Entendiendo el impacto de la PSD2

Publicado por buguroo - 17/05/2019

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea copó los titulares de tecnologías de la información para empresas a lo largo de 2018, cuando empresas de todo el mundo tuvieron que lidiar con los cambios que esta requería para su cumplimiento.  

Sin embargo, mientras aún resonaba el ruido en torno a la implementación del RGPD, se hizo efectivo otro componente igualmente transformador de la reforma regulatoria: la Segunda Directiva de Servicios de Pago (PSD2).

La legislación, que entró en vigor el 13 de enero de 2019, obliga a los principales bancos europeos a permitir que terceros proveedores de gestión de cuentas y de servicios de pago autorizados accedan a sus datos internos, incluida la información de clientes.

Al exigir que las instituciones financieras acepten compartir datos entre distintas partes mediante API, la PSD2 conforma la base para un entorno internacional de banca abierta (Open Banking) en que los consumidores pueden gestionar y mover su dinero fácilmente usando numerosas soluciones digitales, según Wired.

La PSD2 y el movimiento de banca abierta podría muy bien transformar el modo en que operan empresas de servicios financieros en todas partes. Con esta realidad en mente, las entidades del sector deberían aprender tanto como sea posible sobre la legislación y el innovador enfoque en que se basa.

psd2-02

Desvelando el nuevo reglamento

A los principales bancos europeos (Allied Irish Bank, Bank of Ireland, Barclays, Danske, HSBC, Lloyds, Nationwide, RBS y el grupo español Santander) ya se les exigía facilitar las transacciones digitales transfronterizas en virtud de la Directiva de Servicios de Pago original, implementada en 2007, conforme a la Comisión Europea.

Aunque la legislación abría el mercado de banca de consumo y facilitaba la iniciativa de Zona Única de Pagos en Euros, presentaba una redacción demasiado abierta, que daba lugar a confusión entre los estados miembros y a una implementación desigual.

Para abordar estos problemas y hacer un hueco a las nuevas tecnologías de gestión de cuentas y de pagos, la CE revisó la ley en verano de 2013 y propuso la primera iteración de la PSD2, según Ernst & Young. El Parlamento Europeo adoptó el reglamento en octubre de 2015 y lo publicó en el Diario Oficial de la UE ese mismo año, con plazo de aplicación de enero de 2018.

La PSD2 contiene más de 100 artículos que, en su conjunto, catalizan ciertos cambios regulatorios importantes. Conforme al Consejo Europeo de Pagos, éstos incluyen:

  • Reconocimiento de los proveedores de servicios de pago: La legislación confiere poderes a innovadores probados del espacio de los pagos digitales, permitiendo a estas organizaciones acceder a un sistema de registro oficial en el que pueden obtener las licencias de operación necesarias para acceder directamente a datos bancarios, siempre que obtengan el consentimiento explícito del cliente.
  • Implementación de autenticación de clientes: La PSD2 aborda el problema del fraude obligando al uso de herramientas de autenticación de titular de cuenta para todas las operaciones de pago electrónico. En virtud de esta ley, tanto las instituciones financieras como los proveedores de servicios de pago deben utilizar, en los parámetros de autenticación multifactorial, dos de los tres elementos siguientes: una contraseña o un pin, un activo físico como una tarjeta de crédito, y una característica de identificación como la huella digital o la voz del usuario. Las entidades que gestionan servicios de pago a distancia mediante dispositivos online o móviles deben proporcionar un elemento de autenticación adicional: un código generado automáticamente que se vincule a un beneficiario concreto, por ejemplo.
  • Mayor alcance geográfico: La reforma regulatoria sigue el enfoque denominado “one leg out” (un tramo fuera), lo que significa que se aplica incluso si una parte, ya sea el banco o el cliente, está fuera de la UE.

La PSD2 define a las partes externas, etiquetadas como Terceros Proveedores de Pagos (TPP, del inglés), implicadas en el ecosistema de banca abierta, y establece expectativas de comportamiento para cada una. Éstas incluyen:

  • Proveedores de servicios de información de cuentas (en inglés AISPs - Account Information Service Providers): Estas organizaciones aprovechan la información sobre cuentas de clientes para prestar diversos servicios financieros online, incluidos agregación de cuentas y análisis del gasto.
  • Proveedores de servicios de iniciación (en inglés PISPs - Payment Initiation Service Providers): Estos grupos autorizan pagos en nombre de los titulares de cuentas y se integran con servicios de banca online para iniciar y procesar transacciones de salida.

Aunque los componentes principales de la PSD2 centrados en compartir datos actualmente están activos y son aplicables, la UE ha dado a los bancos europeos hasta septiembre de 2019 para cumplir los requisitos legales de autenticación de titulares de cuentas. 

¿Cómo se supone exactamente que van a cumplir las instituciones financieras afectadas los requisitos establecidos en la PSD2?

Adhiriéndose a los Estándares Técnicos Reguladores (RTS) de la Autoridad Bancaria Europea (EBA) contenidos en la PSD2.

Los requisitos de backend granular establecidos en la RTS, obligan al uso de autenticación de doble factor conforme a los principios de Autenticación reforzada de clientes (Strong Customer Authentication - SCA) y otras herramientas de prevención del fraude entre los TTP, que la UE entiende como la base para una banca abierta segura y eficaz.

Entendiendo las ventajas que aporta para los clientes

Las ventajas potenciales que la banca abierta aporta al consumidor, tal como está previsto en la PSD2, son importantes.

Por ejemplo, personas con fondos en diferentes cuentas de distintas instituciones pueden gestionar todo su dinero, sin que importe su ubicación, desde una sola aplicación de TPP, como informaba Wired.

La banca abierta también perfecciona el proceso de pago, permitiendo a los minoristas acceder directamente a los fondos de una cuenta sin tener que operar a través de compañías de tarjetas de crédito y adquirentes.

Hace aún más fácil solicitar préstamos, pues en el entorno de la banca abierta, los prestamistas pueden, con un permiso puntual de sus titulares, ver la información financiera que necesitan para aprobar el crédito. Esto es una ventaja especialmente importante para aquellos que tienen historiales de crédito breves, pues los prestamistas pueden obtener una imagen precisa de sus finanzas directamente desde el banco y tomar decisiones más informadas.

Pese a estas ventajas, las actitudes de los consumidores hacia la PSD han sido variadas, según los datos de una encuesta de Accenture. Aunque hay quien aprecia la facilidad debida al uso de TPP, a muchos les preocupa la seguridad, y preferirían que instituciones financieras tradicionales manejaran su información, mejor que proveedores externos de software. Incluso así, muchos clientes están capturando determinadas ventajas de la banca abierta. Por ejemplo, más de la mitad de los consumidores se sienten cómodos permitiendo que los proveedores de servicios de iniciación hagan pagos en su nombre. Y casi el 52% ya utiliza o estaría dispuesto a utilizar aplicaciones de gestión de pagos de terceros.

Estos desarrollos, junto con las tendencias a largo plazo centradas en el uso de tecnología por los consumidores y las percepciones en torno a la descentralización de los mercados, han convencido a los líderes de las empresas fintech que supervisan TPP de que la amplia reticencia en torno a la banca abierta no durará mucho, según McKinsey & Company. De hecho, muchos han observado cómo sus homólogos del sector de los servicios financieros adoptaban la idea, a lo largo de la última década, de abrir la puerta a colaboraciones que en su momento consideraban un anatema.

psd2-03

La reacción del sector

En general, los banqueros apoyan la metodología de banca abierta que facilita la PSD2, según analistas de Accenture, que concluyeron que se estima que un 70 por ciento de los profesionales financieros creen que el libre intercambio de información de cuentas institucionales ofrece una oportunidad para el sector. No obstante, numerosos expertos de este espacio, en especial quienes navegan en la UE, no están tan entusiasmados con la PSD2, según informaba la CNBC. ¿Por qué? Por ejemplo, esta forma de compartir datos masivos debilita la naturaleza competitiva del mercado de servicios financieros, forzando a colaborar con adversarios naturales.

Adicionalmente, la implementación de la PSD2 introduce importantes dificultades técnicas para bancos y TPP, en especial en el lado del cliente. Los RTS hacen énfasis en la prevención de amenazas del lado del cliente para los clientes y obliga al uso de herramientas y técnicas de seguridad de datos exteriores. Tradicionalmente, los bancos e instituciones financieras similares se han centrado en defensas del lado del servidor.

En consecuencia, muchas organizaciones de este espacio se están esforzando por satisfacer los requisitos de información compartida que establece la legislación y, a la vez, proteger los datos de los clientes y evitar las sanciones financieras asociadas al RGPD y otros reglamentos regionales y locales comparables.

Dicho esto, incluso los más estrictos opositores a la PSD2 reconocen que la emergencia y la cristalización de la banca abierta es inevitable, y están trabajando para desarrollar y desplegar la tecnología necesaria para ajustarse a este cambio.

Los bancos de todas partes deberían estar dispuestos a adoptar un enfoque similar, dado que se espera que la PSD2 precipite una avalancha de legislación sobre banca abierta en todo el mundo. Miembros del Congreso de Estados Unidos tocaron el tema el pasado septiembre durante una reunión del Comité de Banca del Senado, según American Banker.

Brasil, la superpotencia latinoamericana está incluso más adelantada en el frente de la banca abierta, según Iupana, que informaba que diversas instituciones financieras del país ya están colaborando mediante una plataforma para compartir datos a través de una API.

buguroo ayuda al cumplimiento de la PSD2 y la RTS

Con estos desarrollos en juego, los bancos de todo el mundo deben prepararse para la maduración de la banca abierta y el cumplimiento de PSD2 mediante la implementación de RTS.

Aquí, en buguroo, proporcionamos soluciones innovadoras de prevención comportamental del fraude basada en biometría del comportamiento o Behavioral Biometrics, diseñadas específicamente para su despliegue en el sector de los servicios financieros. Nuestro producto, denominado bugFraud, monitoriza el comportamiento de los usuarios y parámetros del entorno: movimientos de móvil, velocidades de escritura, movimientos de ratón, presión de los dedos, ubicación, tipo de punto final y explorador, por ejemplo; y genera perfiles detallados de comportamiento de los usuarios. Potentes algoritmos basados en Inteligencia Artificial de aprendizaje profundo (Deep learning) comparan constantemente, en directo, los puntos de datos incluidos en los perfiles con la actividad del sistema para detectar casos de fraude.

También incluye herramientas de análisis de web o redes y aplicaciones móviles que pueden identificar fácilmente a los cibercriminales que intentan inyectar código, malware, o enmascarar conexiones. En conjunto, estas funciones hacen de bugFraud la herramienta ideal para bancos y TPP que se enfrentan a los principales retos que provoca la adopción de RTS, incluidos:

  • Aplicación SCA: bugFraud facilita una sólida autenticación reforzada de clientes (SCA) mediante herramientas biométricas comportamentales de vanguardia.
  • Detección de malware: bugFraud puede captar las variantes más comunes de malware, incluidos troyanos de acceso remoto.
  • Análisis de riesgos en tiempo real: bugFraud soporta análisis de riesgos al momento gracias a sus funciones de detección del fraude basadas en Behavioral Biometrics

¿Desea saber más sobre cómo puede posibilitar nuestro bugFraud aprovechar el potencial de la tecnología Behavioral Biometrics y abrazar la banca abierta? Póngase en contacto con buguroo hoy mismo.

Descargar Guía

 

Temas: PSD2

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Las Fintech también en el radar del malware

read more

Analizando un Malware Bancario Biométrico: Camubot

read more

Mensajes subliminares. El Phishing del futuro.

read more