La normativa PSD2 y la verificación de la identidad digital

Falta ya poco para la entrada en vigor de la PSD2 (Second Payment Services Directive), el 13 de enero de 2018. La mayoría de entidades financieras llevan tiempo preparándose para la adaptación de sus procesos a esta normativa, pero para los consumidores todavía es un concepto bastante desconocido, no solo qué es, sino sobre todo cómo les afectará.

La primera versión de esta normativa data del 2008, y tenía como objetivo crear un mercado de pagos único en la Unión Europea que favoreciese la competitividad y la innovación. En el 2013 la Comisión Europea propuso revisarla para, entre otras cosas, normalizar nuevos métodos de pago, especialmente los realizados en contextos digitales(online o vía móvil), revisión que ha dado paso a esta segunda versión.

Uno de los motivos que ha impulsado la revisión de la normativa es la creciente preocupación por la seguridad de los datos compartidos. Así, aunque la normativa quiere promover el desarrollo del mercado de pagos electrónicos en la Unión Europea a través de la apertura de los servicios de pago de entidades bancarias a terceros (los denominados TTP, Third Party Service Providers), por otra parte obliga a implementar medidas de seguridad mucho más robustas que hasta el momento.

Estamos hablando de la obligatoriedad de introducir un sistema de autenticación del usuario basada en dos factores (Strong Customer Authentication o SCA), tanto en la verificación en el proceso de alta inicial como en el caso de solicitud de recuperación de los datos acceso si el usuario los pierde.

Es decir, la PSD2 obliga a las instituciones financieras a permitir el acceso de terceros a los datos de los usuarios (bajo su previa autorización), pero con procesos de verificación y autenticación del usuario seguros y robustos, basados en, como mínimo, dos factores. Estos deben estar clasificados en relación al usuario como:

  • Conocimiento: algo que solo sabe el usuario, como una fecha o un password.

  • Posesión: algo que solo posee el usuario, como un smartphone.

  • Inherencia: algo que solo es el usuario, como un patrón biométrico (facial, comportamental, de voz...).


Muchos de los sistemas de verificación de la identidad ya incorporan más de un factor de autenticación, pero es el último tipo el que se perfila como más eficiente tanto para las empresas como para el usuario.

Por otra parte, el proceso de autenticación no debe dejar de ser rápido, ágil y seguro, tanto para evitar que el usuario abandone el onboarding como para que no busque alternativas a la entidad que le proporciona una mala experiencia.

En este sentido, los sistemas que incorporan la biometría, por ejemplo el reconocimiento facial, se están revelando como los más seguros y, a la vez, los que proporcionan una mejor experiencia al usuario, por su rapidez y comodidad.

Aún está por ver cómo harán efectiva la nueva normativa las entidades financieras, con la fecha de entrada en vigor cada vez más cercana, pero está claro que el futuro de la identidad digital pasa cada vez más por tecnologías de compartición de datos (blockchain) y sistemas de verificación de la identidad y autenticación del usuario basadas en biometría.

¿Quieres saber lo que opinan los expertos? Descárgate nuestro ebook gratuito sobre el futuro de la identidad digital, donde nueve expertos nos dan su visión sobre diferentes aspectos como las tecnologías biométricas, la tecnología blockchain, la normativa y la forma de equilibrar seguridad y experiencia de usuario.

¡Descárgate nuestro ebook gratuito!

  • ¡Descárgate nuestro ebook gratuito!