La irrupción de la banca electrónica está generando cambios sustanciales a la hora de realizar transacciones que afectan, entre otros ámbitos, a la experiencia del usuario y a los métodos de cobro de los negocios. El cambio de paradigma es irreversible y las líneas de actuación principales pasan por aumentar la seguridad de los pagos, promover la innovación y adaptar los servicios bancarios a las nuevas tecnologías. Uno de los objetivos de estos desarrollos es facilitar la usabilidad y la integración de bancos del usuario. Para ello, el papel de la APIS (Application Program Interfaces) es crucial y cada vez lo va a ser más. Europa no se quiere quedar atrás y en septiembre la Unión Europea aprobó la directiva PSD2 cuyas normas cambian radicalmente el panorama de la gestión de pagos que involucran a empresas y bancos.
TPP’s
Uno de estos cambios es la apertura de servicios de pagos a terceras empresas, los TPPs (Third Party Payment Service Providers), por parte de los bancos. Pero los dos servicios que se consolidan con la entrada en vigor de la normativa son los servicios de iniciación de pagos (PIS) y los servicios de información de cuenta (AIS). Mientras el primero sirve para recoger, almacenar y centralizar en un único sitio los datos de las distintas cuentas bancarias de un cliente, el segundo tiene como finalidad poder iniciar un pago desde la cuenta del consumidor a la cuenta del comercio mediante la creación de una interfaz puente entre ambas cuentas.
La PSD2 también tendrá importantes implicaciones para las compañías y empresas cuyo modelo de negocio se base en pagos fraccionados o que difieran en el tiempo. Tendrán que adaptarse para garantizar la doble autenticación del usuario, lo que se conoce como Autenticación Reforzada de Clientes. Así nos lo explica Jordi Nebot, CEO y cofundador de PaynoPain, empresa tecnológica del sector fintech. Le entrevistamos para que nos delimite la dimensión de esta nueva regulación y su relevancia para el futuro de las operaciones financieras.
-¿Qué hacéis en PaynoPain?
Somos una empresa tecnológica dentro de lo que se llama fintech, es decir, innovamos dentro del sector medios de pago. Tenemos dos productos principales, que son nuestra pasarela de pagos online y un sistema de pagos móviles. Al margen de esto, hacemos proyectos ad hoc en otros tipos de entorno donde haya involucrado un elemento de pago un poco más complejo de lo habitual, como puede ser el transporte público o los festivales, y podamos hacer algún desarrollo o innovación que ayude a los usuarios.
-¿Qué habrá que hacer para ajustarse a la directiva PSD2?
Depende mucho del tipo de empresa y de la complejidad en cuanto a su modelo de negocio. Por ejemplo, un ecommerce o una tienda, sea online o física, no van a tener que hacer muchas modificaciones. De hecho, lo más probable es que el proveedor que tengan actualmente desde el cual gestionan los cobros les dé la solución de forma automática. El problema de la directiva PSD2 viene con las empresas que tengan un modelo de negocio un poco más complejo, suscripciones o pagos que difieran en el tiempo o pagos fraccionados. Ahí es donde empieza la complejidad porque en gran parte de los métodos de cobro que se utilizan actualmente habrá que autorizar las primeras veces que captas a un usuario y luego hacer un nuevo tipo de pago que aparece con la directiva PSD2.
-¿En qué consiste la doble autenticación y qué datos requiere?
La doble autenticación consiste en que, a la hora de realizar un cobro, un usuario deberá ser identificado por dos de los tres mecanismos que hay: algo que un usuario es, algo que un usuario posee o algo que el usuario sabe. Es decir, un dispositivo, algo que tiene; un elemento biométrico, algo que es; o contraseñas, pins, etc., algo que sabe.
A partir de ahora será obligatoria hacer esta «autenticación fuerte» y, para ello, las entidades bancarias van a tener que recabar en los próximos meses cierta información de los usuarios para poder validar los pagos cuando se realicen. Para la parte biométrica van a tener que contar con algún tipo de aplicación en los dispositivos móviles del usuario para poder acceder a la huella o a reconocimiento facial. Por supuesto, todos los bancos deberán tener el número de teléfono móvil de los usuarios. La gran mayoría ya lo tienen, pero no al 100%. Van a poder enviar SMS también, que ya era uno de los mecanismos habituales de validación.
Luego, para que la autenticación fuerte no afecte tanto a la experiencia del usuario, se recabará información del navegador del dispositivo desde el que está haciendo la compra el usuario, como por ejemplo su geoposición. Con esto, la entidad bancaria emisora de la tarjeta podrá evaluar si se está usando un sitio o dispositivo de confianza y evitar solicitar datos adicionales como pueda ser la huella o una contraseña con tal de facilitar la experiencia del usuario.
-Entonces, ¿estos datos son los que actuarán a partir de ahora como garantía de pago?
La garantía de pago seguirá siendo la tarjeta, lo único que, para poder garantizarte el cobro, inicialmente tendrás que haber autenticado el usuario. Entonces, en cierto modo, sí. Pero es verdad que permanecerán mecanismos que ya existen para autenticar, como pueden ser los SMS con un código único.
-¿Qué es el MIT? ¿Una especie de plan B para que los hoteles puedan seguir accediendo a los datos de la tarjeta?
Realmente, el MIT, que es el acrónimo de Merchan Initiated Transactions, es una forma de poder mantener los modelos basados en suscripción o pagos fraccionados o diferidos en el tiempo, como es el caso de los hoteles.
Básicamente consiste en que cuando haces una reserva en un hotel, aunque la tarifa sea reembolsable y no vayas a pagar en el momento de la reserva, se introducen los datos de la tarjeta y en ese momento ya haces la doble autenticación. El hotel, y aquí viene una de las complejidades de adaptarse a la normativa, deberá guardarse una serie de datos de esa autenticación y, pasado un tiempo, cuando vaya a realizarte un cobro, bien porque ya toca cobrarte la reserva o porque no has asistido al hotel y te tienen que cobrar lo que llaman el no-show, tendrán que lanzar un cobro a tu tarjeta indicando que tú ya fuiste autenticado y diste autorización para que se te pudiera realizar ese cobro.
También Netflix, por darte el ejemplo claro que todo el mundo entiende, tendrá que hacerlo. En algún momento, al tener los datos de tarjeta en la plataforma, te obligará a autenticarte y luego ya podrán lanzarte cobros mensualmente sin tener que pasar cada vez por la autenticación.
-¿En lo único que afectará la directiva PSD2 al usuario será en que tendrán que autenticar al principio? Cuando no sea una transacción por suscripción, ¿tendrán que autenticar siempre?
Sí, pero hay excepciones y exclusiones de la norma. Para pagos de menos de 30 euros no habrá que autenticarse, siempre y cuando el usuario no haya hecho más de cinco pagos en ese comercio desde la última vez que se autenticó ni haya gastado más de 150 euros. Tampoco se tienen que autenticar en operaciones fuera de la Unión Europea. Y luego hay ciertos comercios que se podrán acoger a unas excepciones que les permitirán poder realizar un cobro sin que el usuario se autentique. Son pocos, pero van a existir.
En cuanto al impacto en los usuarios, hemos hablado de lo que supondrá cuando el usuario compre con tarjeta, que es lo más habitual y lo que todo el mundo tiene en la cabeza, pero aparecerán otros aspectos que también son interesantes: por un lado, van a proliferar aplicaciones que acceden a tu información bancaria con tu autorización, estilo Fintonic. Es más, imagino que algún banco tomará la delantera y su propia aplicación móvil permitirá acceder a cuentas de tus otros bancos para que su aplicación sea tu hub financiero.
También aparece la iniciación de pagos, que básicamente es permitir a un comercio realizar una transferencia en tu nombre. Es decir, vas a pagar a un comercio online e introduces tu usuario y contraseña de la banca electrónica. El comercio lanza un cobro que lo que realmente hace es que tú inicies una transferencia contra el comercio y que es instantánea. Esto también va a empezar a aparecer cuando se aplique la PSD2 de forma definitiva.
-¿Más allá de la comodidad, qué supone a nivel financiero para el usuario la transferencia instantánea frente al pago con tarjeta?
Realmente para el usuario lo único que cambia es la forma en que se identifica. En el caso de la transferencia, será como si tú entraras en tu cuenta electrónica y ejecutaras una transferencia a favor del comercio. Lo único es que eso sucederá de forma automática cuando introduzcas tus credenciales de la banca electrónica. Será una forma más de identificarse y autorizar una venta.
-Alertáis de que uno de los sectores que más afectado se verá por la directiva PSD2 es el del turismo. Quería saber de qué manera y si hay algún otro sector que puede sufrir para adaptarse.
En la parte del turismo nosotros hacemos especialmente referencia a los hoteles porque tienen una casuística bastante peculiar. Tienen, por un lado, reservas que entran por su propia web. Luego tienen reservas que entran a través de Booking, Expedia y demás, donde son estas las que recaban los datos de tarjeta. Muchos tienen también reservas telefónicas. Cada uno de esos casos va a tener diferentes formas de solucionar el tema de la doble autenticación.
La PSD2 implica especial problema cuando la reserva viene de Booking o Expedia porque ahí el hotel no va a tener la posibilidad de hacer la autenticación. La podrá hacer en todo caso Booking cuando recoja la tarjeta. Ahora mismo se está trabajando en varias áreas para solucionar esto. Una de ellas, la más básica, sería, una vez recibida la reserva, enviar una comunicación al usuario para que se autentique y validarla. Luego, algo tecnológicamente un poco más complejo y que todavía no queda claro si va a ser posible o no es conseguir que la autenticación que realiza un tercero te sirva a ti para luego lanzar cobros. Se está trabajando, pero todavía no se sabe si es factible.
-¿Va a suponer mucho esfuerzo para las empresas la adaptación?
En cuanto a inversión, como decía al principio, depende de la complejidad del negocio. Los negocios más tradicionales no se van a ver tan afectados. Si vendes en una tienda online —la tienda física ni siquiera lo va a notar— el usuario está presente durante el proceso de compra y es muy fácil autenticarse. Además, en general, la mayor parte de los proveedores de los que ya disponen estas tiendas online para realizar el cobro tienen ya varias soluciones a esa casuística. El problema va a estar más en los sectores más complejos, como decía antes.
-¿Los autónomos y las pymes podrían verse afectados por la directiva PSD2 de alguna manera?
Depende. Un gimnasio sí se va a ver afectado. Pero también depende. Si es un gimnasio que solo hace domiciliaciones no tanto. Pero hay algunos gimnasios que ya hacen cobros con tarjeta. Esos sí van a tener que hacer alguna modificación. Pero, en general, el sector pymes y autónomos en España no va a tener grandes cambios con la directiva PSD2 porque muchos se basan en facturación, en pagos vía transferencia y demás.
-¿Cómo cambiarán los métodos de pago en los próximos cinco años?
Realmente hablar a cinco años vista es echar bola de cristal. Te voy a decir lo que creo, pero siempre hay posibilidad de que no se cumpla. Hay cosas que ya se están viendo, que son la evolución lógica y llevamos un tiempo esperándolas los que nos dedicamos a este sector.
Una es el uso de pagos biométricos. Al final, realizar un pago básicamente es identificar y autorizar. Saber que una persona es quien dice ser y que quiere tomar una acción. A partir de ahí, el resto es pura contabilidad. Ahora se está haciendo un piloto en la EMT de Madrid, con Mastercard, que usa un reconocimiento facial de la persona para poder realizar el cobro. Ese tipo de innovación entiendo que en cinco años debería ser algo ya común.
Por otro lado, echando un paso atrás en cuanto a tecnología, yo creo que vamos a vivir un poco la revolución de los QR, al igual que pasa en China o en algunos países de latinoamérica, donde es muy común poder pagar mediante tu aplicación móvil leyendo estos códigos. Es un modelo que aquí en Europa no se ha utilizado prácticamente, pero de cara al usuario es muy útil. Aunque la tecnología no sea tan avanzada, es muy usable. Entiendo que llegará un momento en el que esto proliferará.
Especialmente, y esto es algo que en los dos próximos dos años lo vamos a ver, con la directiva PSD2 entra todo lo que tiene que ver con ejecutar transferencias instantáneas en nombre de un usuario. Esto se va a convertir en algo normal en los próximos cinco años juntos a los pagos con QR, al igual que ahora estamos acostumbrados a pagar con tarjeta.
¿Qué sistema revolucionario se está cociendo?
Pensando en cosas un poco menos comunes, no sé si alguien va a llevar con éxito un piloto real —hay muchos, pero que llegue al usuario final creo que va a tardar— basado ultrasonidos, que es una tecnología que tiene ciertas ventajas en cuanto usabilidad de cara a los usuarios y aparte es compatible con todo mercado de dispositivos móviles. Consiste en basarte en el micrófono de tu teléfono y en el altavoz del comercio para intercambiar la información necesaria para efectuar un cobro.
Por último, algo que no afectará tanto a los usuarios al ser un tema más financiero, será empezar a ver cómo la tecnología blockchain se utiliza de forma más o menos establecida dentro del sector financiero.
0 comentarios