La EBA responde a nuevas cuestiones sobre las API en el marco de PSD 2 

 

04-09-2019 — AR/2019/053

El 14-8-2019, la EBA publicó sus respuestas a las dudas del grupo de trabajo sobre las interfaces de programación de aplicaciones (API) bajo PSD 2. El regulador aclara cuestiones como: (a) el cálculo del KPI sobre los tiempos de respuesta, que debe incluir el de la autenticación reforzada de clientes (SCA) y el necesario para comprobar el registro de los terceros proveedores de servicios de pagos (TPP); (b) la confirmación de que el registro de los TPP en un punto central (guestbook) no cumple con los RTS; (c) la aclaración sobre los datos del gestor de cuentas a los que puede acceder el TPP, que, siendo identificados con los certificados eIDAS, son responsables de garantizar el acceso a los datos adecuados y su uso; o (d) la documentación de las contingencias, para la que los gestores de cuentas no tienen un límite de tiempo.

El 14-8-2019, la Autoridad Bancaria Europea (EBA, siglas de la denominación inglesa, como las demás de esta alerta) publicó sus respuestas a las cuestiones planteadas por el grupo de trabajo sobre la interfaz de programación de aplicaciones (API) bajo PSD 21.

A continuación, se resumen las respuestas más relevantes de este organismo a las cuestiones planteadas por el grupo de trabajo sobre el uso de las API en el período de pruebas iniciado el 14-3-2019 y que finaliza el próximo 14-9-2019, fecha de aplicación de las normas técnicas de regulación (RTS)2:

Medición de los tiempos de respuesta de las interfaces específicas

Se han solicitado aclaraciones sobre los datos que componen el cálculo del indicador clave de rendimiento (KPI) sobre los tiempos de respuesta, con arreglo a la Directriz 2.3 de la EBA acerca de las condiciones que deben cumplirse para que el proveedor de servicios de pago gestor de cuenta (ASPSP), también conocido como gestor de cuenta, pueda beneficiarse de la exención del mecanismo de contingencia previsto en el artículo 33.6 de los RTS. En particular, sobre si dicho KPI debe incluir el tiempo de verificar la identidad con el proceso de autenticación reforzada de clientes (SCA) o el tiempo que tarda el gestor de cuenta en verificar la autorización o el registro de terceros proveedores de servicios de pago (TPP).

La EBA aclara que el tiempo de respuesta incluye el intervalo entre el momento en el que el gestor de cuenta recibe la solicitud del proveedor de servicios de iniciación de pagos (PISP) o del proveedor de servicios de información sobre cuentas (AISP) y el momento en que toda la información solicitada ha sido devuelta por el gestor de la cuenta, incluyendo el tiempo necesario para comprobar el registro de los TPP como entidades autorizadas mediante los certificados eIDAS. Asimismo, recuerda a este respecto su Q&A 4661 de 9-8-2019.

Identificación de los TPP por un guestbook

Se ha puesto de manifiesto que algunas entidades están explorando soluciones para cumplir con el requisito de identificación de los TPP para acceder al mecanismo de contingencia. En concreto, se ha planteado si el método conocido como guestbook podría considerarse que cumple con los RTS.

Este método consiste en que los TPP se inscriben en un punto de registro central con su certificado eIDAS, antes de acceder a los sistemas del gestor de cuenta, donde lo verificaría la API respectiva. El acceso a las cuentas del usuario sería un paso distinto a este registro, por lo que el gestor de cuenta no sería capaz de identificar el TPP o verificar si el TPP ha realizado la entrada en el registro en el momento en que el TPP está utilizando las API puestas a disposición de los usuarios.

La EBA considera que dicho método de identificación no cumple con los RTS, puesto que los gestores de cuenta no estarían identificando a los TPP con los certificados eIDAS. Adicionalmente, al no identificarlos en el momento del acceso, no cumplirían con determinadas exigencias de PSD 2 para el servicio de iniciación.

Datos a los que puede acceder el TPP

Es necesario aclarar si los gestores de cuenta necesitan realizar cambios en sus interfaces de clientes, en particular, si deben limitar los datos a los que los TPP pueden acceder cuando, como mecanismo de contingencia, usan la interfaz del usuario.

La EBA responde que, de acuerdo con el artículo 33.5 de los RTS, los gestores de cuenta deben garantizar que los TPP sean identificados, para lo que deberán utilizar los certificados eIDAS. En cuanto al alcance de los datos a los que pueden acceder los TPP utilizando este mecanismo de contingencia, la EBA señala que ni PSD 2 ni los RTS establecen ninguna obligación para los gestores de cuenta de limitar los datos, a excepción del requisito previsto sobre la divulgación de datos de pago sensibles. Ello se debe a que el TPP es el responsable de garantizar que no accede a otros datos ni los usa para fines distintos a la prestación del servicio solicitado por el usuario.

Documentación del mecanismo de contingencia

Se ha planteado si es necesario que los gestores de cuenta documenten por escrito el mecanismo de contingencia y, en caso afirmativo, en qué momento, dada la preocupación de algunos TPP en que la falta de acceso a esta documentación pueda generar una interrupción en sus servicios a partir del 14-9-2019.

La EBA responde que los RTS no establecen una fecha límite para que los gestores de cuenta documenten el acceso a través del mecanismo de contingencia, si bien, de acuerdo con los artículos 33.1 y 33.2 de los RTS, las medidas de contingencia deberán incluir los planes de comunicación para informar a los TPP de las «opciones alternativas inmediatamente disponibles” a través de las que pueden seguir prestando sus servicios mientras se restaura la API.

Disponibilidad y confianza en los certificados eIDAS

Se ha expresado la preocupación sobre la dificultad para los proveedores de servicios de confianza cualificados (QTSP) de obtener los certificados eIDAS.

La EBA considera que una de las razones del retraso y la dificultad en la emisión de los certificados eIDAS ha sido la incertidumbre sobre cómo interpretar la referencia al “número de autorización” del artículo 34.2 de los RTS. En respuesta, la EBA recuerda que clarificó en su Q&A 4679 que esta referencia incluye todos los números de identificación que utilizan las autoridades nacionales y que permiten la identificación inequívoca de los proveedores de servicios de pago en los registros nacionales bajo PSD 2 y CRD IV3.

_________________
PSD 2 es la denominación por la que se conoce la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE.
Las normas técnicas de regulación (RTS) se definieron en el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.
Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión.