La EBA publica su informe final sobre las directrices para la notificación de incidentes graves con PSD 2

En aplicación de la Directiva 2015/2366, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior (en adelante, PSD2), la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) ha publicado las directrices finales sobre la notificación de incidentes graves en el marco de las obligaciones establecidas en el artículo 96 de PSD 2.

Esta directiva exige a los proveedores de servicios de pago establecer un marco con medidas paliativas y mecanismos de control adecuados para gestionar los riesgos operativos y de seguridad relacionados con los servicios de pago que prestan.

Como parte de ese marco, los proveedores de servicios de pago han de implantar y mantener procedimientos eficaces de gestión de incidentes, en particular, para la detección y la clasificación de los incidentes operativos y de seguridad de carácter grave.

En este sentido, el artículo 96 de la PSD 2 obliga a los proveedores de servicios de pago a notificar, sin dilación indebida los incidentes operativos o de seguridad graves a la autoridad competente en el Estado miembro de origen del proveedor de servicios de pago. Asimismo, exige a la autoridad competente del Estado miembro de origen que tras la recepción de la notificación, facilite sin dilación indebida los detalles pertinentes del incidente a la EBA y al BCE.

En este contexto, cabe destacar que las directrices se han elaborado en estrecha cooperación con el BCE y se dirigen a todos los proveedores de servicios de pago y a las autoridades competentes de los 28 Estados miembros de la UE. Con estas directrices se contribuye al objetivo de PSD 2 de proteger los intereses financieros de los usuarios de servicios de pago y mitigar las consecuencias adversas de dichos incidentes.

En estas directrices se fijan los criterios, los umbrales y la metodología que deberán seguir los proveedores de servicios de pago para determinar si un incidente operacional o de seguridad debe considerarse de carácter grave y, por lo tanto, notificarse a la autoridad competente del Estado miembro de origen.

Asimismo, a los efectos de su correcta aplicación, se prevé la posibilidad de que los proveedores de servicios de pago puedan delegar en un tercero el cumplimiento de las obligaciones de información sobre incidentes, siempre que se cumplan las condiciones, o informar sobre los incidentes de forma conjunta con otro proveedor de servicios de pago en caso de que el incidente se origine a través de ese proveedor.

Al elaborar las directrices, la EBA y el BCE se han basado en la experiencia de las jurisdicciones y autoridades nacionales y han evaluado las prácticas similares que existen para la notificación de incidentes de esta naturaleza.

En particular, estas Directrices proporcionan y establecen:

• La plantilla que los proveedores de servicios de pago deberán utilizar para esta notificación y los informes que deberán enviar durante el ciclo de vida del incidente, incluido el plazo para hacerlo.
• El conjunto de criterios que las autoridades competentes deberán seguir como indicadores para evaluar la relevancia de un incidente operacional o de seguridad considerado de carácter grave en el contexto de la PSD 2.
• La información mínima que las autoridades competentes deben compartir con estas autoridades nacionales cuando se considera que un incidente es grave para estos últimos.

Tras el análisis de las 43 respuestas recibidas durante la consulta pública, la EBA ha introducido algunas enmiendas a las directrices, como definir los criterios, revisar uno de los umbrales, prorrogar el plazo para el primer informe, racionalizar la cantidad de información que debía proporcionarse en esa etapa y, en general, ha aclarado la información que debe proporcionarse en cada uno de los informes.

Los proveedores de servicios de pago en el ámbito de la PSD 2 deben saber que la EBA ha fijado que se aplicarán a partir del 13-1-2018.