La segunda Directiva de Servicios de Pago y sus impactos en el mercado - IEF

Nota Técnica

Número 31

Enero 2018

B 21662-2012

La segunda Directiva de Servicios de Pago y sus impactos en el mercado

Javier Santamaria

Se ubica la Directiva de Servicios de Pago revisada en el contexto normativo, técnico y de mercado actual, y se exploran las implicaciones que tendrá en el sector, sobre el que se pronostican tiempos de cambios profundos y acelerados.
Se situa la Directiva de Serveis de Pagament en el context normatiu, tècnic i de mercat actual. També s’hi exploren les implicacions que tindrà en el sector, sobre el qual es pronostiquen temps de canvis profunds i accelerats.
The revised Payment Services Directive is portrayed within the current regulatory, technical, and business context, and the implications to the industry are explored, resulting in a forecast of a time of profound and accelerated change.

Última hora

La Directiva de Servicios de Pago revisada entra en vigor el próximo 13 de enero de 2018. La Comisión Europea (CE) remitió, el 27 de noviembre de 2017, al Parlamento Europeo y al Consejo, para su ratificación, la propuesta de texto final de las normas técnicas de regulación1 sobre autenticación reforzada y comunicación común y segura relativas a servicios de pago. Terminaría con esto, básicamente, el largo proceso de desarrollo normativo secundario derivado de la promulgación de la Directiva. Un proceloso viaje cuya última etapa:

  • Comenzó con el borrador de dichas normas redactado por la Autoridad Bancaria Europea (ABE) y hecho público el 13 de febrero de 2017.
  • Se complicó con la Comunicación de la CE de 24 de mayo en la que sugería la introducción de enmiendas de profundo calado.
  • Fijaba dos posiciones bien distintas con la opinión manifestada por la ABE el 29 de junio en la que mantenía su propuesta y rechazaba, en la práctica, las sugerencias significativas de la CE.
  • Sacaba a la superficie dos visiones técnicas, políticas y de negocio en conflicto defendidas con ardor por las distintas partes interesadas en los ámbitos público y privado.
  • Se acercaba al final al arrancar el plazo de tres meses con que cuentan el Parlamento Europeo y el Consejo para ratificar el texto del reglamento delegado con las normas técnicas de regulación. Si se produce el acuerdo, estas normas entrarán en vigor, aproximadamente, en septiembre de 2019.

La Directiva de Servicios de Pago revisada puede zarandear los cimientos del mercado de servicios de pago en los próximos años. ¿Qué hay que saber sobre ella?

La trascendencia de los servicios de pago y su regulación

Una rápida búsqueda en Internet habla de “cambios fundamentales en la industria [de pagos]», de “uno de los impactos más importantes para retailers en Europa», de “revolución de los pagos online»… En la literatura internacional europea se emplean expresiones similares: The Economist, en su número de 25 de marzo de 2017, subtitulaba un artículo enfatizando que la nueva norma europea sobre pagos tiene el potencial de sacudir los bancos (“New European payments regulation has the potential to shake up the banks”); como ejemplo de la mayoría de voces de analistas autorizados vale el primer párrafo del informe sobre la Directiva realizado por PwC :2

The adoption of the revised Directive on Payment Services (PSD2) has set the stage for open banking in Europe. By providing standardized access to customer data and banking infrastructure, PSD2 will lower the barriers for entry to third-party providers and financial technology companies (FinTechs), and it will stimulate the development of new business models and a wide range of new banking services. In this way, PSD2 will be a catalyst for both disruption and strategic renewal in Europe’s banking markets.

¿Qué contiene esta Directiva que hace correr ríos de tinta en los ambientes profesionales y que, al menos en buena parte de Europa, aunque no en España, ha llevado el debate fuera del campo de los proveedores de servicios de pago y ha alcanzado a sus usuarios, empresas y ciudadanos? ¿Por qué este interés? ¿Qué van a suponer los cambios previstos y cómo van a afectar a nuestra vida? ¿Son los pagos tan importantes?

Que en España no haya trascendido una discusión más general y pública sobre esta norma3 que se promulgó en noviembre de 2015 y entró en vigor en enero del año siguiente se debe, en primer lugar, a que hay otros focos evidentes de atención más atractivos y exigentes pero, también, al hecho de que no se haya progresado visiblemente en la necesaria transposición de esta norma al ordenamiento jurídico nacional y no se cuente con un borrador de lo que sería la correspondiente ley española sobre servicios de pago. A estas alturas del año, es prudente suponer que su promulgación no llegará a tiempo ya que el plazo formal establecido finaliza el 13 de enero de 2018 (artículo 115 de la Directiva). Reconociendo esta ausencia de norma española y obviando los obstáculos añadidos que este retraso implica, se puede analizar la Directiva asumiendo que su transposición será fiel reflejo del texto de la Directiva y no se introducirán cambios significativos en el texto español en el correspondiente proceso legislativo4 .

Antecedentes y contexto

Antes de analizar implicaciones e impactos de la nueva norma a nivel europeo, y para entender los factores impulsores de los cambios que se avecinan, es preciso detenerse en dos aspectos que, por evidentes, se pasan por alto: el primero atañe al hecho de que se habla de la segunda Directiva, lo que quiere decir que hay una primera y, por tanto, un proceso evolutivo en la legislación de los servicios de pago; el segundo implica el reconocimiento de un mercado de servicios de pago sobre el que poco se conoce, al menos por la gente corriente.

Ocho años antes de la promulgación de la segunda Directiva se había publicado la primera, la Directiva 2007/64/ CE de 13 de noviembre y con idéntico título5 , con la que se establece una pieza fundamental para la creación de la Zona Única de Pagos en Euros, la SEPA (por sus siglas en inglés, Single Euro Payments Area), es decir, el mercado único europeo de pagos. Esta norma regula por primera vez la relación entre proveedores y usuarios de servicios de pago. Las novedades más conspicuas que introduce su articulado se refieren (interesa ir marcha atrás en la lectura del texto legal):

  • A los derechos y obligaciones en relación con la prestación y utilización de servicios de pago (título IV, que define la correcta ejecución de las operaciones de pago, las condiciones de excepción, el régimen de autorizaciones y consentimientos de los usuarios, las responsabilidades y limitaciones de los proveedores y que, muy importante, establece el nexo con la debida protección de los datos).
  • A las condiciones y requisitos de información aplicables a los servicios de pago (título III, que fija las condiciones con que se debe facilitar información antes, durante y después de los servicios de pago, incluyendo los marcos contractuales en que estos servicios de pago se presten).
  • A la identificación de los proveedores de servicios de pago (en adelante PSP) y a la introducción de una nueva categoría, las entidades de pago (título II). Aparte del hecho de que la corrección jurídica obliga a hablar del PSP y ya no de bancos (los proveedores de servicios de pago por antonomasia hasta la fecha), la introducción del concepto de entidades de pago tiene una importancia doble. Por un lado, surge la comparación con las entidades de dinero electrónico, que tienen legislación propia6 , y que materializa una diversidad regulada en paralelo y que da pie, al menos potencialmente, a divergencias y diferencias de tratamiento, por lo que no son pocos los que reclaman una integración y homogeneización legal. Por otro lado, esta clase nueva de entidades de pago es la que recogerá la aparición de otro tipo de actores en el sector de servicios de pago que serán entronizados por la segunda Directiva.
  • A la descripción del objeto y ámbito de aplicación y a la fijación de definiciones (título I). Esta parte de la norma, muchas veces banal y no trascendente, cobra en esta Directiva un valor crítico. Es la primera vez que se conciben los servicios de pago como un objeto legislable; antes, este tipo de servicios había descansado en la denominada autorregulación: los servicios se prestaban de acuerdo con las normas de negocio y estándares técnicos que los propios proveedores acordaban en régimen de cooperación en los distintos campos de actuación (nacional, transfronterizo, relativo a uno u otro instrumento de pago –tarjeta, transferencia o adeudo domiciliado, por ejemplo–, aspectos de negocio o aspectos meramente técnicos y operativos). Para hacerse una idea cabal de los anteriores intentos normativos habría que recurrir a la Directiva 97/5/ CE de 27 de enero, relativa a las transferencias transfronterizas cuyo título marca la exigua extensión de su alcance y que habla de ecus, o al Reglamento (CE) nº 2560/2001 de pagos transfronterizos en euros, absolutamente específico en su objeto. Esta primera Directiva descubre, pues, que los servicios de pago se deben regular para lograr la integración del mercado interior y la armonización de los distintos regímenes nacionales. Efectivamente, en cada estado miembro los servicios de pago habían evolucionado de muy distintas maneras como consecuencia de muchos factores consuetudinarios que afectan, de manera natural, a una actividad tan ligada con aspectos profundos del comportamiento humano. Al margen de que ni esta primera Directiva, ni la segunda, por cierto, definen el término “pago”(aunque sí “orden de pago», “operación de pago”y muchos otros conexos), se abre la puerta (algunos dicen que la caja de Pandora) a la idea de que los servicios de pago son un objeto más de legislación y desaparece el limbo de la autorregulación.

El segundo aspecto que se pasa por alto habitualmente y que requiere una presentación, siquiera de trámite, es el concepto de mercado de servicios de pago. Cualquier profesional bancario reconocerá que, junto con la custodia de efectivo y otros valores, la venta de productos de ahorro, la contratación de préstamos y créditos, el asesoramiento y tratamiento de la información, los servicios de pago y transaccionales y, finalmente, la gestión de la liquidez constituyen las cinco actividades básicas que un banco como lo entendemos en la actualidad desarrolla para sus clientes. En estos tiempos modernos una inmensa mayoría de ciudadanos (y empresas y negocios) sabe que los pagos se pueden realizar en efectivo (billetes y monedas) y con instrumentos de pago ahora denominados electrónicos (fundamentalmente, tarjetas, transferencias, adeudos domiciliados; pudiendo dejar a un lado los minoritarios y casi llamados a desaparecer cheques y letras de cambio). Si nos centramos en los instrumentos electrónicos, ¿existe de verdad un mercado? Como se sospechará, una respuesta positiva implica preguntarse por el tamaño de dicho mercado, para hacerse una idea de su importancia.

La firma de la consultoría The Boston Consulting Group7 cifra en 1,2 billones de dólares de EEUU el volumen total de ingresos en 2016, en el mundo, de la actividad relacionada con pagos. La consultora McKinsey&Company8 va más allá y los estima, también para 2016, en 1,6 billones. Son cifras astronómicas difíciles de aprehender y contextualizar; para dar una idea de su tamaño se puede comparar con el volumen de producto interior bruto (PIB) global que el Banco Mundial estima que fue de 75,64 billones de dólares para ese periodo. Es decir, los cálculos de las empresas consultoras del tamaño del mercado lo sitúan, en términos comparativos, como una proporción del PIB del mundo del 1,57 o 2,12 por ciento, respectivamente. No es, por tanto, poca cosa. Más atención llaman, todavía, las previsiones que hacen de la evolución en los próximos años. Para The Boston Consulting Group, el crecimiento de 2016 a 2026 de esos ingresos será de un 8% anual medio en los mercados emergentes (lo que representa 700 mil millones adicionales de dólares) y del 4% anual medio en los mercados maduros (lo que representa un incremento de 250 mil millones de dólares). McKinsey&Company estima el crecimiento medio anual total, en el quinquenio de 2016 a 2021, en el 7% (lo que supondría un incremento de la cifra de negocio de unos 600 mil millones de dólares)9 . Estas cifras y crecimientos esperados explican el interés que empresas como Google, Amazon, Facebook, Apple o Alibaba (en conjunto, conocidas como GAFAA) parecen estar mostrando por los pagos. Por supuesto que el conocimiento y la explotación de la información que acompaña los pagos tienen un valor incalculable; por supuesto que atender mejor a sus clientes y ofrecerles una mejor experiencia de usuario está entre sus objetivos. Pero no se cierren los ojos a la evidencia: también quieren obtener beneficios financieros directos, una porción del pastel.

Indudablemente estos crecimientos y esta actividad están en consonancia con los gustos y apetencias de los clientes y usuarios. Analizar cómo van a evolucionar los pagos, afectados por las normativas que se están promulgando y las que vendrán, requiere detenerse, al menos brevemente, en el entendimiento de las necesidades y preferencias de los clientes, empresas y particulares. Las consultoras Marketforce & Tata Consultancy Services10 predijeron en 2016 que, en dos años, el 40% de las transacciones financieras estarían originadas por individuos pertenecientes a la generación Y11. Otra firma de consultoría, Accenture12, habla del 51% de clientes bancarios que pueden cambiar de entidad en los próximos 6 meses, o del 79% de consumidores que encuentran frustrante que una compañía ofrezca lo mismo una y otra vez.

Los consumidores han cambiado y los bancos o, mejor dicho, los PSP tienen que adaptarse a los consumidores que dependen de su teléfono móvil, de las redes sociales, del concepto ”low cost” y de las tecnologías “cheap&smart”. Que los clientes siempre quieran más, mejor y más barato, es lo que no ha cambiado.

El limitado riesgo sistemático de prestar a la economía real

Los negocios, los clientes profesionales y, en general, los usuarios no individuales también han cambiado, pero buscan algo más que la mera rapidez o la competencia entre sus proveedores. Las empresas exigen de sus bancos y de los PSP más que un procesamiento STP13: requieren servicios de valor añadido y gestión de la información que les permita hacer crecer sus negocios, soluciones rápidas, flexibles, ubicuas que resuelvan sus problemas más allá de los relacionados estrictamente con los pagos. No es sencillo satisfacer esta extrapolación que supone la “consumerización14”del ámbito empresarial.

La tecnología como motor de este proceso acelerado de evolución requiere unas palabras. No es fácil adivinar cómo será el escenario de los pagos dentro de cinco o diez años y pocos se atreven a responder a las solicitudes de oráculos. Hay algunos elementos, no obstante, que parecen ingredientes fijos de las recetas. Las tecnologías de registros distribuidos (DLT, del acrónimo en inglés, Distributed Ledger Technologies, que son la base de blockchain y de la mayoría de criptomonedas incrustadas en estas plataformas como Bitcoin, Ethereum, Ripple, Litecoin…), la Internet de las Cosas (IoT), la inteligencia artificial, la robótica y el aprendizaje de máquinas (machine learning), la biometría y las técnicas avanzadas de autenticación y gestión de la identidad digital, el análisis y tratamiento de datos masivos (Big Data), y la ciberseguridad son ejemplos de campos que ofrecen soluciones ya, sin esperar el futuro (si acaso, les falta un punto de sazón a los ordenadores cuánticos). Todas estas “tecnologías”tienen aplicaciones en el mundo de los pagos. No debe extrañar, por tanto, que también desde este ángulo se requiriera una segunda directiva para poner al día el ámbito jurídico respecto de lo que ya funciona en la calle.

Una primera enseñanza es que para entender el complejo mundo de los pagos hay que atender a los aspectos técnicos, a los normativos y a los procedentes de los usuarios de servicios. No es que haya que ser un sabio de amplio espectro; más bien hay que crear equipos multidisciplinares con tecnólogos, asesores legales y gestores de clientes. Si, además, se quiere ser un oferente sostenible de servicios de pago y se desea diseñar productos económicamente viables, se precisa alguien con conocimientos de marketing financiero en el equipo. En lo tocante a la regulación de los pagos, no basta con un conocimiento enfocado en el área de competencia. Hay que entender de una manera más integral las normas que concurren con las específicas de pagos: las relativas a protección de datos, las que tienen que ver con la prevención del blanqueo de capitales y de financiación del terrorismo, las que tiene que ver con la seguridad en la red (Internet), las que afectan a la gestión de la identidad digital y a los procesos de autenticación, las que vengan como consecuencia de impulso de la Comisión Europea al mercado único digital (Digital Single Market) y otras varias que también ejercen su influencia en el campo de los servicios de pago (incluidas las que afectan el efectivo y el dinero electrónico).

La relevancia específica de la Directiva revisada

El objetivo expreso de la segunda Directiva es profundizar en la creación del mercado único integrado de pagos en la Unión Europea (UE), para lo que se requiere una actualización de las normas que las adecúen al nuevo escenario tecnológico (tanto en lo relativo a funcionalidades nuevas como en atención a los riesgos ligados a la seguridad de las transacciones) y a los niveles crecientes de servicio que requieren los usuarios en un marco competitivo mundial15. Revisar la primera Directiva y reformar sus aspectos obsoletos o colmar las lagunas legales es un segundo paso sencillo una vez los pagos son materia conocida desde el punto de vista legal. La segunda Directiva introduce varias novedades lógicas, casi de trámite, y algunas muy relevantes, más que cualquiera tratada en la primera Directiva.

La Directiva revisada mantiene la estructura de títulos de la primera. Las novedades normativas progresivas o de perfeccionamiento que introduce incluyen:

  • La incorporación de las transacciones con un PSP fuera de la UE (lo que en terminología inglesa se denomina las transacciones one leg out) y de todas las divisas. En la primera Directiva era una opción que algunos estados miembros ya han implantado, entre ellos España.
  • La exclusión de dispositivos de telecomunicaciones y digitales.
  • La exclusión como “agentes comerciales”para proveedores de plataformas de comercio electrónico.
  • La exclusión de “red limitada”y de “bienes y servicios en gama muy limitada».
  • El reforzamiento de la protección a los consumidores. Este punto tiene una relevancia económica y cualitativa muy superior a los cuatro anteriores, si bien no hace más que ahondar en la senda iniciada en la normativa existente.
  • La especificación de obligaciones de seguridad y establecimiento de la exigencia (salvo excepciones concretas) de autenticación reforzada. Este punto requiere explicación más pormenorizada.

El punto novedoso y disruptivo que introduce la Directiva revisada es la definición legal de unas pocas actividades más relacionadas con los servicios de pago, y la introducción del tipo de entidades que las pueden desempeñar que es la ampliación de la categoría de entidades de pago con subtipos nuevos (proveedor de servicios de iniciación de pagos, también conocidos como PISP, por sus siglas en inglés, Payment Initiation Service Provider; y proveedor de servicios de información sobre cuentas, también conocidos como AISP, por el inglés Account Information Service Provider). El uso de acrónimos se generaliza y al banco habitual que gestiona cuentas de pago ya no se le denomina así, ni siquiera PSP, sino proveedor de servicios de pago gestor de cuenta (ASPSP, en inglés, Account Servicing Payment Service Provider). No debe olvidarse otra funcionalidad a la que se da carta de naturaleza en el artículo 65, que es la confirmación de saldo por parte del ASPSP a petición de un PSP que emita instrumentos de pago basados en tarjetas.

Antes de detenernos en los dos aspectos más noticiables, es decir, cómo se lleva a cabo la autenticación reforzada y qué supone este acceso a las cuentas para iniciar pagos o acceder a información por terceras partes (los llamados, precisamente, TPP, por Third Party Providers, que engloban tanto a los PISP como a los AISP; lamentable embrollo lingüístico el de los acrónimos), merece la pena recomendar la lectura de algún documento de análisis y resumen de la Directiva más que el propio texto, que también, aunque son 93 páginas. Todas las grandes firmas de consultoría han publicado informes y documentos muy legibles sobre la PSD216; los bancos internacionales también han contribuido a la difusión del entendimiento de la Directiva17. Un acercamiento en cinco minutos se puede conseguir con la lectura de la doble página del informe anual de 2016 de Iberpay18, y una aproximación visual, muy informativa y entretenida, con la magnífica infografía al respecto del European Payments Council (EPC), “PSD2 Explained»19.

El debate todavía inconcluso

Aunque parece próxima la finalización del debate sobre cómo llevar a cabo la autenticación reforzada, todavía no se conoce la versión final del documento que la CE debe remitir al Parlamento Europeo y al Consejo como consecuencia del mandato de la propia Directiva, que encomienda a la ABE la redacción de unas normas técnicas de regulación (más conocidas por el acrónimo RTS, Regulatory Technical Standards: las RTS constituyen un instrumento formal de actuación de la ABE) que la CE debe hacer suyas. La ABE publicó el 13 de febrero de 2017 su borrador20, que quiso ser modificado por la CE, a través de una Comunicación emitida el 24 de mayo de 201721 . La ABE respondió el 29 de junio con una opinión que mantenía su posicionamiento prácticamente sin variación. Llama la atención este “enfrentamiento”en una cuestión tan técnica como la fijación de unos estándares para llevar a cabo la autenticación reforzada (básicamente el empleo de dos factores de autenticación de tres posibles: algo solo en posesión del usuario, algo solo conocido por el usuario, alguna característica propia solo del usuario). Efectivamente este nudo gordiano tiene resonancias políticas, porque refleja también la existencia de dos posicionamientos distintos que seguramente también reflejan los entendimientos de los legisladores que tendrán que tomar la decisión final, Parlamento Europeo y Consejo. El Consejo, representante de los gobiernos estará, probablemente, más próximo a las tesis más conservadoras de la ABE en cuestión de seguridad en transacciones financieras, postura que defienden los actores establecidos, como los bancos tradicionales, mientras que el Parlamento puede ser más sensible a argumentos de innovación e incremento de la competencia que trató de reflejar la Comisión en un principio, apoyada por los nuevos entrantes que se han dado en llamar “fintechs”, empresas tecnológicas, generalmente de reciente constitución, que explotan funcionalidades innovadoras usualmente en nichos de mercados financieros y necesitan escala para su viabilidad. Efectivamente, esta dualidad técnica y política tiene su paralelismo comercial en una especie de thriller antagónico de “bancos versus fintechs». Por supuesto que los bancos habrán ejercido su influencia (lobbying ) a través de sus asociaciones sectoriales o directamente: de esto queda poco rastro. Las fintechs, con menos recursos estructurales organizados, han querido alzar la voz en medios más públicos. La asociación Future of European Fintech Alliance (formada por 72 miembros, fintechs, nuevos bancos challengers y asociaciones de fintechs) fue rápida en emitir una opinión muy crítica con la posición, inamovible, de junio de ABE, diez páginas publicadas el mismo 29 de junio22.

Este tipo de respuesta inmediata y contundente también se produjo como consecuencia de la carta23 que otra asociación, la FIDO Alliance (formada por grandes empresas, incluso bancos, pero con un sesgo muy enfocado en las cuestiones de seguridad: Alibaba, American Express, Google, ING, Microsoft, Paypal, Samsung y otros muchos24) remitió a la CE y al Parlamento Europeo sobre el espinoso asunto del screen scraping (método que utilizan muchas de estas fintechs para acceder a las bancas electrónicas de los clientes usando sus propias credenciales, “leer las pantallas»25 y emplear las credenciales como si fuera los clientes, de una manera muy parecida a como se lleva a cabo el fraude conocido como man in the middle). El BEUC (Bureau Européen des Unions de Consommateurs, asociación de defensa de los consumidores a nivel europeo) también se ha posicionado en contra de este screen scraping precisamente por estas similitudes con la “usurpación de la personalidad», que no tienen riesgo si la tercera parte es de confianza pero que, si se generalizan, pueden dar lugar a un uso descuidado y peligroso de las credenciales confidenciales de acceso a las cuentas bancarias. No obstante, la reacción de Future of European Fintech Alliance no se hizo esperar y el 12 de septiembre de 2017 publicó su respuesta a la carta de FIDO26. Merece la pena leer toda esta correspondencia porque encierra más pasión y emociones que muchas novelas epistolares de renombre.

La CE ha realizado un esfuerzo por satisfacer a ambas partes y ha remitido, el 27 de noviembre de 2017, un texto al Parlamento Europeo y al Consejo, para su ratificación el reglamento delegado que contiene el texto definitivo de las normas técnicas de regulación. La respuesta de los dos legisladores solo puede ser de aprobación o rechazo de las RTS, sin capacidad de enmienda o matización. La idea novedosa de la CE es la de permitir que los bancos o los ASPSP que pongan a disposición una interfaz dedicada de acceso a sus cuentas, con unos niveles de servicio adecuados y contrastados por el mercado27 y certificados por la autoridad competente, no se vieran obligados a dar acceso a los TPP vía sus aplicaciones de banca electrónica, y aceptando métodos como el screen scraping, aunque con más seguridad porque en todo caso el TPP debe identificarse adecuadamente ante el ASPSP. El resto de los ASPSP que no faciliten una interfaz adecuada de calidad suficiente no se podrán oponer a que los TPP accedan con esta forma mejorada de “impersonation28, o “acceso directo”, como prefieren denominarlo las fintechs. Habrá que estar atentos en las próximas semanas a la reacción de los legisladores. El calendario futuro, en todo caso, se aclara. El Parlamento y el Consejo cuentan con un plazo de tres meses para tomar su decisión. Si es positiva, se espera que el texto se publique a finales de enero de 2018. Como el plazo que se fija para la entrada en vigor de la obligatoriedad de la adopción de las medidas –plazo para que los agentes económicos se adapten– es de 18 meses, se estima que la fecha efectiva de entrada en vigor será en torno a septiembre de 2019, es decir, un año y medio después de la entrada en vigor de la PSD2 (13 de enero de 2018). Estos dieciocho meses suponen un periodo de incertidumbre por lo incompleta que resulta la Directiva sin el complemento de las normas técnicas de regulación. Los aspectos siguientes, son algunas de las cuestiones que los proveedores de servicios de pago no tienen perfectamente claro: cómo se debe establecer la conexión e interacción entre TPP y ASPSP; si se permitirá el screen scraping más allá de enero de 2018, no ya para los TPP ya establecidas sino para las nuevas que surjan; cómo se gestionará el consentimiento de los usuarios de cara a unos y otros agentes; dónde quedan los límites de cada licencia (AISP y PISP), por ejemplo, cuando se pretenda iniciar pagos en situaciones de diversidad de cuentas de pago de origen. Hay, además, otro aspecto que requiere reflexión por su posible repercusión en el sector y es el de la posible fragmentación derivada de una implantación de las normas, por parte de los ASPSP, descoordinada o que refleje gustos o preferencias de las comunidades nacionales y se alejen de presupuestos paneuropeos. Sin duda, las autoridades vigilarán esta evolución y procurarán que no se produzca.

Las primeras reacciones después de la publicación del texto de la CE, indican que la controversia todavía no se ha disipado. El BEUC, el mismo 17 de noviembre, publicó una nota de prensa29 en las que indicaba que las RTS dejan mucho que desear. Su crítica expone que los estándares de seguridad son débiles y que hay un número excesivo de excepciones y derogaciones. En particular, muestra preocupación por la protección de los datos de los consumidores y se muestra escéptica a que el acceso a estos se limite a lo estrictamente necesario.

Por otra parte, la organización The European eCommerce & Omni-Channel Trade Association (EMOTA), que representa a los comerciantes electrónicos europeos, también se muestra crítica en su nota de prensa de la misma fecha30, pero por razones distintas. Para ella, las RTS generan inconvenientes y obstáculos excesivos para el buen funcionamiento del comercio electrónico y molestias para los consumidores. En su opinión, las normas imponen condiciones excesivamente exigentes. Una vez más, se materializa la fricción y el difícil equilibrio que existe entre comodidad y seguridad. Los efectos combinados de la PSD2 y el Reglamento General de Protección de Datos31 van a ser muy relevantes, sin duda.

Las implicaciones para los negocios

¿Qué esconde esta segunda Directiva sobre servicios de pago que genera esta controversia entre técnicos, entre instituciones europeas y entre ideas de negocio? Pues que siendo el mercado de los pagos muy relevante y de un tamaño más que considerable, lo que está en juego es mucho mayor y más crítico. Lo que se está dirimiendo es el modo en que los usuarios accederán a los proveedores de servicios de pago y a otros muchos servicios. Que los servicios de pago tienen un valor estratégico más allá del transaccional relativo a las propias operaciones en sentido estricto está fuera de toda duda: lo que la mayoría de empresas buscan (además de la rentabilidad inmediata) es la información que estos pagos aportan. Se trata de los datos y, con los datos, del conocimiento del cliente. Si además del conocimiento se tiene un acceso directo, un contacto con el cliente, el pago deja de ser un fin y es un medio por el cual acceder a algo superior, la relación con el cliente o, dicho en términos pomposos, la propiedad (ownership) del cliente. Por eso hay tanta discusión sobre cómo se establece este acceso a las cuentas, si de modo directo o a través de una interfaz dedicada y si es con una interfaz, qué tipo de interfaz y bajo dominio de quién está esa interfaz. En última instancia, está en juego el modelo de gestión de identidades electrónicas, lo que es fácil de plantear, pero difícil de desbrozar.

Cuando se habla de interfaz dedicada, los profesionales técnicos entienden un tipo concreto de interfaz, llamada API: Application Programming Interface. Estas son interfaces que, de acuerdo con la Directiva revisada y las normas técnicas de regulación, proporciona el ASPSP (el banco que gestiona cuentas) para que desarrolladores terceros accedan con soluciones e ideas de negocio propias (como desarrolladores terceros acceden, vía API, a Google Maps para incluir los mapas de Google en su entorno de negocio y propuesta de valor, valga el ejemplo).

Esta apertura forzada de los accesos a las cuentas da origen al concepto de open banking; en la medida en que los bancos se acomoden al nuevo entorno tendrán que adaptarse a la existencia de relaciones nuevas, inesperadas, no sujetas a contrato alguno, que surjan espontáneamente de las terceras partes. Las entidades tradicionales que acepten esta nueva forma de llevar a cabo su negocio, en un régimen de apertura y transparencia nunca antes vivido, tendrán que desarrollar estrategias apropiadas de open banking. Muchos comentaristas afirman que la PSD2 es su origen material y concreto, ya que impone el empleo generalizado de las API, interfaces puestas a disposición por las entidades gestoras de cuentas para que otros desarrollen funcionalidades externas, y exploten el valor de estas fuera del alcance de las entidades. Las posibilidades son muy diversas y hay muchas maneras de plantear estrategias de adecuación al nuevo entorno (léase, por ejemplo, el documento elaborado por la Euro Banking Association al respecto32).

Puede ilustrar la potencialidad de estos cambios profundos que se avecinan el reflexionar sobre la combinación de los nuevos accesos a las cuentas, y la información aneja con las capacidades que se están desarrollando con los pagos inmediatos en toda Europa. Se van a poder orden transferencias con abono y disponibilidad inmediatos (cuestión de muy pocos segundos) en la cuenta del beneficiario, en cualquier momento del día, cualquier día de la semana. Habrá muchas empresas con iniciativas para explotar los distintos ámbitos, entre personas, entre empresas, entre personas y empresas o administraciones públicas. La inmediatez cambia el concepto de los pagos, y que estos sean accesibles por proveedores ajenos a la gestión de las cuentas obliga a cambiar los modelos de negocio.

Cambiará, por tanto, la naturaleza de la relación de los usuarios con sus proveedores de servicios de pago y, necesariamente, estos cambiarán. Surgirán nuevos proveedores porque otros modelos distintos a los actuales de negocio serán viables. Se consolidarán los TPP existentes, aunque tengan que convertirse en entidades reguladas. Los ASPSP, tradicionales proveedores, también tendrán que decidir si desarrollar sus capacidades de iniciación de pagos y acceso a la información de cuentas gestionadas por otras entidades como si de TPP se tratara. El mercado generará nuevos servicios y nuevas funcionalidades, en muchos casos vehiculadas por fintechs. Todo ello enriquecerá el ecosistema europeo de los servicios de pago. Los grandes beneficiados serán, sin duda, los usuarios.

Se inicia un periodo de adaptación que requerirá cuantiosas inversiones por parte de los proveedores de servicios de pago (para alegría de consultores, desarrolladores de software, fabricantes de hardware, bufetes de asesoramiento legal y otros). Las grandes empresas tecnológicas que hoy lideran la relación digital con los consumidores están muy interesadas, como lo están las nuevas fintechs. Esta intensificación de los niveles de competencia por supuesto que genera retos a los actores establecidos, por más que estén convencidos de que también existen oportunidades. Este nuevo entorno es un factor más de cambio en Europa que hará más necesaria la reestructuración de la industria bancaria, su redimensionamiento y la reducción de la capacidad implantada en el continente. Un factor que se une a otros varios en plantear ese nuevo ecosistema competitivo que le pone un signo de interrogación a la rentabilidad sectorial, al menos en lo que a los servicios de pago se refiere.

Con toda la nueva competencia procedente de los nuevos entrantes, los bancos tradicionales tienen ya problemas urgentes que resolver. Sin embargo, serán los propios bancos los que resulten potencialmente más letales porque la PSD2 abre acceso a los nuevos entrantes, pero también a los establecidos. Las entidades de crédito que operan en el mercado de los pagos no necesitan licencia adicional para desarrollar las nuevas actividades definidas por la Directiva: pueden, sin traba, iniciar pagos y acceder a la información de cuentas en otras entidades, en el mismo régimen y con las mismas capacidades que las que se conceden a los nuevos entrantes. En un brevísimo análisis “porteriano33” se podría concluir que los bancos tradicionales van a tener que hacer frente a una fortísima intensificación de la competencia por nuevos productos sustitutivos y las amenazas de empresas competidoras entrantes, pero que bastante tienen con la ya existente rivalidad entre competidores actuales. La pregunta fundamental que tienen que plantearse los bancos es si, al margen de tener que lograr la conformidad con el nuevo marco normativo, deberán desplegar estrategias proactivas en busca de ingresos adicionales o se contentan con la mera defensa de su negocio tradicional.

Nunca antes el sector de los pagos había resultado tan interesante y atractivo desde un punto de vista profesional; tanto que muchos de los que están en las refriegas técnicas, institucionales, comerciales se lo toman acaloradamente. Los pagos han pasado de producir “boredom” a levantar pasiones en los “boardrooms34.

Relación de abreviaturas y acrónimos empleados

  • ABE: Autoridad Bancaria Europea
  • AISP: Proveedor de servicios de información de cuentas, según la Directiva (UE) 2015/2366
  • API: Interfaz de programación de aplicaciones
  • ASPSP: Proveedor de servicios de pago gestor de cuenta, según la Directiva (UE) 2015/2366
  • BEUC: Bureau Européen des Unions de Consommateurs
  • CE: Comisión Europea
  • EPC: European Payments Council
  • DLT: Distributed Ledger Technology (o Technologies), tecnología(s) de registros distribuidos
  • EMOTA: The European eCommerce & Omni-Channel Trade Association, que representa a los comerciantes electrónicos europeos
  • GAFAA: Google, Amazon, Facebook, Apple, Alibaba
  • IoT: Internet of Things, la Internet de las Cosas.
  • PIB: Producto Interior Bruto
  • PISP: Proveedor de servicios de iniciación de pagos, según la Directiva (UE) 2015/2366
  • PSD2: Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las directivas 2002/65/CE, 2009/ 110/CE, y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE
  • PSP: Proveedor de servicios de pago, según la Directiva (UE) 2015/2366
  • RTS: Normas Técnicas de Regulación, emitidas por la ABE
  • SEPA: Zona Única de Pagos en Euro, o Single Euro Payments Area
  • STP: Straight Thorough Processing, o procesamiento directo de extremo a extremo
  • SWIFT: Society for Worldwide Interbank Financial Tele communication SCRL
  • TPP: Proveedor tercero (third party provider); engloba a AISP y PISP.
  • UE: Unión Europea

Bibliografía y notas al pie

  1. Muchas veces se las denomina con el acrónimo inglés, RTS: Regulatory Technical Standards. Véase la página 12.
  2. Catalyst or threat? The strategic implications of PSD2 for Europe’s Banks. 2016 – PwC.
  3. Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/ CE (Texto pertinente a efectos del EEE).
  4. No siempre se ha llegado tarde. Baste con recordar la promulgación del Real Decreto-ley 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y le eficiencia que, en sus artículos del 9 al 15 anticipaba en más de un año la reducción de las tasas de intercambio en operaciones de pago con tarjeta previstas en el Reglamento (UE) 2015/751 para diciembre de 2015 y junio de 2016.
  5. Diario Oficial de la Unión Europea de 5 de diciembre de 2007. En España se transpuso con la Ley 16/2009 de Servicios de Pago.
  6. Directiva 2009/110/CE y, antes, la 2000/110/EC.
  7. Global Payments 2017 – Deepening the Customer Relationship – The Boston Consulting Group.
  8. Global Payments 2017: Amid Rapid Change, An Upward Trajectory – McKInsey&Company.
  9. Es preciso señalar que la estimación de McKinsey&Company asigna el crecimiento mayoritariamente a las regiones APAC (Asia-Pacífico) y Latinoamérica. Para la región de EMEA (Europa, Oriente Medio y África), el crecimiento es no significativo o nulo y se constata un estancamiento de la cifra de negocio desde 2011 en 300 mil millones de dólares. Este dato es importante para entender por qué empresas globales pueden percibir un atractivo inherente en el negocio global de los pagos, cuando desde una perspectiva europea no parece un sector apetecible y en expansión.
  10. Digital Roadmap – Marketforce & Tata Consultancy Services.
  11. Wikipedia informa que la generación Y, que sigue a la X, es la generación milenial, del milenio o milénica, y corresponde, aproximadamente a los nacidos en la década de los ochenta.
  12. Digital Customer – Accenture.
  13. STP: Straight through processing, o procesamiento directo de extremo a extremo.
  14. Tendencia creciente por la cual las nuevas tecnologías de la información surgen primero en el mercado de los consumidores y, luego, machine learning se propagan hacia las organizaciones comerciales y gubernamentales (Wikipedia).
  15. No hay que ser ajeno a la realidad de la competencia, existente a nivel global, entre las potencias económicas (Europa, Estados Unidos, China…) y al hecho de que los campeones europeos en el sector de pagos brillan por su ausencia.
  16. Sin ánimo exhaustivo y como botón de muestra valgan el informe de PwC mencionado en la primera página, el análisis de Accenture, https://www.accenture.com/ t20160831T035645Z__w__/us-en/_acnmedia/PDF-19/ Accenture-Banking-Opportunities-EU-PSD2-v2.pdf#- zoom=50, y el de Deloitte, https://www2.deloitte.com/ content/dam/Deloitte/lu/Documents/financial-services/ Banking/lu-psd2-new-market-entrants-03032016.pdf.
  17. Se pueden citar, como meros ejemplos de ayuda, el informe de Deutsche Bank, http://cib.db.com/docs_new/ White_Paper_Payments_Services_Directive_2.pdf, y el esfuerzo divulgativo de BBVA, https://www.bbva.com/es/losaber-la-psd2/.
  18. Páginas 25 y 26 del Informe Anual de 2016 de Iberpay: https://www.iberpay.es/Documentos/DOCREF_INFORMESANUALES/IBERPAY_INFORME_ANUAL_2016___1.PDF.
  19. https://www.europeanpaymentscouncil.eu/sites/ default/files/files/2017-06/EPC_Infographic_PSD2_ March-2017_Updated%20June%202017.pdf.
  20. https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technical-standards-on-strong-customer-authentication-and-secure-communication-under-psd2.
  21. https://ec.europa.eu/transparency/regdoc/rep/3/2017/ EN/C-2017-3459-F1-EN-MAIN-PART-1.PDF.
  22. https://www.futureofeuropeanfintech.com/assets/170704-EBAs-opinion-on-the-European-Commissions-amendments-to-the-RTS.pdf.
  23. https://fidoalliance.org/fido-alliance-addresses-psd2-screen-scraping/.
  24. https://fidoalliance.org/participate/members/.
  25. A veces se traduce esta ingeniería inversa del screen scraping como “raspado de pantalla».
  26. https://futureofeuropeanfintech.com/assets/170912- Respone-to-FIDO-Alliance-letter-on-PSD2.pdf.
  27. Parece que la idea incorpora como elemento constitutivo la creación de una entidad, cuya naturaleza jurídica estaría por decidir, en la que participarían los ASPSP y los TPP, para examinar las API y analizar su idoneidad y adecuación (.https://blog.vasco.com/legal/psd2-update-rtsscreen-scraping/).
  28. Con el screen scraping, los proveedores terceros “se hacen pasar”por las personas a las que toman prestadas las credenciales de acceso; aunque con consentimiento no se puede hablar de suplantación de la personalidad, el procedimiento es similar.
  29. http://www.beuc.eu/publications/proposed-securitystandards-online-payments-eu-leave-lot-be-desired/html
  30. https://www.emota.eu/so/cL-_3APD?cid=faa1c1b0- 59dc-4f53-b7f9-2d746b5542f0#/main.
  31. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
  32. https://www.abe-eba.eu/media/azure/production/1355/eba_open_banking_advancing_customer-centricity_march_2017.pdf
  33. Porter, Michel Eugene. (Marzo–Abril 1979) How Competitive Forces Shape Strategy, Harvard Business Review.
  34. Juego de palabras en inglés: los pagos han pasado del aburrimiento a ser asuntos candentes de los consejos de administración.

¿Quieres registrarte en ODF?

Regístrate para recibir más información...