huella dactilar. El código único enviado por SMS, utilizado solo, se complementa o reemplaza progresivamente por métodos considerados más robustos.
El objetivo es asegurar que la persona que realiza la operación es el titular legítimo de la cuenta. Este paso adicional puede parecer engorroso, pero contribuye a limitar el uso fraudulento de datos bancarios robados.
Los casos de exención
La normativa prevé ciertas exenciones a la autenticación reforzada, para no dificultar innecesariamente la experiencia del usuario. Entre las situaciones afectadas se incluyen los pagos de bajo importe, los pagos recurrentes de un importe idéntico al mismo beneficiario, o las transferencias a un beneficiario que hayas registrado previamente como de confianza. Estas exenciones están reguladas por criterios precisos y su aplicación depende del análisis de riesgo realizado por el proveedor de servicios de pago.
El open banking y el intercambio de datos
La DSP2 también ha abierto el mercado bancario a nuevos actores regulados. Con tu consentimiento explícito, proveedores externos pueden acceder a cierta información de tus cuentas.
Los proveedores de servicios de información sobre cuentas
Estos proveedores, a veces llamados agregadores, te permiten visualizar todas tus cuentas bancarias de diferentes bancos en una única interfaz. Esto facilita el seguimiento de tu presupuesto y la gestión de tus finanzas personales.
Los proveedores de servicios de iniciación de pagos
Otros proveedores pueden iniciar un pago directamente desde tu cuenta bancaria, a tu solicitud, sin necesidad de usar una tarjeta. Este servicio es utilizado, en particular, por algunos comerciantes online.
En todos los casos, el acceso a tus datos sigue estando sujeto a tu consentimiento. Los proveedores externos deben estar autorizados por las autoridades competentes y cumplir con estrictos requisitos de seguridad y protección de datos. Generalmente, puedes retirar tu consentimiento en cualquier momento.
¿Qué protecciones para los consumidores?
La DSP2 ha reforzado varios derechos de los usuarios de servicios de pago. En caso de una operación de pago no autorizada, la normativa establece las condiciones de reembolso. Cuando se produce un fraude y la autenticación reforzada no se ha aplicado cuando debería haberse hecho, la responsabilidad del pagador puede reducirse, siempre que no haya actuado de forma fraudulenta ni gravemente negligente.
Sin embargo, es importante entender que la responsabilidad del usuario sigue comprometida si ha actuado con negligencia grave, por ejem
Artículos relacionados
Gestiona tus finanzas con Finance.HDdev
Controla tu presupuesto, sincroniza tus cuentas bancarias y alcanza tus objetivos financieros.