Ya se han tratado en este blog algunos aspectos relevantes sobre la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior, también conocida como Directiva PSD2 (Segunda Directiva de Servicios de Pago).
En uno de los artículos del blog, de marzo de 2017 dedicado al Borrador Final de los Estándares Técnicos Regulatorios (Final Draft Regulatory Technical Standards) y #eIdAS me atreví a vaticinar como serían los perfiles de los certificados cualificados de los PISP (Servicios de iniciación de pagos) y de los AISP (Servicios de información sobre cuentas), y en especial la asignación del número identificativo al que se refiere la norma EN 319 412.
En la actualidad ya se ha publicado una norma técnica en estado de borrador que aterriza los conceptos necesarios para emitir los certificados cualificados a las Fintech que operen en el contexto de la PSD2. Se trata de la norma TS 119 495 titulada en inglés:
Sector Specific Requirements; Qualified Certificate Profiles and TSP Policy Requirements under the payment services Directive (EU) 2015/2366
Y unos pocos Prestadores de Servicios Electrónicos de Confianza están considerando su emisión.
La Segunda Directiva de Servicios de Pago favorecerá el crecimiento del mercado europeo de pagos electrónicos y armonizará el marco legislativo europeo aún fragmentado, tras la publicación de diferentes normas emitidas por cada Estado miembro en la transposición de la Primera Directiva de Servicios de Pago (Directiva 2007/64 / CE), que conlleva riesgos potenciales para la seguridad de los pagos y para la protección de los consumidores.
En el despliegue armonizado de la Segunda Directiva, los servicios de confianza definidos por el Reglamento UE 910/2014 (EIDAS) no han recibido suficiente atención.
Uno de los aspectos clave de la Directiva PSD2 es la identificación electrónica confiable de los actores involucrados en una transacción de pago electrónico. En este marco regulatorio se ha definido por la Autoridad Bancaria Europea (EBA) un reglamento técnico específico que hace necesaria la «Autenticación fuerte del cliente» (SCA, Strong Customer Authentication) del pagador, que debe identificarse de manera confiable. Para este requisito, todos los proveedores de servicios de pago (PISP y AISP) deben acceder a las cuentas de pago o ejecutar órdenes de pago solo después de una autenticación fuerte del cliente en base a técnicas de doble factor de autenticación (2FA).
Esta medida ha tenido una fría acogida por parte de los proveedores de servicios de pago que la ven como una amenaza para la experiencia de usuario del ordenante de pagos, frente a variantes que simplifican la interfaz añadiendo un simple botón de «pago con un clic» y la mínima fricción en la autenticación.
Aunque volveré sobre el tema de la autenticación de usuarios, hoy quería tratar sobre la identificación de los Prestadores de Servicios de Iniciación de Pagos y de Información sobre cuentas, para actualizar mi sugerencia de 2017 con lo que finalmente se ha plasmado en la norma de ETSI:
El atributo organizationIdentifier contendrá la información de identificación de la entidad utilizando la siguiente estructura:
- «PSD» como referencia de tipo de identidad de persona jurídica de 3 caracteres;
- código de país de 2 caracteres ISO 3166 que representa el país del organismo supervisor;
- guión-signo menos «-» (0x2D (ASCII), U + 002D (UTF-8)); y
- Identificador de organismo supervisor de 2-8 caracteres (mayúscula A-Z solamente, sin separador)
- guión-signo menos «-» (0x2D (ASCII), U + 002D (UTF-8)); y
- Identificador de PSP (número de autorización según lo especificado por el organismo supervisor).
EJEMPLO: El identificador de organización «PSDES-BDE-0182» significa un certificado emitido a un PSP para el que el número de entidad es 0182, otorgada por el Banco de España. España (el identificador después del segundo guión lo establece el sistema de numeración español).
Todo es electrónico 
Pingback: Certificados de prueba #eIdAS para #PSD2 | Todo es electrónico