¿En qué consisten los servicios de iniciación de pagos (PIS) dentro de la Directiva PSD2?

4 min lectura
PSD2 / 16 septiembre 2020
¿En qué consisten los servicios de iniciación de pagos (PIS) dentro de la Directiva PSD2?
¿En qué consisten los servicios de iniciación de pagos (PIS) dentro de la Directiva PSD2?

BBVA API Market

La Directiva PSD2 ha cambiado por completo el ecosistema digital financiero tal y como lo conocíamos, convirtiendo a los bancos en entidades abiertas y colaborativas con su entorno más cercano, especialmente con sus clientes y con terceros que tienen la posibilidad de acceder a sus datos. Fue aprobada el 8 de octubre de 2015, pero no fue hasta el 14 de septiembre de 2019 cuando entró en vigor en todos los países miembros de la Unión Europea.

Uno de los aspectos más importantes de esta directiva, que ya ha sido objeto de transposición  a la legislación española, son los servicios de iniciación de pagos (en sus siglas en inglés, PIS). Te contamos en qué consisten, cómo funcionan y qué ha cambiado con la aprobación de la Directiva PSD2.

¿Qué son los PIS?

Los PIS son una clase de servicio que hace uso de la banca ‘online’ para realizar pagos por internet sin necesidad de utilizar ningún medio de pago (como una tarjeta de crédito o una cuenta bancaria) en el momento de la transacción.

A través de una plataforma que actúa como puente entre el comercio y el cliente, este introduce toda la información necesaria para llevar a cabo la transferencia, como por ejemplo la cuantía de la transacción, el número de cuenta, etc., e informa al comercio del inicio de la transacción.

De esta manera, el usuario puede efectuar su compra a través de Internet de una forma totalmente transparente y segura. Este servicio beneficia a ambas partes de la transacción:

Estos servicios, por tanto, ofrecen una solución adecuada y segura tanto a las empresas como a los usuarios, ya que garantizan la posibilidad de hacer compras en línea incluso aunque el pagador no tenga a su disposición ningún método de pago.

¿Cómo funcionan los servicios de iniciación de pagos (PIS)?

El funcionamiento de los servicios de iniciación de pagos es sencillo: una vez que un cliente haya aceptado permitir que un proveedor externo acceda a sus datos bancarios, una interfaz de pago propiedad del PISP solicitará información al usuario, que seleccionará su banco e introducirá las credenciales de su banca online para finalizar el proceso

Acto seguido, el banco valida las credenciales y autoriza la solicitud de la transacción de pago. Entonces, se solicita una firma digital y se aplica la Autenticación Reforzada de Cliente (SCA por sus siglas en inglés), un factor de verificación adicional a su contraseña habitual, que puede hacer uso de elementos biométricos, como la huella dactilar o el rostro del usuario, o un código de un solo uso enviado a su móvil. 

Una vez realizada la autenticación, se efectúa la transacción y la operación es abonada.

Todos los datos bancarios se envían a través de códigos cifrados que utilizan matrices JSON, tanto para la entrada como para la salida de datos, que el usuario acepta cuando introduce sus credenciales bancarias. En general, el volumen de datos transmitidos no suele ser demasiado elevado, ya que basta con los datos del cliente, la cuenta de destino, el importe de la operación y poco más. Por eso, los PISP pueden ofrecer soluciones muy ágiles y plataformas de pago fluidas.

¿Qué cambia en los PIS con la PSD2?

A pesar de que los servicios de iniciación de pagos ya existían antes de la puesta en marcha de la Directiva PSD2, su entrada en vigor ha obligado a los bancos a abrir los datos de sus clientes a terceros, previa solicitud. Este nuevo requisito legal está favoreciendo la aparición de nuevos actores que tienen como objetivo ofrecer los servicios que se derivarán de su aplicación, las entidades conocidas como payment iniciation service provider (PISP).

Son empresas que ofrecen aplicaciones que actúan como intermediarios entre las entidades financieras y los comercios, y permiten la emisión de transferencias directas entre los bancos y la tienda digital, previa autorización por parte de los clientes.

Algunos ejemplos interesantes de proveedores de servicios de iniciación de pagos en Europa son Trustly en los países escandinavos, Sofort en Alemania o Ideal en Holanda. 

Refuerzo de la seguridad

La seguridad es uno de los aspectos que más reforzados han salido con la aprobación de la PSD2. A pesar de la apertura de los datos bancarios, la PSD2 garantiza que la seguridad de los clientes no se ve comprometida. De hecho, la propia Directiva obliga a los PISP a aplicar una serie de medidas de autenticación reforzada, además de tener prohibido acceder a cualquier otra información que no sean los datos necesarios para ejecutar el servicio especificado. 

Asimismo, los PISP autorizados también tienen la obligación legal de cerrar sesión de la cuenta bancaria del usuario de forma inmediata una vez se haya efectuado la orden de pago y completado la ejecución de la transacción. Todas estas medidas están encaminadas a garantizar la privacidad de las transacciones y evitar un uso malintencionado de los datos de los clientes.

Aplicaciones de los servicios de iniciación de pagos (PIS) 

La iniciación de pagos está destinada a aplicarse en muchos sectores conforme se consolide el open banking y se generalice su uso entre la población. Tiene multitud de aplicaciones diferentes, como por ejemplo:

Las API bancarias, el elemento que hacen posible las PIS

Pero, ¿cómo es posible materializar todo este proceso desde el punto de vista técnico? Pues muy sencillo, básicamente gracias a la apertura de las API bancarias. Gracias a ellas, cualquier PISP puede acceder a los datos bancarios de los clientes en tiempo real e integrar toda esta información en sus aplicaciones de una forma sencilla, ágil y, por supuesto, estandarizada.

Es decir, el servicio de iniciación de pagos no lo realiza un ser humano, sino un código fuente que utiliza todas las especificaciones necesarias para que la transacción se realice de forma adecuada y sin que por ello se vea comprometida la seguridad del usuario. 

También podría interesarte