La Comisión Europea publica el borrador del reglamento de desarrollo de la PSD 3

29-06-2023 — AR/2023/083

Este futuro reglamento pretende resolver las deficiencias detectadas en la implantación real de la directiva de servicios de pago, sobre todo respecto a las relaciones entre proveedores de los servicios de pago y las obligaciones de transparencia.

Como complemento a la propuesta de nueva directiva sobre los servicios de pago (ver alerta relacionada), la Comisión Europea ha publicado, hoy 28-06-2023, una propuesta de reglamento sobre servicios de pago con el objetivo, según manifiesta, de homogeneizar ciertas disposiciones.

La Comisión había identificado, en la evaluación de la PSD 2,1 ciertos problemas derivados de la transposición de esta directiva al derecho de los Estados miembros, que afecta a la competencia, incita al arbitraje regulatorio e incentiva el conocido como «forum shopping» o «foro de conveniencia».

Para evitar estos problemas, la Comisión ha propuesto regular las normas sobre transparencia y sobre los derechos y obligaciones de usuarios y proveedores de los servicios de pago con un reglamento.2

 Al igual que con la futura nueva directiva, que ya se va conociendo como PSD 3, las entidades y los intervinientes en el mercado de pagos deben evaluar en detalle las nuevas normas que introduce el reglamento y las oportunidades de negocio que permite.

Exponemos algunos de los aspectos más relevantes de este futuro reglamento.

Aplicación y exclusiones

Ámbito de aplicación

Recoge normas de aplicación directa sobre:

  • la transparencia de las condiciones y requisitos de información para los servicios de pago y de dinero electrónico, y
  • los derechos y obligaciones de los usuarios y proveedores de servicios de pago y de dinero electrónico.

Las propuestas de reglamento y de directiva unifican los regímenes de las actuales entidades de pago y de dinero electrónico, por lo que las entidades y los servicios de pago comprenden también los de dinero electrónico.

Exclusiones de la aplicación

El borrador de reglamento incorpora exclusiones equivalentes a las previstas en la PSD 2, pero, además, pretende desarrollar la exención de las operaciones de pago del ordenante al beneficiario a través de un agente comercial.

Sobre esta figura:

  • define al agente comercial3 como «toda persona que, como intermediario independiente, se encargue de manera permanente ya sea de negociar por cuenta de otra persona, denominada en lo sucesivo el «empresario», la venta o la compra de mercancías, ya sea de negociar y concluir estas operaciones en nombre y por cuenta del empresario», e
  • incluye las condiciones que debe cumplir para considerarlo agente comercial y, por tanto, que pueda acogerse a esta exención.

Instrumentos de pago de escasa cuantía y dinero electrónico

Respecto a los instrumentos de pago que:

  • se refieran solo a operaciones de pago individuales que no excedan de 50 euros, o
  • tengan un límite de gasto de 200 euros, o
  • almacenen fondos que no excedan de 200 euros:
  1. el proveedor de servicios de pago proporcionará al ordenante solo información sobre las principales características del servicio de pago y una indicación de dónde puede consultar con facilidad cualquier otra información y condiciones;
  2. las partes podrán acordar en el contrato marco que:
    • el proveedor de servicios de pago no esté obligado a proponer modificaciones de las condiciones del contrato marco de la manera prevista en el artículo 19.1 del borrador, y
    • tras la ejecución de una operación de pago, el proveedor de servicios de pago:
      • ponga a disposición del usuario solo una referencia que le permita identificar la operación de pago, su importe, cualquier gasto aplicado y, si son varias operaciones del mismo tipo al mismo beneficiario, el importe total y los gastos de esas operaciones;
      • no estará obligado a cumplir el punto anterior si el instrumento de pago se utiliza de forma anónima o si no está técnicamente en condiciones de facilitarla por otros motivos, pero ofrecerá al ordenante la posibilidad de verificar el importe de los fondos almacenados;
    • no aplican a estos instrumentos determinadas previsiones normativas.

Asimismo, las normas sobre la responsabilidad del proveedor por las operaciones no autorizadas o la pérdida máxima que soporte el usuario se aplicarán también al dinero electrónico, salvo cuando el proveedor de servicios de pago del ordenante no tenga la capacidad de bloquear la cuenta de pago en la que esté almacenado el dinero electrónico ni el instrumento de pago.

Los Estados miembros podrán limitar esta excepción a cuentas o a instrumentos de pago de un determinado valor.

Acceso a sistemas de pago y a cuentas en entidades de crédito

A sistemas de pago

Considerando las propuestas de la Autoridad Bancaria Europea, la Comisión busca evitar la discriminación contra los proveedores de servicios de pago que desean acceder directamente a los sistemas de pago.

Para eliminar estas barreras, el reglamento prevé unos estándares mínimos que los sistemas de pago han de cumplir para permitir que los proveedores de servicios de pago accedan directamente a ellos.

Con este fin, los sistemas de pago tendrán que:

  1. definir reglas transparentes y no discriminatorias para la participación de proveedores de servicios de pago autorizados o registrados;
  2. evaluar los riesgos y tomar las medidas necesarias para salvaguardar la estabilidad financiera del sistema;
  3. hacer públicas sus reglas y procedimientos de admisión y proporcionar razones completas en caso de rechazo;
  4. evitar restricciones injustas y discriminaciones entre proveedores de servicios de pago; y
  5. permitir a los proveedores de servicios de pago el mismo acceso en condiciones justas y transparentes.

A cuentas abiertas en entidades de crédito

A pesar de la PSD 2, que pretende asegurar el acceso no discriminatorio y proporcionado a las cuentas de pago de las entidades de crédito, los proveedores siguen encontrando dificultades en este sentido.

Para eliminar esas dificultades, el borrador de reglamento fortalece los principios ya recogidos en la PSD 2, de manera que solo permitirá la denegación de apertura o cierre de cuentas de pago si existen motivos justificados, como sospechas de blanqueo de capitales, incumplimiento contractual, falta de información adecuada, perfil de riesgo o un elevado coste para la entidad de crédito.

Para ello, recoge los siguientes principios básicos:

  1. Cualquier decisión de denegar el acceso a una cuenta de pago deberá notificarse a los proveedores de servicios de pago, sus agentes o distribuidores, o a los incursos en el proceso de solicitud de licencia para prestar servicios de pago, y deberá motivarse especificando los riesgos evaluados por la entidad de crédito.
  2. Los proveedores de servicios de pago, sus agentes o distribuidores o un solicitante de licencia podrán apelar una decisión negativa ante una autoridad competente.

La «interfaz específica para el acceso a los datos»

El borrador de reglamento introduce un nuevo capítulo dedicado a los servicios de información sobre cuentas e iniciación de pagos, que incluye disposiciones referidas a las interfaces que conectan a los usuarios con los proveedores gestores de cuentas.

Para alcanzar un alto nivel de seguridad en el acceso y el intercambio de datos, los agregadores e iniciadores tendrán que acceder a través de una interfaz diseñada y dedicada con esa finalidad, como una API (application programming interface) que será la «interfaz específica para el acceso de datos».

En consecuencia, los proveedores de servicios de pago gestores de cuentas dispondrán de una interfaz específica para intercambiar datos con los agregadores e iniciadores.

Sin embargo, el borrador de reglamento recoge una exención a la interfaz específica: si un proveedor gestor de cuenta lo solicita a la autoridad competente, esta podrá eximirlo de la obligación de disponer de una interfaz específica y permitirle ofrecer una de las interfaces que ya utilice para autenticar y comunicar con sus usuarios de servicios de pago.

En circunstancias justificadas, también podría permitir que el proveedor no ofrezca ninguna interfaz para el intercambio seguro de datos.

Cuadro de mando para los servicios de información sobre cuentas y de iniciación de pagos

El borrador de reglamento obligará a los proveedores gestores de cuenta a ofrecer al usuario de servicios de pago un cuadro de mando dentro de su interfaz, con ciertas condiciones, para que el usuario pueda supervisar y administrar los permisos de acceso para los servicios de información sobre cuentas y de iniciación de pagos.

Responsabilidad del proveedor de servicios de pago por fraude por suplantación de identidad

El capítulo del borrador sobre autorización de operaciones de pago recoge el régimen ya previsto en la PSD 2, si bien incorpora nuevas disposiciones como un nuevo artículo que aborda la responsabilidad en casos de fraude por suplantación de la identidad del proveedor.

Así, cuando un consumidor sea víctima de fraude por un tercero que se haga pasar por el proveedor de servicios de pago, este proveedor reembolsará al consumidor si este denuncia el fraude a la policía y lo notifica al proveedor, que tendrá 10 días hábiles para reembolsar la cantidad defraudada, a menos que tenga sospechas de fraude o negligencia grave del consumidor.

Autenticación reforzada

El borrador de reglamento incorpora varias novedades sobre la autenticación reforzada vigente por el Reglamento Delegado (UE) 2018/389,4 entre las que destacan dos:

  1. La posibilidad de que el proveedor de servicios de pago acuerde externalizar la autenticación reforzada del cliente con un proveedor tecnológico.
    • No obstante, el proveedor de servicios de pago conservará la plena responsabilidad por cualquier fallo en la autenticación reforzada y tendrá derecho a auditar y controlar las disposiciones de seguridad.
  2. La introducción de requisitos de accesibilidad para que los proveedores de servicios de pago aseguren que todos sus clientes, incluyendo los con discapacidad, los mayores y los sin acceso a canales digitales o a instrumentos de pago, tengan medios adaptados que les permitan realizar una autenticación reforzada del cliente.

Protección de datos

Sobre protección de datos, el borrador de reglamento autoriza a los prestadores de servicios de pago a tratar datos de categorías especiales (los relativos a salud, origen racial, tendencia sexual, etc.) para prestar los servicios de pago y cumplir con los requerimientos reglamentarios, pero con obligaciones adicionales de salvaguardia de los derechos fundamentales y libertades de las personas.

Esas obligaciones adicionales son:

  1. Implantar medidas técnicas para atender los principios de limitación de la finalidad, minimización de los datos y delimitación de su conservación.
  2. Impedir la reutilización de los datos, y usar sistemas actualizados de seguridad y de garantía de la privacidad, como la pseudonimización y el cifrado de los datos.
  3. Instaurar medidas organizativas, como la formación al personal en el tratamiento de datos de especiales categorías, la limitación del acceso a estos datos y el registro de los accesos.

Jurisdicción competente para resolver quejas y reclamaciones

Ante las dudas sobre la jurisdicción competente para resolver las quejas y reclamaciones de clientes, sobre todo en actuaciones transfronterizas, el reglamento determina las autoridades nacionales competentes para ello:

  1. Si la infracción o sospecha de infracción recae en los proveedores de servicios de pago, las autoridades competentes serán las del Estado miembro de origen del proveedor, excepto cuando se trate de agentes y sucursales que desarrollen sus actividades por el derecho de establecimiento, que las autoridades competentes serán las del Estado miembro de acogida.
  2. Si la infracción o sospecha de infracción recae en proveedores de servicios técnicos, sistemas de pago, cajeros automáticos que no prestan servicios de cuentas de pago, proveedores de redes móviles, o en sus agentes o sucursales, las autoridades competentes serán las del Estado miembro donde se preste el servicio en cuestión.

Régimen sancionador

El reglamento incluye también un régimen sancionador que:

  • prevé que los Estados miembros definan sanciones administrativas y otras medidas para las infracciones, de las que pueden hacerse responsables a los administradores y directivos de los proveedores de servicios de pago;
  • incorpora sanciones y medidas para el incumplimiento o evasión de los siguientes aspectos:
    • normas de acceso a las cuentas bancarias en una entidad de crédito;
    • normas de acceso seguro a los datos por proveedores gestores de cuenta, agregadores e iniciadores;
    • obligación de implementar mecanismos de prevención de fraude, incluyendo la autenticación reforzada del cliente;
    • requisitos de transparencia sobre las comisiones aplicadas por cajeros automáticos u otros distribuidores de efectivo, e
    • incumplimiento del plazo de compensación a los usuarios de servicios de pago por los proveedores de servicios.

 Próximos pasos y entrada en vigor

Trámite legislativo y entrada en vigor

El Parlamento Europeo y el Consejo de la Unión Europea deberán revisar y negociar el reglamento propuesto por la Comisión.

Tras estas negociaciones y la posible incorporación de enmiendas, el reglamento se someterá a la votación del Parlamento Europeo y del Consejo.

La entrada en vigor está prevista para el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea, y será aplicable 18 meses después de esta última fecha, a excepción de algunas salvedades menores.

Previsibles normas técnicas de regulación

Por último, el reglamento delega en la Autoridad Bancaria Europea el desarrollo de normas técnicas de regulación sobre la «interfaz específica», el control de operaciones para la prevención y detección del fraude y la autenticación reforzada, entre otras.

1 Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior.
2 Las directivas establecen objetivos y resultados que los Estados miembros deben alcanzar mediante su implementación en sus legislaciones nacionales, otorgándoles cierta flexibilidad en la forma de lograrlos. En cambio, los reglamentos son normas de aplicación directa y obligatoria para todos los Estados miembros, sin necesidad de transposición a las legislaciones nacionales, lo que garantiza una mayor uniformidad y coherencia en su aplicación en toda la Unión Europea.
De conformidad con el artículo 1.2 de la Directiva 86/653/CEE del Consejo, de 18 de diciembre de 1986, relativa a la coordinación de los derechos de los Estados miembros en lo referente a los agentes comerciales independientes.
4 Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información