Com afecta al comerç electrònic el nou sistema PSD2?

Correspon a l’entitat bancària contractada fer els canvis necessaris per aplicar la nova normativa.

El primer dia de gener del 2021 entra en vigor la Directiva PSD2, que té com a principals objectius un reforç en la seguretat per fer front al frau digital i eliminar intermediaris en les operacions de pagaments electrònics. Per tant, és un canvi que repercuteix directament en el comerç en línia.

PSD2: Directiva de serveis de pagament EU 2015/2366, normativa que reforça la seguretat dels pagaments electrònics dins de la Unió Europea i que regula l’accés a les dades bancàries dels consumidors per part de tercers. A nivell espanyol, el Reial Decret-llei 19/2018 va incorporar la Directiva europea.

Si fins ara en les compres per Internet els comerços havien de contactar amb diversos intermediaris, i aquests ho feien amb la companyia responsable de la targeta, per poder, finalment, carregar el cobrament al comprador, ara l’usuari podrà directament autoritzar al comerç fer efectiu el pagament en nom seu a través del compte bancari. Això serà possible mitjançant una aplicació API que garantirà la protecció de les dades bancàries del comprador, a través d’un sistema d’autentificació reforçada que té per objectiu evitar operacions fraudulentes.

API: Abreviatura d’Application Programming Interfaces (interfície de programació d’aplicacions). Estableix com un mòdul d’un software es comunica o interactua amb un altre per a complir una o diverses funcions.

En termes pràctics, això suposa que cal modificar els mecanismes del comerç en línia, reforçant els processos d’identificació que han de fer els usuaris que compren per Internet. La majoria d’empreses tenen delegada la gestió de les passarel·les de pagaments en tercers (bancs o proveïdors de serveis de pagament, marketplaces i tots els llocs web que ofereixen serveis de venda en línia amb certificats QSeals-Qualified Electronic Seal Certificates for PSD2), i per tant seran aquests els que han de portar a terme aquests canvis.

Ara bé, si el nostre negoci o empresa disposa de comerç en línia, és del tot aconsellable comprovar que el canvi de mecanisme s’ha fet efectiu i que per tant en el nostre comerç electrònic s’aplica el nou sistema. En cas de tenir-ne dubtes, poseu-vos en contacte amb l’entitat bancària que us ho gestiona. Penseu que si algun delinqüent es fa passar per un client i compra al vostre comerç electrònic, i el motiu és que no s’ha fet efectiva l’autentificació reforçada, l’entitat bancària farà el reemborsament de diners a la persona estafada, però després reclamarà l’import al comerç.


Combinació de dos elements independents

El sistema d’autentificació reforçada exigeix combinar com a mínim dos elements independents per verificar la identitat del consumidor. Hi ha tres categories o tipologies de verificació:

  • Allò que només sap l’usuari (coneixement).
  • Allò que només té l’usuari (possessió).
  • Allò que forma part de l’usuari (inherència).

L’Autoritat Bancària Europea (EBA) va publicar una llista d’exemples vàlids per a cada categoria, i cal que es combinin com a mínim dos elements de categories diferents perquè es faci efectiu el pagament.


L’autenticació reforçada quedarà exempta en transaccions inferiors a 30 €, sempre i quan no se’n facin més de cinc en 24 hores, o se superin els 100 € de despesa en un dia.

Cada servei de comerç electrònic tindrà habilitada l’autenticació reforçada o pot aplicar alguna excepció que li permeti no sol·licitar la SCA (Strong Customer Authentication). Són excepcions:

  • Subscripcions o transaccions habituals (només caldrà en la primera ocasió).
  • Transaccions tipus MOTO (Mail Order and Telephone Orders) (habilitar servei d’un call center per fer operació).
  • Identificacions de targetes corporatives (llista blanca per a l’entitat).
  • Transaccions de risc baix (enviant informació addicional sobre l’històric del client, per exemple amb un enllaç de pagament personalitzat o transaccions B2B).
  • Transaccions fora de la Unió Europea.

Combinació de dos elements independents

  • Més seguretat en els pagaments pel doble sistema d’autenticació.
  • Més drets per a l’usuari, ja que queda reduïda la seva responsabilitat de 150 a 50 € en cas de frau, i s’inclou el dret al retorn incondicional per a dèbits directes.
  • Els pagaments amb targeta no podran tenir recàrrecs.
  • Més control gràcies al registre públic d’institucions de pagament de l’EBA.

Ja abans que entri oficialment en vigor, diverses plataformes i entitats bancàries tenen incorporat i compleixen el PSD2: PayPal, Bizum, Apple Pay i Google Pay.

En definitiva, el nou sistema té com a objectiu evitar el frau digital, i, per tant, generar més confiança en els compradors, fet que forçosament repercutirà positivament en el comerç electrònic.