La Comisión Europea ha aprobado la modificación de las RTS sobre autenticación reforzada de clientes

05-08-2022 — AR/2022/098

El texto publicado modifica algunos aspectos de la autenticación reforzada de clientes y el plazo en el que no hay que aplicarla cuando se accede en línea a las cuentas de pago a través de proveedores de servicios de pago.

La Autoridad Bancaria Europea (EBA, por sus siglas en inglés) puso a consulta, entre el 28-10 y 25-11-2021, las normas técnicas de regulación (RTS, en siglas inglesas) relativas a la autenticación reforzada de clientes (SCA, por sus siglas en inglés).

Finalmente, y tras un largo período, el 3-8-2022, la Comisión Europea ha aprobado la modificación de las RTS sobre la SCA.

A continuación detallamos esta modificación.

Contexto

Cuando un usuario de servicios de pago accede al saldo y a las operaciones recientes de una cuenta de pago sin que se divulguen datos de pago sensibles, se puede eximir de la obligación de aplicar la SCA (artículo 10 del Reglamento Delegado (EU) 2018/389,¹ sobre la obligación del artículo 97 de la la Directiva (UE) 2015/2366² (conocida como PSD 2).

Así, en ese caso, los proveedores de servicios de pago están autorizados a no aplicar la SCA para acceder a la información de la cuenta, siempre que se haya aplicado cuando se accedió a esa información por primera vez y, al menos, cada 90 días a continuación.

El uso de esta exención ha dado lugar a prácticas muy divergentes en la aplicación de la norma:

algunos proveedores de servicios de pago gestores de cuenta solicitan la SCA cada 90 días,
otros, a intervalos más cortos, y
algunos no aplican la exención, y solicitan la SCA para cada acceso a la cuenta.

Esta divergencia ha dado lugar a fricciones en la experiencia del cliente y a consecuencias negativas, al usar los servicios de información sobre cuentas.

Modificaciones aprobadas

Nueva exención en la aplicación de la SCA

La versión final de estas RTS introduce en el Reglamento Delegado (UE) 2018/389, en el nuevo artículo 10 bis, una nueva exención obligatoria de la obligación de aplicar la SCA.

En virtud de esta exención, los proveedores de servicios de pago no deben aplicar la SCA cuando los clientes acceden a la información de sus cuentas de pago a través de un proveedor de servicios de información sobre cuentas, si se cumplen determinadas condiciones de seguridad y de protección de los datos del usuario del servicio de pago:

que el alcance de los datos sea limitado (es decir, que se acceda al saldo y a las operaciones de pago ejecutadas en los últimos 90 días);
que el proveedor de servicios de pago gestor de cuenta aplique la SCA para el primer acceso y la renueve periódicamente (cada 180 días), y
que en cualquier momento pueda decidir aplicar la SCA si tiene razones justificadas y documentadas para hacerlo, derivadas de un acceso no autorizado o fraudulento.

Limitación de la exención voluntaria

Las nuevas normas técnicas limitan también el ámbito de aplicación de la exención voluntaria prevista en el artículo 10 del Reglamento Delegado (UE) 2018/389 a los casos en los que el cliente acceda directamente a la información relativa a la cuenta.

Ampliación de plazo de renovación de la SCA

Asimismo, amplían de 90 a 180 días el plazo para renovar la SCA cuando se apliquen las exenciones antes mencionadas.

Los proveedores de servicios de pago gestores de cuenta que ofrecen tanto una interfaz específica como un mecanismo de contingencia no están obligados a aplicar la exención de la SCA para el mecanismo de contingencia, si no aplican esa exención en sus canales directos con los clientes.

Adaptación de interfaces

Por último, en relación con las interfaces de acceso, los proveedores de servicios de pago gestores de cuenta han de poner a disposición de los proveedores de servicios de pago las modificaciones introducidas en las especificaciones técnicas de sus interfaces para cumplir lo dispuesto en el nuevo artículo 10 bis, al menos dos meses antes de que se apliquen dichas modificaciones.

Próximos pasos y entrada en vigor

El Parlamento y el Consejo tienen ahora un mes para aplicar al texto de la Comisión el «período de escrutinio sin objeciones», que puede prorrogarse por el mismo período.

La entrada en vigor está prevista a los 20 días desde la publicación, aunque será de aplicación 7 meses después de su entrada en vigor.

¹Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

² Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE.

La Comisión Europea ha aprobado la modificación de las RTS sobre autenticación reforzada de clientes

El texto publicado modifica algunos aspectos de la autenticación reforzada de clientes y el plazo en el que no hay que aplicarla cuando se accede en línea a las cuentas de pago a través de proveedores de servicios de pago.

Contexto

Modificaciones aprobadas

Nueva exención en la aplicación de la SCA

Limitación de la exención voluntaria

Ampliación de plazo de renovación de la SCA

Adaptación de interfaces

Próximos pasos y entrada en vigor

Iniciativas relacionadas

Alertas Relacionadas

Documentos vinculados

Ámbitos

Más información