LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se deroga la Directiva 2007/64/CE (1), y en particular su artículo 98, apartado 4,
Considerando lo siguiente:
(1) |
El artículo 10 del Reglamento Delegado (EU) 2018/389 de la Comisión (2) establece una exención de la obligación establecida en el artículo 97 de la Directiva (UE) 2015/2366 de aplicar la autenticación reforzada de clientes cuando un usuario de servicios de pago acceda al saldo y a las operaciones recientes de una cuenta de pago sin que se divulguen datos de pago sensibles. En ese caso, los proveedores de servicios de pago están autorizados a no aplicar la autenticación reforzada de clientes para acceder a la información de la cuenta, siempre que se haya aplicado la autenticación reforzada de clientes cuando se accedió a la información de la cuenta por primera vez, y al menos cada 90 días a continuación. |
(2) |
El uso de esta exención ha dado lugar a prácticas muy divergentes en la aplicación del Reglamento Delegado (UE) 2018/389: algunos proveedores de servicios de pago gestores de cuenta solicitan la autenticación reforzada de clientes cada 90 días, otros a intervalos más cortos y algunos no aplican la exención y solicitan la autenticación reforzada de clientes para cada acceso a la cuenta. Esta divergencia ha dado lugar a fricciones indeseables en la experiencia del cliente al utilizar servicios de información sobre cuentas y a un impacto negativo en los servicios de los proveedores de servicios de información sobre cuentas. |
(3) |
A fin de garantizar un equilibrio adecuado entre los objetivos de la Directiva (UE) 2015/2366 de mejorar la seguridad, facilitar la innovación y aumentar la competencia en el mercado interior, es necesario especificar con mayor detalle la aplicación de la exención establecida en el artículo 10 del Reglamento Delegado (UE) 2018/389 en los casos en que se acceda a la información sobre cuentas a través de un proveedor de servicios de información sobre cuentas. Por consiguiente, en tal caso, no debe permitirse a los proveedores de servicios de pago optar por aplicar o no la autenticación reforzada de clientes, y la exención debe hacerse obligatoria, con sujeción a condiciones destinadas a garantizar el cumplimiento de la seguridad y la protección de los datos de los usuarios de servicios de pago. |
(4) |
La exención debe limitarse al acceso al saldo y a las transacciones recientes de una cuenta de pago sin divulgación de datos de pago sensibles. La exención solo debe aplicarse cuando los proveedores de servicios de pago ya hayan aplicado la autenticación reforzada de clientes para el primer acceso a través del respectivo proveedor de servicios de información sobre cuentas y debe renovarse periódicamente. |
(5) |
A fin de garantizar la seguridad y la protección de los datos de los usuarios de servicios de pago, los proveedores de servicios de pago deben estar autorizados, en cualquier momento, a aplicar la autenticación reforzada de clientes cuando tengan razones objetivamente justificadas y debidamente documentadas en relación con un acceso no autorizado o fraudulento. Esto podría ocurrir cuando los mecanismos de supervisión de las operaciones del proveedor de servicios de pago gestor de cuenta detecten un riesgo elevado de acceso no autorizado o fraudulento. A fin de garantizar una aplicación coherente de la exención, los proveedores de servicios de pago gestores de cuenta deben, en tal caso, documentar y justificar debidamente ante su autoridad nacional competente, a petición de esta, las razones para aplicar la autenticación reforzada de clientes. |
(6) |
Cuando el usuario de servicios de pago acceda directamente a la información sobre cuentas, los proveedores de servicios de pago deben seguir estando autorizados a elegir si aplican la autenticación reforzada de clientes. Esto se debe a que, en tales casos, no se han observado problemas particulares que requieran una modificación de la exención establecida en el artículo 10 del Reglamento Delegado (UE) 2018/389, contrariamente al caso del acceso a través de un proveedor de servicios de información sobre cuentas. |
(7) |
A fin de garantizar la igualdad de condiciones entre todos los proveedores de servicios de pago, y en consonancia con los objetivos de la Directiva (UE) 2015/2366 de permitir el desarrollo de servicios innovadores y de fácil uso, es proporcionado establecer el mismo plazo de 180 días para la renovación de la autenticación reforzada de clientes, tanto para el acceso a la información sobre cuentas proporcionado directamente por el proveedor de servicios de pago gestor de cuenta como para el acceso a través de un proveedor de servicios de información sobre cuentas. Renovar la autenticación reforzada de clientes con la frecuencia actual podría provocar fricciones indeseables en la experiencia del cliente e impedir a los proveedores de servicios de información sobre cuentas ofrecer sus servicios y a los usuarios recibir dichos servicios. |
(8) |
Los proveedores de servicios de pago gestores de cuenta que ofrezcan una interfaz específica y que hayan aplicado un mecanismo de contingencia según lo establecido en el artículo 33, apartado 4, del Reglamento Delegado (UE) 2018/389 no deben estar obligados a aplicar la nueva exención obligatoria en sus interfaces de clientes directas a efectos del mecanismo de contingencia, siempre que no apliquen la exención establecida en el artículo 10 del Reglamento Delegado (UE) 2018/389 en sus interfaces de clientes directas. Sería desproporcionado exigir a los proveedores de servicios de pago gestores de cuenta que ofrezcan una interfaz específica en la que tengan que aplicar la nueva exención obligatoria que apliquen igualmente la exención en sus interfaces de clientes directas a efectos del mecanismo de contingencia. |
(9) |
A fin de garantizar que los proveedores de servicios de pago dispongan de tiempo suficiente para introducir las modificaciones necesarias en sus sistemas, los proveedores de servicios de pago gestores de cuenta deben poner a disposición de los proveedores de servicios de pago las modificaciones introducidas en las especificaciones técnicas de sus interfaces con objeto de cumplir el presente Reglamento al menos dos meses antes de que se apliquen dichas modificaciones. |
(10) |
Procede, por tanto, modificar el Reglamento Delegado (UE) 2018/389 en consecuencia. |
(11) |
El presente Reglamento se basa en los proyectos de normas técnicas de regulación presentados por la Autoridad Bancaria Europea a la Comisión. |
(12) |
La Autoridad Bancaria Europea ha llevado a cabo consultas públicas abiertas sobre el proyecto de normas técnicas de regulación en que se basa el presente Reglamento, ha analizado los costes y beneficios potenciales conexos y ha recabado el asesoramiento del Grupo de Partes Interesadas del Sector Bancario, establecido de conformidad con el artículo 37 del Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo (3). |
(13) |
El Supervisor Europeo de Protección de Datos, a quien se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, formuló observaciones formales el 7 de junio de 2022. |
(14) |
A fin de permitir una transición fluida hacia los nuevos requisitos establecidos en el presente Reglamento, los proveedores de servicios de pago que hayan aplicado la exención establecida en el artículo 10 del Reglamento Delegado (UE) 2018/389 antes de la fecha de aplicación del presente Reglamento deben poder seguir aplicando dicha exención hasta 90 días a partir del último momento en que se haya aplicado la autenticación reforzada de clientes. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Modificaciones del Reglamento Delegado (UE) 2018/389
El Reglamento Delegado (UE) 2018/389 se modifica como sigue:
1) |
El artículo 10 se sustituye por el texto siguiente: «Artículo 10 Acceso a la información sobre la cuenta de pago proporcionado directamente por el proveedor de servicios de pago gestor de cuenta 1. Los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de clientes, siempre que se cumplan los requisitos establecidos en el artículo 2, cuando un usuario de servicios de pago acceda en línea a su cuenta de pago directamente, a condición de que el acceso se limite a uno de los siguientes elementos en línea y no se divulguen datos de pago sensibles:
2. No obstante lo dispuesto en el apartado 1, los proveedores de servicios de pago no estarán exentos de la aplicación de la autenticación reforzada de clientes cuando se cumpla alguna de las siguientes condiciones:
|
2) |
Se inserta el artículo 10 bis siguiente: «Artículo 10 bis Acceso a la información sobre cuentas de pago a través de un proveedor de servicios de información sobre cuentas 1. Los proveedores de servicios de pago no aplicarán la autenticación reforzada de clientes cuando un usuario de servicios de pago acceda a su cuenta de pago en línea a través de un proveedor de servicios de información sobre cuentas, siempre que el acceso se limite a uno de los siguientes elementos en línea y no se divulguen datos de pago sensibles:
2. No obstante lo dispuesto en el apartado 1, los proveedores de servicios de pago aplicarán la autenticación reforzada de clientes cuando se cumpla una de las condiciones siguientes:
3. No obstante lo dispuesto en el apartado 1, los proveedores de servicios de pago estarán autorizados a aplicar la autenticación reforzada de clientes cuando un usuario de servicios de pago acceda a su cuenta de pago en línea a través de un proveedor de servicios de información sobre cuentas y el proveedor de servicios de pago tenga razones objetivamente justificadas y debidamente documentadas en relación con un acceso no autorizado o fraudulento a la cuenta de pago. En tal caso, el proveedor de servicios de pago documentará y justificará debidamente ante su autoridad nacional competente, a petición de esta, los motivos para aplicar la autenticación reforzada de clientes. 4. Los proveedores de servicios de pago gestores de cuenta que ofrezcan una interfaz específica con arreglo al artículo 31 no estarán obligados a aplicar la exención establecida en el apartado 1 del presente artículo a efectos del mecanismo de contingencia a que se refiere el artículo 33, apartado 4, cuando no apliquen la exención establecida en el artículo 10 en la interfaz directa utilizada para la autenticación y la comunicación con sus usuarios de servicios de pago.». |
3) |
En el artículo 30, se inserta el apartado 4 bis siguiente: «4 bis. No obstante lo dispuesto en el apartado 4, los proveedores de servicios de pago gestores de cuenta pondrán a disposición de los proveedores de servicios de pago a que se refiere el presente artículo las modificaciones introducidas en las especificaciones técnicas de sus interfaces a fin de cumplir lo dispuesto en el artículo 10 bis al menos dos meses antes de que se apliquen dichas modificaciones.». |
1. Los proveedores de servicios de pago que hayan aplicado la exención prevista en el artículo 10 del Reglamento Delegado (UE) 2018/389 antes del 25 de julio de 2023 podrán seguir aplicando esa exención a las solicitudes de acceso recibidas a través de un proveedor de servicios de información sobre cuentas hasta la expiración del período cubierto por dicha exención.
2. No obstante lo dispuesto en el apartado 1, cuando se solicite una nueva autenticación reforzada de clientes a través de un proveedor de servicios de información sobre cuentas antes de que expire el período cubierto por la exención a que se refiere el apartado 1, se aplicará el artículo 10 bis introducido por el presente Reglamento.
Entrada en vigor y aplicación
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del 25 de julio de 2023.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 3 de agosto de 2022.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 337 de 23.12.2015, p. 35.
(2) Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (Texto pertinente a efectos del EEE) (DO L 69 de 13.3.2018, p. 23).
(3) Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Bancaria Europea), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/78/CE de la Comisión (DO L 331 de 15.12.2010, p. 12).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid