La EBA se posiciona sobre quién debe decidir sobre las excepciones a la autenticación reforzada en PSD 2

29-10-2018 — AR/2018/077

La EBA publica la respuesta a preguntas planteadas sobre la aplicación de la autenticación reforzada (SCA) y sus excepciones cuando en una operación de pago interviene un iniciador de pagos con un banco o gestor de cuenta, con aclaraciones que justifican las excepciones, según la observación del contexto. Señala que la Directiva PSD 2, cuando exige aplicar la SCA, no distingue entre operaciones de pago realizadas a través de un iniciador o no, y que, aunque una exención puede aplicarse a una operación de pago que se haya iniciado a través de un iniciador, el iniciador no puede decidir si se aplica o no una exención.

La Autoridad Bancaria Europea (por sus siglas en inglés, EBA) publicó, el 19-10-2018, la respuesta a preguntas planteadas por una entidad financiera sobre la aplicación de la autenticación reforzada (SCA) y sus excepciones cuando en una operación de pago interviene un iniciador de pagos con un banco o gestor de cuenta.

Preguntas

  • ¿Se aplica la excepción de la autenticación reforzada a cualquier conexión que el usuario de servicios de pago realice a su cuenta de pago o solo a las conexiones a través de proveedores de pagos, agregadores o iniciadores, con las interfaces (especificas o no) establecidas por el banco, cuando se lleva a cabo un análisis del riesgo de la transacción y se obtiene un nivel bajo?
  • ¿Las obligaciones relativas a la SCA son aplicables a las conexiones realizadas a través de la banca en línea o de la aplicación móvil de la propia entidad?

Contexto

Es importante advertir de lo siguiente:

  • El análisis de las transacciones en línea es obligatorio siempre que un usuario se conecta a través de un canal remoto para acceder a su cuenta, iniciar una operación o realizar cualquier acción que pueda implicar un riesgo de fraude de pago u otros abusos (de acuerdo con el artículo 97 de PSD 2).
  • Si los resultados del análisis muestran un nivel de riesgo bajo para la operación, se puede aplicar una excepción al SCA.
  • Sin embargo, se duda cuando el usuario accede directamente a su cuenta de pago a través de la página web del banco o su aplicación móvil sin que intervenga ningún otro proveedor de servicios de pago. Si bien el análisis y control de las transacciones en línea es una buena práctica, el asunto es si ese control es un requisito obligatorio en este caso , o si solo se trata de una buena práctica.

Respuesta de la EBA

Con estos antecedentes, la EBA ha aclarado que la PSD 2, cuando exige aplicar la SCA, no distingue entre operaciones de pago realizadas a través de un iniciador o no.

Tampoco la norma técnica de regulación (RTS) distingue, a efectos de aplicar alguna de las excepciones, si las operaciones de pago se han realizado por un iniciador o no. Además, el apartado 36 del Dictamen de la EBA sobre la aplicación del RTS (EBA-Op-2018-04, junio de 2018) explica que la «SCA debe aplicarse al acceso a la información de las cuentas de pago y a toda iniciación de pagos, incluso en el marco de una sesión en la que se haya llevado a cabo la SCA para acceder a los datos de las cuentas, a menos que se aplique otra exención y con independencia de que se haya utilizado o no un iniciador”. Asimismo, en el apartado 39 se advierte de que «solo el gestor de cuenta puede aplicar la SCA o decidir si se aplica o no una excepción a la cuenta de pago de un usuario en el contexto del agregador y el iniciador».

En conclusión, la EBA aclara que, aunque una exención puede aplicarse a una operación de pago que se haya iniciado a través de un iniciador, el iniciador no puede decidir si se aplica o no una exención. Ello quiere decir que, en el caso particular de la exención basada en el análisis del riesgo de las transacciones, la tasa de fraude se refiere a la del proveedor de servicios de pago gestor de cuentas, y es este el único que, en función de esa variable y en cumplimiento del resto de requerimientos de la exención, podría aplicarla.