PSD2, seguridad e innovación se dan la mano

  • Reportajes

La legislación de la Directiva de Servicios de Pago de la Unión Europea 2 (PSD2 por sus siglas en inglés), activa desde el pasado 13 de enero para proporcionar un marco legal para los pagos digitales realizados en Europa.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Payment Services Directive (PSD2), o Directiva de Servicos de Pago, ha revolucionado el mundo de la banca, allanando el camino de una nueva era para lo que ha denominado la Open Banking. El impacto no sólo atañe a los nuevos modelos de negocio sino a los mecanismos de seguridad de la banca. Pocas veces la seguridad y la innovación han ido tan a la par.

Este contenido forma parte del número de abril de IT Digital Security. Puedes descargarte la revista desde este enlace.

“PSD2 supone una revolución para los pagos digitales, sitúa al consumidor en el centro de cada transacción e insta a los proveedores de servicios financieros de todo tipo a innovar creando formas más seguras y sencillas de ofrecer servicios transaccionales”, explica Jordi Gascón, Director de Preventas de Seguridad, CA Technologies EMEA.

La directiva obliga a las entidades financieras que gestionan una cuenta de pagos bancarios a abrir sus datos a terceros autorizados por parte del titular. Esto facilitará que un tercero, conocido en la directiva como TPP (Third-Party Payment Provider), proporcione servicios de pago o agregación de datos financieros sin que el banco que gestiona la cuenta pueda negarse, habida cuenta de que el TPP esté autorizado tanto por el titular de la cuenta como por las autoridades pertinentes del país en el que opere. 

La figura del TTP, capaz de conectarse a los sistemas de los bancos, aumenta el riesgo de que se produzca un acceso no autorizado a los datos de los clientes o incluso el inicio fraudulento de un pago.

El reto para los bancos es incrementar la seguridad garantizando al mismo tiempo el acceso de los todos los TTP registrados. O lo que es lo mismo, autenticación fuerte vs experiencia de usuario o autenticación innovadora vs prevención del fraude.

De forma que, de cara a las tecnologías de la información, la directiva PSD2 obliga a tener en cuenta dos aspectos: el acceso a las cuentas, y la autenticación fuerte. En este sentido y a falta de la publicación por parte de la EBA (European Banking Authority) de los estándares y guías técnicas, existe consenso de que la forma de exponer los datos de manera segura será mediante el uso de interfaces de programación de aplicaciones o API.

El nuevo contexto generado por la PSD2 obligará a los departamentos de TI de los bancos a resolver diferentes retos para tener éxito. No sólo, como hemos mencionado, a proteger pagos y datos del cliente mediante autenticación fuerte, sino a proporcionar interfaces para exponer datos de las cuentas a los TPP, gestionar y monitorizar el tráfico de datos entre el banco y los TPP, proporcionar una plataforma segura para la suscripción a servicios, vinculación y gestión para los TPP, etcétera.

En este contexto, los bancos deben revisar varios aspectos de su seguridad. Los pasos probables incluyen el establecimiento de una arquitectura de seguridad más estandarizada, establecer una puerta de enlace de seguridad para la validación previa de llamadas API y tener en cuenta el Reglamento General de Protección de Datos (GDPR) en Europa al implementar las API.

Oportunidades

La PSD2 es tanto una obligación de cumplimiento como una oportunidad de negocio. Así lo recoge un estudio a nivel europeo realizado por Finextra Research en colaboración con CA Technologies. De forma que los proveedores de servicios de pago, incluidos los bancos existentes, las Fintechs, las empresas de telecomunicaciones y los proveedores terceros emergentes, ven la PSD2 no sólo como una obligación de cumplimiento, sino también como una directiva que “impulsará la creación de nuevos e innovadores productos y servicios financieros, ofrecerá una experiencia segura y cómoda en las transacciones e incrementará los ingresos”.

Para Jordi Gascón “la PSD2 será transformadora” porque generar una oportunidad para el desarrollo de nuevas líneas de negocio, modelos operativos y propuestas para los clientes.

PSD2 incrementa la competición y rivalidad en los pagos, lo que significa que los bancos podrían innovar en seguridad como un diferenciador de mercado. La autenticación biométrica y otros sistemas de autenticación fuerte entran en juego. Se propone la combinación de elementos biométricos básicos, como la huella dactilar, rostro, voz o iris con biométrica de conducta, como puedan ser patrones de trazo, o ayudados por giroscopios y acelerómetros. En todo caso los expertos recomiendan que se tengan en cuenta algunas consideraciones, como que los datos biométricos subyacentes no puedan replicarse; que la validación de los datos biométricos se realice en el propio banco, y no en el dispositivo; el mismo método debe poder ser utilizado por TTP a través de una interfaz bancaria dedicada.

Retos para la implementación de la PSD2

Según el estudio de Finextra, el éxito de una estrategia de la PSD2 radica en la tecnología: el 94% de los bancos europeos están bastante o muy de acuerdo en que necesitarán nueva tecnología para adoptar con éxito la PSD2 y las iniciativas de banca abierta. Y cuando se trata de obtener soluciones tecnológicas para respaldar sus implementaciones de PSD2, casi el 60% expresa una preferencia por trabajar con un proveedor que pueda ofrecer todo lo necesario.

Las interfaces de programación de aplicaciones (API por sus siglas en inglés), que conectan los procesos de software, también son una prioridad: alrededor del 32% de los bancos las usarán para permitir que los clientes soliciten productos y el 23% para crear ecosistemas con los socios de Fintech.

Un abrumador 87% de los bancos europeos está muy o bastante de acuerdo en que la adecuación a la PSD2 presenta grandes retos, incluida la falta de capacidades, las limitaciones presupuestarias, los desafíos tecnológicos, los sistemas heredados y la preocupación por la seguridad.

Construir el caso de negocio para la PSD2 es un desafío importante para casi un tercio de los encuestados, y el 37% no cree que los clientes estén listos para la banca abierta. Esto también puede justificar por qué el 81% de los bancos está bastante o muy de acuerdo en resignarse a un retorno de la inversión de dos años como mínimo.

PSD2 y GDPR

Si PSD2 entró en vigor el pasado mes de enero, será a finales de mayo cuando GDPR será de obligado cumplimiento. En ambos casos se pone foco en la administración y protección de los datos. Y es mientras que la primera exige a los bancos que permitan a los Proveedores de terceros (TPP) el acceso directo a la información de la cuenta de pago del cliente, siempre que los clientes den su consentimiento, el segundo, el Reglamento General de Protección de Datos (GDPR), exige que todas las empresas, incluidos los bancos, tomen medidas para proteger aún más los datos personales, a la vez que otorgan a los propietarios de datos nuevos derechos sobre el acceso y la portabilidad de sus datos.

La situación ha creado algunas complicaciones, porque mientras que algunos bancos creen que deben abstenerse de proporcionar acceso a los TPP a los datos de pago de los clientes por temor a violar los derechos de privacidad de sus clientes bajo GDPR, las autoridades de competencia pueden considerar esto una infracción de la ley de competencia.

En todo caso, y según The National Law Review: Bajo PSD2, los bancos solo deben permitir que los TPP accedan a los datos de las cuentas de pago de los clientes siempre que los TPP tengan el "consentimiento explícito" del cliente (Artículo 67 y 94, PSD2). Según el GDPR, los controladores de datos (es decir, bancos y / o TPP) deben tener una "base legal" para procesar los datos personales de un sujeto de datos (es decir, un cliente). El consentimiento es solo una de las bases legales disponibles y probablemente no el más apropiado en este caso. El GDPR permite el procesamiento de datos personales (sin consentimiento), por ejemplo, cuando el procesamiento es necesario para realizar un contrato, o para los fines de los intereses legítimos del controlador de datos o para el cumplimiento de una obligación legal. En términos prácticos, si un cliente desea realizar una transacción de pago con un TPP, el TPP necesita acceder a los datos de su cuenta de pago para poder ejecutar el contrato, es decir, iniciar el pago. No debería haber necesidad del consentimiento del cliente para las operaciones de procesamiento de datos asociadas. PSD2, sin embargo, aumenta el nivel de protección en comparación con el GDPR al imponer un requisito de consentimiento adicional.