El Banco de España no forzará la aplicación de la PSD2 el próximo 14 de septiembre para el comercio electrónico.

El próximo 14 de septiembre era la fecha límite que había fijado la Union Europea para que se aplicaran todos los requerimientos dictados por la Directiva de Servicios de Pago 2 (PSD2 por sus siglas en inglés). Esto incluía la temida Autenticación Reforzada del Consumidor (más conocida como SCA por sus siglas en inglés) para los pagos por tarjeta en comercio electrónico.

Parece que una vez más, esto no va a ser así y el regulador nacional, el Banco de España, aplicará "flexibilidad regulatoria", aceptando de facto una nueva moratoria de aplicación.

El principal motivo es que parece imposible que los diferentes actores del sector, banca, comercios y consumidores, estén tecnológicamente preparados para entonces.

El ecosistema de pagos, y de tarjetas en particular, es un sistema complejo, con diferentes interconexiones entre bancos (adquirientes y emisores), las redes de tarjetas (VISA, Mastercard), intermediarios como los PSPs, los comercios y finalmente los compradores. Todos estos subcomponentes deben hablar protocolos compatibles y la Directiva está precisamente redefiniendo cómo esos protocolos deben ser. De todos modos, todo empieza en la banca, tanto en la parte adquiriente que captura los pagos como en la emisora, que debe autorizar finalmente la transacción. La tecnología de la banca no está lista y por tanto, el resto de actores no tienen cómo "conectarse" a esos nuevos protocolos no implementados.

Crónica de una moratoria anunciada

Si miramos el calendario de la historia de la PSD2, tenemos:

  • Se aprobó en el 2015.
  • Entró en vigor el 12 de enero del 2016.
  • Todas sus regulaciones debían aplicarse a partir del 13 de enero del 2018.
  • El Diario Oficial de la Unión Europea del 13 de marzo del 2018 publicó las normas técnicas de regulación del SCA y fijó su entrada en vingor para el 14 de septiembre del 2019.
  • España, previo aviso de sación, traspuso la ley el 23 de noviembre del 2018, casi un año después del límite de aplicación.

Por otro lado, a pesar de la publicación de las normas técnicas, han existido muchas dudas de implementación que la EBA ha ido resolviendo con cuentagotas.

Finalmente, tanto España como otros países decidieron que usarían el protocolo de pago con tarjetas 3D Secure 2.2 del consorcio EMVCo (participado por todas las marcas de tarjetas, incluyendo VISA y Mastercard) para garantizar los requerimientos técnicos de la norma. El principal problema es que la última especificación de protocolo es de diciembre del 2018 y parece muy complicado que pueda ser implementado por toda la cadena tecnológica para la fecha límite de septiembre.

A finales de marzo de este año, RedSys (el consorcio tecnológico de la banca española) publicó las APIs para utilizar sus TPVs virtuales con los nuevos protocolos. No obstante puedo afirmar en primera persona que los manuales son incompletos e imprecisos y hasta hace apenas unos días no se ha podido empezar a probar en los entornos de prueba, donde sigue siendo un desarrollo muy parcial.

Verano calentito

Con este panorama, nos plantamos en junio del 2019, con la fecha límite a la vuelta de la esquina, sin que el 3DSecure 2.2 esté desplegado, sin que los comercios hayan podido hacer pruebas de integración y con muchas dudas que la banca pueda tener a punto sus entornos para septiembre.

La banca española solicita entonces al Banco de España una moratoria para la aplicación. El Banco de España responde solicitando la creación de una propuesta transversal así como un pla de acción de implementación. Por otro lado solicita una autorización a la EBA.

En otro países europeos se produce una situación análoga, donde las asociaciones de banca y comercio presionan a sus bancos centrales y estos a la EBA.

Finalmente, el 21 de junio, la EBA publica una nota en la que da la potestad a cada banco central sobre tomar la decisión de la aplicación de una moratoria en su territorio acuñando el eufemismo "flexibilidad regulatoria". Establece la condición que debe existir un plan de migración, que esté acordado por todos los actores con su banco central y que se ejecute de manera expedita.

Dicho de otra forma, la EBA se lava las manos y devuelve la pelota a cada regulador nacional.

Así pues, cada país ha constituido comités nacionales con los diferentes actores y, como era de esperar, han surgido planes de implementación diferentes, tanto en tecnología como en plazos.

Ante el riesgo de una solución no armonizada, que podría tener consecuencias críticas en el caso de pagos transfronterizos, la EBA convocó el pasado miércoles 24 de julio a una reunión en París a todos los reguladores nacionales.

El resultado de esa reunión se explicó al sector español el lunes 29 de julio en el Comité Nacional de Pagos presidido por el Banco de España. Estas son las conclusiones:

  • Todavía no se ha adoptado una decisión armonizada en todo el espacio europeo.
  • Se habló básicamente de plazos de moratoria.
  • Hay opiniones diversas entre los diferentes países, pero la propuesta más extendida habla de una moratoria adicional de 18 meses. España proponía 14 meses + 4 meses adicionales de armonización.
  • La EBA ha decidido entender mejor la situación enviando cuestionarios a los difernetes actores:
    • A los consumidores a través de una asociación global europea.
    • A los comercios, a través de las asociaciones nacionales de cada país.
    • A cada uno de los bancos europeos por separado.
  • El Comité Nacional de Pagos volverá a reunirse la primera semana de septiembre para evaluar la situación.
  • La EBA se reunirá en un momento indeterminado durante la segunda o tercera semana de septiembre (os recuerdo que la norma entra en vigor el 14...).
  • En cualquier caso, si hay una moratoria, todo eso sólo aplica al online. El resto de regulaciones que aplican al offline, deberán aplicarse en la fecha prevista.

"Flexibilidad regulatoria" en septiembre

En este momento, la situación es la siguiente:

  • Por un lado no ha habido ninguna autoridad competente que haya revocado la aplicación de la PSD2 para el 14 de septiembre.
  • Se ha concedido la potestad a los reguladores nacionales de aplicar "flexibilidad regulatoria".
  • No se ha alcanzado un conseso europeo sobre la aplicación.
  • La próxima reunión de la EBA coincide con la fecha de entrada en vigor de la norma.

Todo el mundo que estuvo en la reunión del Comité Nacional de Pagos no duda en afirmar que en España no se forzará la aplicación en septiembre.No obstante, sería deseable que el Banco de España se pronunciara de forma clara al respecto para que todo el sector pueda disfrutar un poco las vacaciones.

Por otro lado queda la duda sobre qué pasará con los pagos internacionales si algún país decide que sí está preparado y empieza a aplicar el SCA en fecha y de manera unilateral...

En cualquier caso, descansad ahora, que el otoño se presenta interesante.