La EBA publica un nuevo documento de Q&A sobre autenticación reforzada de clientes

La Autoridad Bancaria Europea (EBA, por sus siglas en inglés) publicó, el 1-3-2019, un documento de preguntas y respuestas (Q&A) sobre la autenticación reforzada de clientes y comunicaciones seguras, que es muy interesante para el sector.

En particular, se pronuncia sobre la aplicabilidad de la autenticación reforzada de clientes a los pagos con tarjeta iniciados únicamente por el beneficiario.

De conformidad con el artículo 97.1 de la PSD 2, los Estados miembros velarán por que los proveedores de servicios de pago apliquen la autenticación reforzada de clientes cuando el ordenante:

1. acceda a su cuenta de pago en línea,
2. inicie una operación de pago electrónico y
3. realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos.

Sin perjuicio de lo anterior, la EBA aclara que las operaciones de pago que inicie el beneficiario y no el ordenante no están sujetas a la autenticación reforzada de clientes, puesto que nacen sin ninguna interacción o participación del ordenante.

Las operaciones basadas en tarjetas implican una acción del ordenante para iniciar la operación, que presupone el uso de una tarjeta de pago o dispositivo similar emitido a favor del ordenante y que sea aceptada como medio de pago por el beneficiario. Por lo tanto, las operaciones basadas en tarjetas se consideran como operaciones de pago iniciadas por el ordenante a través del beneficiario.

No obstante, cuando el ordenante haya otorgado un mandato autorizando al beneficiario a iniciar la operación o una serie de ellas a través de un instrumento de pago concreto emitido para que el ordenante lo utilice para iniciar las operaciones, y cuando el mandato se base en un acuerdo entre el ordenante y dicho beneficiario para la provisión de productos o servicios, las operaciones iniciadas posteriormente por el beneficiario sobre la base de ese mandato podrán calificarse como operaciones iniciadas por el beneficiario, siempre que no requieran de una acción previa del ordenante para que el beneficiario las inicie.

De igual forma, cuando el mandato del ordenante al beneficiario para iniciar estas operaciones se realice por un canal remoto, deberá estar sujeto a la autenticación reforzada de clientes, puesto que esta acción puede implicar un riesgo de fraude en el pago y otros abusos de acuerdo con el citado artículo 97.1, apartado c) de la PSD 2.