Introducción a la Directiva de Servicios de Pago 2 (PSD2)

La Directiva (UE) 2015/2366, relativa a los servicios de pago en el mercado interior, comúnmente conocida como PSD2, constituye una pieza legislativa fundamental en el marco regulatorio financiero de la Unión Europea. 

Su propósito es doble: por un lado, armonizar la regulación de los nuevos servicios de pago e información de cuentas con un enfoque transfronterizo para fomentar un mercado único, integrado y eficiente; y por otro, reforzar la seguridad de las transacciones electrónicas y la protección de los consumidores. 

Para ello, establece un marco jurídico que impone el desarrollo de normas en cada país a partir de las directrices de la directiva que dará pie a nuevos servicios financieros y a nuevos actores impulsando la innovación tecnológica en el sector financiero, en lo que se conoce como Open Banking.

Ámbito subjetivo de la PSD2

La normativa de los servicios de pago distingue seis categorías de prestadores de servicios de pago que pueden llevar a cabo esta actividad. En el caso español, según el artículo 5 del Real Decreto-ley 18/2018, los seis prestadores son:

1. Las entidades de crédito incluidas las sucursales en España de entidades de crédito extranjeras, tanto si las administraciones centrales de esas sucursales están ubicadas en el interior de la Unión Europea como si lo están fuera de ella.
2. Las entidades de dinero electrónico incluidas las sucursales en España de entidades de dinero electrónico extranjeras, tanto si las administraciones centrales de esas sucursales están ubicadas en el interior de la Unión Europea como si lo están fuera de ella, en la medida en que los servicios de pago prestados por las sucursales estén vinculados a la emisión de dinero electrónico.
3. Las entidades de pago autorizadas específicamente para prestar servicios de pago, como transferencias, adeudos domiciliados o servicios de iniciación de pagos.
4. La Sociedad Estatal de Correos y Telégrafos, S.A., respecto de los servicios de pago para cuya prestación se encuentra facultada en virtud de su normativa específica.
5. El Banco Central Europeo, el Banco de España y los demás bancos centrales nacionales cuando no actúan en su condición de autoridades públicas.
6. La Administración General del Estado, las Comunidades Autónomas y las Entidades Locales cuando no actúan en su condición de autoridades públicas.

Roles en el ecosistema PSD2

Para operar legalmente, las entidades deben obtener una autorización de la autoridad nacional competente (NCA) —que en el caso del Banco de España se refleja en la asignación de un identificador de entidad de 4 cifras que se puede consultar en el registro de entidades de su sitio web— que determinará los roles que asume la entidad:

• ASPSP (Account Servicing Payment Service Provider): proveedor de servicios de pago y gestor de cuentas. Es la entidad (generalmente un banco) que ofrece y mantiene la cuenta de pago de un usuario. Está obligada a proporcionar acceso seguro a sus interfaces de programación de aplicaciones (API) a los AISP y PISP. La entidad financiera tradicional en la que abren cuenta sus clientes.
• AISP (Account Information Service Provider): proveedor de servicios de información sobre cuentas. Entidad autorizada para acceder a la información de las cuentas de pago de un cliente mantenidas en uno o varios ASPSP, con el fin de consolidar dicha información y ofrecer al cliente una visión agregada de su situación financiera. La entidad que permite a sus clientes ver de forma consolidada todas sus cuentas bancarias en una sola aplicación.
• PISP (Payment Initiation Service Provider): proveedor de servicios de iniciación de pagos. Entidad que, a solicitud del usuario, inicia una orden de pago desde una cuenta mantenida en un ASPSP. Actúa como un intermediario que facilita las transferencias sin que el pagador necesite interactuar directamente con la interfaz de su banco. Permite realizar desde una misma App transferencias desde cualquiera de las cuentas bancarias del usuario. Se suele asociar a compras en comercio electrónico, en las que se concluye con una transferencia a la cuenta del vendedor,

CBPII (Card-Based Payment Instrument Issuer): emisor de instrumentos de pago basados en tarjetas. Entidad que emite instrumentos de pago vinculados a una tarjeta y que, antes de autorizar una transacción, necesita confirmar la disponibilidad de fondos en la cuenta del cliente, mantenida en un ASPSP. Los tradicionales  pagos por tarjeta gestionados con nuevos protocolos.

Certificados electrónicos cualificados: pilar de seguridad en PSD2

Un requisito técnico y de seguridad indispensable bajo la PSD2 es el uso de certificados electrónicos cualificados, conforme a lo estipulado en el Reglamento (UE) Nº 910/2014, conocido como Reglamento eIDAS. La obligatoriedad de su uso se detalla en los Estándares Técnicos de Regulación (RTS) sobre Autenticación Reforzada de Cliente (SCA) y Comunicación Común y Segura (CSC) (Reglamento Delegado (UE) 2018/389).

Estos certificados son instrumentos criptográficos emitidos exclusivamente por prestadores cualificados de servicios de confianza (QTSP) y sirven para que los a los AISP y PISP y los ASPSP (proveedores de cuenta) se identifiquen mutuamente de forma fehaciente en las comunicaciones a través de APIs, garantizando un entorno seguro y de confianza.

Existen dos tipos de certificados cualificados específicos para el cumplimiento de PSD2:

• QWAC (Qualified Website Authentication Certificate): Su función principal es la identificación de la entidad que inicia una comunicación y el establecimiento de un canal de comunicación cifrado (de tipo TLS, Trusted Layer Securty). El QWAC permite al ASPSP verificar el nombre de la entidad que intenta acceder a su API y su identificación en el registro de la NCA. El certificado contiene también los roles PSD2 que gestiona (AISP, PISP, CBPII).
• QSealC (Qualified Electronic Seal Certificate): Certificado de persona jurídica. Este certificado se utiliza para crear sellos electrónicos cualificados (técnicamente semejantes a las firmas electrónicas, pero con certificados de persona jurídica en vez de certificados de persona física). Su finalidad es garantizar la integridad y la atribución a las entidades AISP y PISP de los datos transmitidos (por ejemplo, órdenes de pago o información de cuentas). Al «sellar» la información, se asegura que no ha sido alterada durante su transmisión desde de los AISP y PISP al ASPSP, protegiéndola de potenciales ataques de tipo man-in-the-middle. Este certificado también incluye los roles PSD2 que gestiona (AISP, PISP, CBPII).

Para más información técnica sobre el proceso de emisión de certificados, puedes consultar esta Guía de emisión de certificados PSD2 de EADTrust (PDF).

El rol de los prestadores cualificados de servicios de confianza (QTSP)

La emisión de certificados QWAC y QSealC es una actividad regulada y reservada a los Prestadores Cualificados de Servicios de Confianza (QTSP). Estas entidades han sido auditadas por CABs (Conformity Assessment Bodies, Organismos de Evaluación de Conformidad) y su actividad está vigilada por el organismo de supervisión nacional de su país. De lo que se deriva su inclusión en la Lista de Confianza de la Unión Europea (EU Trust List), garantizando el máximo nivel de fiabilidad y cumplimiento con el Reglamento eIDAS.
EADTrust es un Prestador Cualificado de Servicios de Confianza radicado en Madrid, incluido en la lista de confianza del Ministerio para la Transformación Digital y de la Función Pública de España y, por ende, en la ‘EU/EAA Trusted Service List’ de la Comisión Europea. Como QTSP, EADTrust está facultado para emitir los certificados PSD2 (QWAC y QSealC) que las entidades reguladas necesitan para operar en el ecosistema del Open Banking con plenas garantías jurídicas y de seguridad. Las entidades que requieran la obtención de estos certificados deben dirigirse a un QTSP acreditado para asegurar el cumplimiento normativo.

¿Qué relación hay con la Verificación del Beneficiario?

Una de las aplicaciones prácticas que están emergiendo en el contexto de la PSD2 y el Open Banking es la verificación del beneficiario o Verification of Payee, que busca reducir fraudes confirmando que el titular de la cuenta receptora coincide con el nombre indicado por el pagador. Puedes profundizar más sobre este tema en el artículo publicado por Julián Inza en su blog: Verificación del beneficiario.

Solicita tus certificados QWAC y QSEAL

Solicita ya tu certificado PSD2 (QWAC/QSealC) con EADTrust, te acompañamos en cada paso para que el proceso sea claro, rápido y sin complicaciones.