Uno de los aspectos más importantes de la Directiva Europea PSD2, son los servicios de iniciación de pagos (en sus siglas en inglés, PIS). Te contamos en qué consisten, cómo funcionan y qué ha cambiado con la aprobación de la Directiva PSD2.
¿Qué es un servicio de iniciación de pagos (PIS) y un PISP?
Los PIS (Payment Initiation Service) son una clase de servicio que hace uso de la banca ‘online’ para realizar pagos por internet sin necesidad de utilizar ningún medio de pago (como una tarjeta de crédito o una cuenta bancaria) en el momento de la transacción.
A través de una plataforma que actúa como puente entre el comercio y el cliente, este introduce toda la información necesaria para llevar a cabo la transferencia, como por ejemplo la cuantía de la transacción, el número de cuenta, etc., e informa al comercio del inicio de la transacción.
De esta manera, el usuario puede efectuar su compra a través de Internet de una forma totalmente transparente y segura. El servicio de iniciación de pagos tiene ventajas para ambas partes de la transacción:
- Al vendedor, porque le ofrece la seguridad de que el pago se ha efectuado, lo que permite que este inicie la entrega del bien o preste el servicio sin demora, justo en el momento que se da la orden.
- Al consumidor, porque le ofrecen la garantía de no tener que facilitar sus datos bancarios al comercio cada vez que realiza una compra.
Los servicios de iniciación de pago ofrecen soluciones financieras adecuadas y seguras tanto a las empresas como a los usuarios, ya que garantizan la posibilidad de hacer compras en línea incluso aunque el pagador no tenga a su disposición ningún método de pago.
En este entorno también participan otros actores como son los proveedores de los servicios de iniciación de pago son los PISP (Payment Initiation Service Providers). Son empresas que funcionan como intermediarias y permiten a terceros realizar transacciones en nombre del comprador, siempre previa autorización y sin necesidad de que éste tenga que acceder al portal online del banco.
Algunos ejemplos interesantes de proveedores de servicios de iniciación de pagos en Europa son Trustly en los países escandinavos, Sofort en Alemania o Ideal en Holanda.
Otras entidades introducidas por la normativa PSD2
- AISP (Account Information Service Providers): Facilitan a terceros el acceso a la información de las cuentas bancarias de los consumidores. Esto permite a los propios consumidores supervisar sus finanzas desde una única plataforma y les ofrece una visión clara e inmediata de su situación financiera.
- CISP (Card Issuer Service Providers): Emiten tarjetas de débito vinculadas a cuentas bancarias abiertas de otras entidades y verifican la disponibilidad de fondos para asegurar que los pagos se realicen con éxito.
¿Cómo funcionan los servicios de iniciación de pagos (PIS)?
El funcionamiento de los servicios de iniciación de pagos es sencillo: una vez que un cliente haya aceptado permitir que un proveedor externo acceda a sus datos bancarios, una interfaz de pago propiedad del PISP solicitará información al usuario, que seleccionará su banco e introducirá las credenciales de su banca online para finalizar el proceso.
Acto seguido, el banco valida las credenciales y autoriza la solicitud de la transacción de pago. Entonces, se solicita una firma digital y se aplica la Autenticación Reforzada de Cliente (SCA por sus siglas en inglés), un factor de verificación adicional a su contraseña habitual, que puede hacer uso de elementos biométricos, como la huella dactilar o el rostro del usuario, o un código de un solo uso enviado a su móvil.
Una vez realizada la autenticación, se efectúa la transacción y la operación es abonada.
Todos los datos bancarios se envían a través de códigos cifrados que utilizan matrices JSON, tanto para la entrada como para la salida de datos, que el usuario acepta cuando introduce sus credenciales bancarias. En general, el volumen de datos transmitidos no suele ser demasiado elevado, ya que basta con los datos del cliente, la cuenta de destino, el importe de la operación y poco más. Por eso, los PISP pueden ofrecer soluciones muy ágiles y plataformas de pago fluidas.
¿Qué cambia en los PIS y PISP con la normativa PSD2?
A pesar de que los servicios de iniciación de pagos ya existían antes de la puesta en marcha de la Directiva PSD2 a terceros, su entrada en vigor ha obligado a los bancos a abrir los datos de sus clientes a terceros, previa solicitud. Este nuevo requisito legal afecta a los proveedores de servicios de iniciación de pago (PISP), a los AISP y a los CISP, que tienen como objetivo ofrecer los servicios que se derivarán de su aplicación.
Refuerzo de la seguridad
La seguridad es uno de los aspectos que más reforzados salieron con la aprobación de la PSD2. A pesar de la apertura de los datos bancarios, la PSD2 garantiza que la seguridad de los clientes no se vea comprometida. De hecho, la propia Directiva obliga a los PISP a aplicar una serie de medidas de autenticación reforzada, además de tener prohibido acceder a cualquier otra información que no sean los datos necesarios para ejecutar el servicio especificado.
Asimismo, los PISP autorizados también tienen la obligación legal de cerrar sesión de la cuenta bancaria del usuario de forma inmediata una vez se haya efectuado la orden de pago y completado la ejecución de la transacción. Todas estas medidas están encaminadas a garantizar la privacidad de las transacciones y evitar un uso malintencionado de los datos de los clientes.
¿Para qué sirven los servicios de iniciación de pagos?
La iniciación de pagos está destinada a aplicarse en muchos sectores gracias a la consolidación del open banking. Tiene multitud de aplicaciones diferentes, como por ejemplo:
- Pagos entre particulares (pagos P2P): que permiten a una persona realizar una transferencia directa de una cuenta bancaria a otra, de manera instantánea y desde cualquier dispositivo. Se puede utilizar para efectuar pagos directos entre usuarios en plataformas de economía colaborativa y sociales.
- Pagos automáticos y condicionados: una de las operaciones bancarias que más ha crecido en los últimos años son las transferencias automáticas de una cuenta bancaria a otra. Sin embargo, las PIS pretenden ir un paso más allá, ya que pueden permitir programar transferencias condicionadas a unos parámetros definidos por el usuario. Por ejemplo, para que una empresa pueda efectuar pagos variables a todos los empleados que hayan realizado horas extra o bien hayan realizado ventas por valor superior a una determinada cantidad.
Las APIs bancarias, el elemento que hacen posible las PIS
Pero, ¿cómo es posible materializar todo este proceso desde el punto de vista técnico? Pues muy sencillo, básicamente gracias a las APIs bancarias. De este modo cualquier PISP puede acceder a los datos bancarios de los clientes en tiempo real e integrar toda esta información en sus aplicaciones de una forma sencilla, ágil y, por supuesto, estandarizada.
Es decir, el servicio de iniciación de pagos no lo realiza un ser humano, sino un código fuente que utiliza todas las especificaciones necesarias para que la transacción se realice de forma adecuada y sin que por ello se vea comprometida la seguridad del usuario. Una de las APIs más destacadas para la iniciación de pagos es Payments PSD2, la cual permite a tus clientes iniciar pagos desde sus cuentas BBVA.