Además de algunas novedades concretas, como la autorización de las entidades de pago por el Banco de España en lugar de por el Ministerio de Economía, Comercio y Empresa, o la limitación de responsabilidad en caso de operaciones no autorizadas como consecuencia de la pérdida o extravío del medio de pago a 50 euros (anteriormente, 150 euros), los aspectos más innovadores guardan relación con la aparición de dos nuevos servicios de pago, que obligan a adaptar todo el marco de la prestación de los servicios de pago: el servicio de iniciación de pagos y el de información sobre cuentas.
El servicio de iniciación de pagos permite iniciar una orden de pago a petición del usuario del servicio de pago, respecto de una cuenta de pago abierta con otro proveedor de servicios de pago. El servicio de información sobre cuentas es un servicio en línea cuya finalidad consiste en facilitar información agregada sobre una o varias cuentas de pago de las que es titular el usuario del servicio de pago, bien en otro proveedor de servicios de pago, o bien en varios proveedores de servicios de pago.
Estos servicios los pueden ofrecer las entidades bancarias tradicionales, pero también dos nuevos proveedores como son el “proveedor de servicios de pago gestor de cuenta” y el “proveedor de servicios de iniciación de pagos”.
De este modo, el tradicional mercado de pagos queda alterado para dar cabida a estos nuevos proveedores y al conocido como modelo de banca abierta (“open banking”).
PSD2 es una norma ambiciosa que aspira a profundizar en un mercado de servicios de pago integrado, competitivo, innovador y eficiente en la Unión Europea, sin menoscabar la protección de los usuarios. De ahí la importancia que la norma atribuye a los aspectos relativos a la seguridad de los servicios de pago.
Los usuarios deberán emplear al menos dos elementos de autenticación entre los siguientes:
- Algo que posean, como una tarjeta o un teléfono móvil;
- algo que sepan, como una contraseña o un código temporal que le haya sido enviado;
- o algo únicamente suyo, como una huella dactilar, la voz o el reconocimiento facial.
Se introduce la “autentificación reforzada” del cliente para realizar pagos o acceder a su cuenta. Esto implica que, para cualquier tipo de pago, se deberá utilizar un sistema de doble autentificación. Por ejemplo, deberán introducir una contraseña y, además, un código de SMS.