La Directiva revisada sobre servicios de pago, o PSD2, introdujo cambios significativos en el funcionamiento de los pagos en plataformas y marketplaces de Europa. Asimismo, cambió la manera en que los proveedores de servicios de pago pueden obtener acceso permitido a cuentas bancarias y gestionar pagos, e introdujo la autenticación reforzada de clientes (SCA) con el fin de que los pagos sean más seguros.
Ahora, la Comisión Europea revisó el marco actual y propuso cambios para la Directiva revisada sobre servicios de pago 3 (PSD3) y el Reglamento sobre servicios de pago (PSR). Estas nuevas reglas de pago buscan incrementar la uniformidad de las reglas en la UE y continuar desarrollando un entorno justo para proveedores de servicios de pago, así como introducir mejoras en la protección de clientes y contra fraudes.
A pesar de que ya se están llevando a cabo las negociaciones entre el Parlamento Europeo y los Estados miembros de la UE, no se espera que las reglas finales entren en vigencia hasta antes de 2026. Sin embargo, hay ciertos cambios importantes que las plataformas y marketplaces deben conocer y para los que pueden comenzar a prepararse hoy. En esta guía, se ofrece un resumen de estos cambios para que puedas prepararte de forma adecuada ante las nuevas reglas de pago de Europa.
La Comisión Europea obligará a la Autoridad Bancaria Europea (EBA) a establecer Normas técnicas de regulación (RTS) complementarias y a definir reglas detalladas en torno a aspectos importantes de la PSD3/PSR, como la autenticación reforzada de clientes (SCA), a fin de que las empresas puedan implementarlas.
Resumen: ¿Qué cambiará con la PSD3?
|
Reglas de aplicación directa en toda la UE
|
En el nuevo Reglamento sobre servicios de pago se incluyen la mayoría de las reglas ya existentes contempladas en la PSD2, por ejemplo, las relativas a fraude y responsabilidad, transparencia, banca abierta y SCA. Sin embargo, estas reglas serán ahora de aplicación directa para todos los Estados miembros. En consecuencia, se reduce el margen permitido de los Estados miembros para interpretar las reglas de forma diferente. Esto significa que se aplicarán las reglas de pago de manera más uniforme en toda la UE, lo cual facilitará la implementación para las empresas. |
|---|---|
|
Las instituciones de pago podrán emitir dinero electrónico
|
Con la PSD3, se combinan los marcos legales relativos a las instituciones de dinero electrónico y de pago. En el futuro, de acuerdo con la PSD3, las instituciones de dinero electrónico dispondrán de una licencia como instituciones de pago. Estas instituciones podrán emitir dinero electrónico, y se derogará la Directiva de dinero electrónico (EMD2). |
|
Exención para agentes comerciales más restrictiva
|
Con las nuevas reglas, se endurecen aún más los requisitos para las plataformas y marketplaces que pueden emplear la exención para agentes comerciales, y se limitan las circunstancias en las que se puede recurrir a esta exención para los pagos. |
|
Medidas para mejorar los pagos de banca abierta
|
Se implementarán nuevos valores de referencia con el fin de mejorar el rendimiento de las API de la banca abierta y eliminar los obstáculos a los que se enfrentan los proveedores externos para acceder a las cuentas bancarias de los clientes. Con esto, se prevé mejorar el funcionamiento y la adopción de la banca abierta. |
|
Mayor responsabilidad ante el fraude
|
Los PSP tendrán mayor responsabilidad ante el fraude en muchos más casos y deberán implementar medidas adicionales a fin de combatirlo (por ejemplo, informar a los clientes sobre riesgos de fraude o compartir información relevante con otras instituciones financieras). |
|
Nuevas reglas para la supervisión de transacciones y SCA
|
Se aclararán las reglas relativas a la aplicación de la SCA, por ejemplo, en el caso de transacciones iniciadas por el comerciante y transacciones de pedidos telefónicos o por correo. Además, posiblemente también se produzcan cambios en las nuevas Normas técnicas de regulación de la Autoridad Bancaria Europea en cuanto a los requisitos de supervisión de las transacciones y exenciones de la SCA. |
¿Cómo afectará la PSD3 a plataformas y marketplaces?
Pagos para plataformas y marketplaces según las reglas de la PSD2 actuales
El marco de la PSD regula los pagos para plataformas y marketplaces. Por ejemplo, cuando una plataforma posee o controla fondos de un comprador y los acredita al vendedor, se considerará que esta proporciona servicios de pago regulados, como al operar una cuenta de pago, realizar transacciones de pago o remitir impuestos. Sin embargo, existe una importante excepción a esta regla: la exención para agentes comerciales, a la que en el pasado las plataforma solían intentar acogerse a para evitar obtener una licencia.
Con la PSD2, se restringe la exención para agentes comerciales y se aplica exclusivamente a los casos en que una plataforma o marketplace solo actúa en nombre del emisor o del receptor del pago, pero no en nombre de los dos. Al actuar en nombre de los dos, una plataforma solo puede eludir el requisito de una licencia si no posee ni controla los fondos (es decir, si depende de un proveedor de servicios con licencia). La finalidad de esta restricción es mitigar el riesgo crediticio de empresas de marketplace y plataformas al limitar la gestión de fondos adquiridos a una entidad regulada que tenga la obligación de cumplir los requisitos de seguridad locales.
Con la exención para agentes comerciales, se permite que las partes proporcionen servicios de pago sin una licencia, en los casos en los que actúen como agentes comerciales en nombre de un emisor o un receptor de pagos.
Reglas más estrictas para plataformas y marketplaces con la PSD3
Con la PSD3, se propone endurecer aún más los requisitos para plataformas y marketplaces mediante la exención para agentes comerciales. Como resultado, la exención para agentes comerciales posiblemente esté solo disponible para plataformas y marketplaces en circunstancias muy limitadas. Si tienes una plataforma o empresa que actualmente depende de la exención para agentes comerciales, debes prestar especial atención al impacto de la PSD3.
Con las nuevas reglas, se incrementan las condiciones que deben cumplirse a fin de que se aplique la exención para agentes comerciales: el agente debe tener la autorización del emisor o receptor del pago para negociar o finalizar transacciones en su nombre, y darles a estos un margen real para negociar con el agente. En el preámbulo de la PSD3, se reitera que las plataformas de comercio electrónico que actúan como agentes en nombre de tanto compradores como vendedores individuales no son agentes comerciales y, por lo tanto, no pueden participar de actividades de servicios de pago sin una licencia.
Asimismo, la PSD3 requiere que la Autoridad Bancaria Europea establezca pautas específicas que ofrezcan mayor claridad y convergencia entre los Estados miembros de la UE, así como también una lista de casos de uso que se abordan en la exención.
Cómo Stripe ayuda a las plataformas y marketplaces a cumplir los nuevos requisitos
El objetivo de Stripe siempre ha sido crear productos que minimicen la carga regulatoria de nuestros usuarios. Eliminamos la carga de la PSD2 para las plataformas con la creación de Connect, que les permite eludir los requisitos regulatorios mediante una solución técnica. Connect ofrece la misma ventaja a plataformas y marketplaces que se rigen por la PSD3 al ofrecerles una solución de pago que no los obliga a obtener una licencia de pago.
Cuando Stripe proporciona el servicio regulado, las plataformas pueden centrarse en lo que mejor saben hacer: crear marketplaces increíbles para sus usuarios. Cientos de plataformas con vendedores en todo Europa ya eligen confiar en Connect, en vez de tener que obtener su propia licencia de pago o demostrar que sus condiciones se ajustan a las exenciones.
Pagos en la plataforma con Connect
Si tienes preguntas sobre Stripe Connect, nos gustaría ayudarte.
¿Cuáles son las nuevas reglas para la autenticación reforzada de clientes (SCA)?
Papel de la SCA en la reducción del fraude
La Autenticación reforzada de clientes (SCA) se introdujo en Europa con la PSD2 para reducir el fraude e incrementar la seguridad de los pagos en línea y sin contacto. La SCA requiere autenticación mediante autenticación de dos factores. Para obtener más información sobre la SCA, consulta nuestra guía sobre autenticación reforzada de clientes (SCA).
En la evaluación de la Comisión Europea de la PSD2, se concluyó que la SCA fue eficaz en la reducción del fraude. El objetivo de la PSD3/PSR es consolidar y mejorar la SCA al aclarar definiciones clave, especificar aún más las exenciones para transacciones de bajo riesgo y seguir fomentado el equilibrio de la seguridad con el desarrollo de métodos de pago innovadores, accesibles y fáciles de usar.
Creemos que las nuevas reglas pueden mejorar incluso más la experiencia de los clientes durante el proceso de compra en línea. Además, proporcionan más claridad a instituciones financieras, redes de tarjeta y proveedores de servicios de pago a fin de aplicar exenciones de SCA a transacciones con menor riesgo o recurrentes. A largo plazo, las reglas nuevas pueden incluir también la posibilidad de exenciones adicionales, en función del riesgo de una transacción y según las mejoras en tecnología. Las empresas deben seguir optimizando sus motores de SCA de acuerdo con las nuevas reglas a fin de obtener los mejores resultados de autenticación.
|
MIT
|
En el caso de las transacciones iniciadas por el comerciante (MIT), la SCA solo debe aplicarse en el momento de configurar la orden, pero no para las MIT posteriores. Para estas transacciones, se introduce un derecho de reembolso incondicional de ocho semanas, similar al de los débitos directos SEPA. |
|---|---|
|
MOTO
|
Si se trata de transacciones de pedidos telefónicos o por correo (MOTO), el requisito de que no sea digital solo se aplica al inicio de la transacción de pago a fin de que esta pueda estar exenta de la SCA. |
|
Enlace dinámico
|
Los elementos de la SCA que enlazan de forma dinámica la transacción con un importe específico y un emisor del pago deben usarse para las transacciones de pago electrónico en las que se efectúa un pago a través del dispositivo de quien emite el pago mediante la tecnología de proximidad (por ejemplo, la comunicación de campo cercano, o NFC), y la aplicación de la SCA exige el uso de Internet en el dispositivo del emisor del pago. |
|
Servicios de información de cuentas
|
En el caso de los PSP que prestan servicios de información de cuentas en el marco de la banca abierta, la SCA solo se exige en el primer acceso a los datos. Sin embargo, la SCA es obligatoria cuando los clientes acceden a los datos agregados de la cuenta en el dominio del proveedor de servicios de información de cuentas, al menos cada 180 días. |
|
Tokenización
|
La tokenización exige la aplicación de la SCA cuando el titular de la tarjeta participa activamente en el proceso de tokenización (por ejemplo, al registrar o reemplazar una tarjeta en una billetera o en una solución de registro de tarjetas). |
|
Supervisión de las transacciones
|
La Autoridad Bancaria Europea establecerá Normas técnicas de regulación para la supervisión de las transacciones a cargo de los proveedores de servicios de pago, que tendrán en cuenta factores ambientales y de comportamiento (por ejemplo, la ubicación del cliente o los hábitos de gasto). Esto fundamenta el uso de las exenciones a la SCA para las transacciones que plantean un nivel de riesgo bajo (por ejemplo, exenciones de análisis de riesgo de las transacciones). |
|---|---|
|
Exenciones de la SCA
|
La ABE también se encarga de elaborar Normas técnicas de regulación adicionales sobre los requisitos y exenciones de la SCA, para lo que tiene en cuenta un enfoque basado en el riesgo y el uso de la tecnología. |
|
Autenticación en dos pasos
|
Las nuevas reglas sugieren que los factores utilizados para la autenticación en dos pasos en el marco de la SCA no tienen por qué pertenecer a categorías diferentes, siempre que su independencia se conserve plenamente. Esto podría permitir a los clientes autenticarse con dos contraseñas, o bien con una huella y reconocimiento facial. |
|
Accesibilidad
|
Los PSP deben ofrecer diferentes formas de aplicar la SCA, por ejemplo, mediante SMS, que no dependan del uso de un dispositivo inteligente. |
|
Responsabilidades para los proveedores de servicios técnicos (TSP)
|
Los TSP y los operadores de los sistemas de pago asumirán la responsabilidad por la falta de soporte en la aplicación de la SCA. Con esto, se pretende garantizar una mayor cooperación entre todas las partes que participen en la aplicación de la SCA. |
|---|---|
|
Externalización
|
Los proveedores de servicios de pago que dependan de los proveedores de servicios técnicos para ofrecer y verificar elementos de la SCA deben tercerizar acuerdos con estos proveedores. La ABE establecerá los requisitos para estos acuerdos externos. |
Más medidas para evitar el fraude y proteger a los consumidores
Además de los requisitos de SCA actualizados, las nuevas reglas introducen más medidas para reforzar la protección de los consumidores y animar a los proveedores de servicios de pago (PSP) a adoptar medidas adicionales para evitar el fraude. Entre ellas se incluye los requisitos de que los PSP expliquen a los clientes acerca de las tendencias de fraude, realicen programas de capacitación interna con regularidad, cooperen con los proveedores de servicios de comunicaciones electrónicas y compartan información con otras instituciones financieras. También requieren que los PSP reembolsen a los usuarios de servicios de pago por transacciones fraudulentas en caso de fraude por suplantación.
Cómo Stripe te ayuda a cumplir los requisitos de SCA
La introducción de SCA en PSD2 afectó significativamente al comercio por internet en Europa. Con el fin de garantizar una transición sin inconvenientes en la adopción de las nuevas reglas, Stripe trabajó junto con las empresas y los socios afectados a fin de implementar los nuevos requisitos y gestionar el impacto en las tasas de conversión. En consecuencia, colaboramos para admitir métodos de autenticación, por ejemplo, 3D Secure 2 y desarrollar nuevos métodos de autenticación de dos factores para facilitar una experiencia de autenticación sin inconvenientes para las empresas y sus clientes.
Nuestros productos, incluidos Stripe Checkout y Billing, se desarrollan con base en nuestra API de pagos, que emplea la lógica de la SCA de Stripe para activar 3D Secure cuando sea necesario. Nuestra solución de SCA incluye la gestión adecuada de exenciones como un componente clave para ofrecer una experiencia de pago de primera clase que minimice la fricción, al tiempo que proporcione seguridad de primer nivel. Optimizamos la aplicación de la SCA para diversas reglas normativas, bancarias y de redes de tarjeta, y aplicamos exenciones relevantes, por ejemplo, para pagos de bajo riesgo o pagos corporativos seguros, de modo que solo se active 3D Secure o se aplique la autenticación de dos factores cuando sea necesario.
Flujo de autenticación de la SCA
El motor de autenticación de Stripe también aprovecha los modelos de machine learning que detectan el riesgo en tiempo real y permiten a las empresas ofrecer la mejor experiencia de su clase a los clientes y, al mismo tiempo, garantizar el cumplimiento de la normativa de la SCA.
Seguiremos supervisando los próximos cambios en la SCA. Nuestra solución de SCA actualizada puede ayudarte a aplicar esta autenticación y a aumentar el éxito de la autenticación y las tasas de conversión, minimizando el fraude y sin dejar de cumplir las reglas de la SCA. Obtén más información sobre cómo mejorar los ingresos con mayores tasas de autorización usando Stripe.
Próximos pasos
La PSD3 y PSR constituyen una importante actualización de las reglas de pago de Europa. A modo de preparación para las reglas revisadas, las plataformas y marketplaces deberán revisar el uso de las exenciones, por ejemplo, la exención para agentes comerciales, si corresponde, o bien continuar dependiendo de proveedores de servicios de pago regulados para ofrecer soluciones de pago.
En vistas de la PSD3/PSR y de todas las próximas pautas de la EBA, las empresas también tendrán que revisar los requisitos de la SCA de manera continua. Los proveedores de servicios de pago que hayan integrado actualizaciones de la SCA en su motor de autenticación pueden colaborar con la optimización del número de pagos que requieren SCA y la maximización de la tasa de éxito de la autenticación de dos factores, al tiempo que minimizan el fraude.
Durante 2024 y 2025, la Comisión Europea, el Parlamento Europeo y los Estados miembros de la UE concluirán las nuevas reglas. Posteriormente, los Estados miembros de la UE tendrán que trasladar la PSD3 a las legislaciones nacionales. Aunque, en esta etapa, no hay plazos definidos en torno a las negociaciones ni a la implementación, es poco probable que las reglas entren en vigencia antes del 2026.
Stripe participa en conversaciones con los responsables de la toma de decisiones correspondientes y compartimos nuestra opinión sobre cómo las futuras reglas de pago europeas pueden funcionar de manera óptima para las empresas y sus clientes. Actualizaremos esta página a medida que haya más información disponible.
Si quieres obtener más información sobre cómo Stripe puede ayudarte en la preparación ante las reglas revisadas o, si quieres contarnos tu opinión, ponte en contacto con tu equipo de Stripe o envía un correo electrónico a nuestro equipo de PSD3 a psd3@stripe.com.
Para obtener respuestas a las preguntas más frecuentes de los usuarios sobre la situación normativa de Stripe Connect en Europa, consulta esta página de preguntas frecuentes.