Actualmente en el mundo de los pagos electrónicos, existen tres grandes categorías, los más abundantes y establecidos son aquellos pagos electrónicos basados en tarjetas en lo que en el momento de la transacción existe presencia física por parte del pagador y del pagado. En segundo lugar estarían los pagos electrónicos basados en tarjetas en los que no existe un contacto físico entre el comprador y el vendedor (por ejemplo los pagos por internet son los más numerosos, pero esta categoría está presente en otros canales como el telefónico), y por último estarían los emergentes pagos persona a persona, en los que aún no está claramente definido sobre qué estarán soportados, ni si será necesaria la presencia física. Para poder seguir con esta reflexión, voy a hacer una hipótesis razonable: los pagos P2P nacerán de una gran entidad, que de manera exclusiva para sus clientes ofrezca pagos persona a persona funcionalmente basados en transferencias, y que exigirán una cercanía de las personas que emiten y reciben el dinero al articularse mediante unos códigos de seguridad que se generan y leerán en dispositivos móviles.

La realidad es que estas tres formas de pagos son conceptualmente lo mismo: una persona realiza una operación de pago instantáneo a otra persona, la única variación funcional posible es que en vez de un pago instantáneo se trate de una operación de pago diferido, apareciendo entonces el concepto de crédito. Si los tres tipos de pago son conceptualmente lo mismo, ¿por qué la usabilidad, la tecnología que los soporta, y los proveedores son diferentes en cada una de estas tres modalidades? La respuesta es sencilla de articular, pero tiene una enorme complejidad, ya que nos encontramos que los circuitos funcionales de autenticación de la identidad son muy diferentes, y en algunos casos tienen grandes lagunas de seguridad.

Una definición básica de qué es la identidad de una persona, podría ser como que es un conjunto de las circunstancias de esta persona, quién es, y qué le gusta. Por ejemplo, yo soy Humberto Domínguez, nací en España, estudié Economía en la Universidad Complutense, también estudié un MBA en el Instituto de Empresa, trabajo en Indra, vivo actualmente en Madrid, y soy titular de la Iberia Plus Platino. Todas estas circunstancias en el mundo real son fáciles de probar, ya que alguien emite algún tipo de título o certificado que vincula mis circunstancias personales y me permite probar que soy quien digo ser.

En el mundo físico se han encontrado maneras de resolver la prueba de identidad, existen certificadores que como terceros aseguran que estoy diciendo la verdad. Así Iberia certifica que realmente soy un Iberia Plus Platino, o el Instituto de Empresa certifica que cursé un MBA. No todas las Autoridades de Certificación tienen la misma credibilidad, así un documento emitido por el gobierno español (un DNI, carnet de conducir o un pasaporte) es masivamente aceptado, y en correlación con su aceptación está el capacidad de certificación de la Autoridad que lo emite. El caso de uso de usabilidad está muy bien resuelto, el pagador ofrece al comercio una tarjeta de crédito o débito, que si tiene un sistema de autenticación EMV es por si un documento de identidad suficiente. En este caso es la entidad bancaria quien es garante de identidad. Si la tarjeta no es EMV, se presenta una prueba cruzada de identidad, un DNI, un pasaporte, algo emitido por una Autoridad de Certificación con alta aceptación. Si la prueba cruzada de identidad es positiva, el pago se acepta. Todo este proceso tiene una característica: la identidad se centra en el pagador, y en torno a él hay una serie de instrumentos físicos (portados por él) que la refuerza.

Aquí aparece una gran diferencia en los procesos de pago donde no existe la cercanía física entre el comprador y el comercio. Por ejemplo los pagos por internet. El ciclo de validación de entidad, necesario para aceptar un pago, se ha roto, ya que no se puede probar que el pagador es quien dice ser. Esta disociación de la identidad es clave para entender cómo ha sido configurado el negocio de los pagos electrónicos sin presencia física, ya que se ha pasado de un modelo vinculado al pagador, a un modelo basado en sitio donde se realizan las transacciones. En este modelo Site-Centric es el sitio web quien ha de validar la identidad de pagador, y para ello el sitio construye su “identidad de usuario”, normalmente basado en un instrumento de pago donde cargar, y en un historial de pagos, lo que se denomina una reputación. Este sistema funciona en un sitio, pero no es exportable, las identidades de Amazon, Apple, Google, eBay, Facebook, etc. son válidas sólo en esos sitios. 

Existe un modelo de gran éxito que ha logrado exportar la comprobación de identidad: Paypal, y que si es compatible con pagos en varios sitios web, pero quizá queda un poco corto para la complejidad de la identidad hoy en día. Por ello surgen conceptos como la Identidad 2.0, o la Identidad Digital, los cuales proponen que la identidad de cada usuario sea algo que no depende del sitio web, sino que esté vinculado al usuario, replicando el modelo del mundo físico del pago con tarjetas. Así existirían entidades de certificación digitales, que serían quienes asegurarían la identidad de los usuarios. Este concepto es conceptualmente muy difícil de definir, pero claramente es el camino a recorrer, ya que no es escalable ni práctico que la identidad recaiga en la parte del negocio adquirente.

Por último, en los pagos Persona a Persona (P2P), bajo la hipótesis de partida expuesta, que se desarrollan como un sistema de transferencias OnUs de una entidad, exclusivo para sus clientes, y basado en la lectura entre dispositivos móviles con presencia física. Por ejemplo reconociendo las operaciones mediante un código QR (por usabilidad y que no haya que digitar nada), y con las lecciones aprendidas de los pagos con tarjetas, que implican que la provisión de la identidad sigue siendo realizada por la entidad bancaria (con enormes repercusiones en el negocio bancario).

Como conclusión, los tres sistemas de pago deberán evolucionar hacia un sistema de identidad basado en el pagador, pero mientras no sea posible técnicamente se usarán soluciones como las identidades Site-Centric. Ahora existen muchos movimientos para posicionarse como Autoridades de Certificación, algunos totalmente nuevos y rupturistas, Facebook, Apple, y Google son buenos ejemplos, pero es difícil en este punto prever quien será quien se lleve el gato al agua.