La EBA actualiza sus Q&A sobre autenticación reforzada de clientes, autorización y registro

La Autoridad Bancaria Europea (ABE, o EBA por sus siglas en inglés) ha publicado, el 18-3-2022, la actualización de dos de sus documentos de preguntas y respuestas (Q&A, como se conocen en inglés) para aclarar aspectos sobre:

• la autenticación reforzada de clientes y comunicaciones seguras (también conocida por sus siglas inglesas SCA),
• la autorización y registro.

A continuación, analizamos en detalle las modificaciones de cada uno de estos documentos.

Autenticación reforzada de clientes

Información para los proveedores de servicios de información sobre cuentas o de iniciación de pagos

En la prestación de los servicios de información sobre cuentas o de iniciación de pagos, se ha planteado la duda de si se espera que el nombre devuelto, en las respuestas de información solicitadas por los proveedores de estos servicios (AISP e PISP, respectivamente, en siglas inglesas, como las que siguen) a los proveedores de servicios de pago gestores de cuentas (ASPSP), sea el del usuario de servicios de pago (PSU) que ha iniciado la transacción con el tercero proveedor de servicios de pago (TPP), o el del propietario o titular real de la cuenta.

Los aspectos más relevantes de la respuesta de la EBA a esta cuestión son los siguientes:

1. Conforme a PSD 2,¹ los ASPSP deben tratar las órdenes de pago transmitidas a través de los servicios de un PISP y las solicitudes de datos transmitidas a través de los servicios de un AISP sin ninguna discriminación, salvo por razones objetivamente justificables.
2. En la prestación del servicio de iniciación de pagos, se aclara lo siguiente:
   • Los PISP deben disponer de la misma información sobre el inicio y la ejecución de la operación de pago facilitada o puesta a disposición del PSU que cuando la inicia el propio usuario.
   • El ASPSP, inmediatamente después de recibir la orden de pago, ha de proporcionar:
     • el nombre del pagador (el PSU) al PISP a través de la interfaz dedicada si el nombre está incluido en la información sobre la iniciación y ejecución de la operación de pago cuando la inicia directamente el PSU.
     • el nombre de la persona que inicia el pago, cuando no sea el titular de la cuenta, sino una autorizada, al PISP si ese dato se facilita al PSU cuando la operación la inicia directamente este.
3. En la prestación del servicio de información sobre cuentas, se aclara lo siguiente:
   • El AISP tiene que recibir la misma información de las cuentas de pago designadas y de las operaciones de pago asociadas puestas a disposición del PSU que cuando este solicita directamente el acceso a la información de la cuenta.
   • El ASPSP proporcionará el nombre del titular de la cuenta de pago (el PSU) al AISP a través de la interfaz si este dato se presenta al PSU al acceder directamente a la información de su cuenta.
   • Si la persona que accede a la cuenta de pago no es el titular, sino una autorizada, el ASPSP debe poner a disposición del AISP el nombre de la persona que accede a la cuenta de pago, siempre que ese dato se ponga a disposición del PSU cuando accede directamente a su cuenta o a las operaciones de pago asociadas.

Por tanto, a tenor de anterior, la EBA responde que el ASPSP tiene que compartir el nombre del PSU si se comparte ese dato cuando este, directamente con el ASPSP, accede a su cuenta o inicia una operación de pago, siempre que no haya razones objetivamente justificadas para no hacerlo.

Acceso a la cuenta de soluciones fintech que incorporan servicios regulados

Se plantea si las fintech pueden ofrecer cuentas de pago mediante el uso de servicios regulados como parte de su oferta y, en caso afirmativo, si están obligadas a dar acceso a los third party providers.

Sobre esta cuestión, la EBA se ha pronunciado indicando que:

• si el modelo de negocio incluye una cuenta de pago (de conformidad con la definición prevista en el artículo 4.12 de la PSD 2) que es accesible en línea, el acceso a la cuenta debe ser concedido por el ASPSP que esté «proporcionando y manteniendo» las cuentas de pago accesibles en línea para los ordenantes;
• no obstante lo anterior, no tiene información suficiente para dar una respuesta al caso concreto planteado por el remitente de la consulta.

Autorización y registro

Adquisición de operaciones de pago y servicio de pago de envío de dinero

Se le pregunta a la EBA si una entidad de pago que presta un servicio de adquisición de operaciones de pago a sus usuarios puede prestar este servicio sin ser el titular de una cuenta de pago.

Conforme a PSD 2, el servicio de adquisición de operaciones de pago no requiere automáticamente abrir y mantener una cuenta de pago con la propia entidad de pago.

En este sentido, la EBA recuerda que depende del diseño del modelo de adquirente; es decir, de la forma real de transferir los fondos, ya que:

1. puede haber modelos de negocios que impliquen abrir y mantener una cuenta de pago para el PSU en la propia entidad de pago, siempre que sea la propia entidad de pago la que ejecute la operación de pago, o
2. en función del modelo de negocio, un adquirente podría recoger solo registros internos, que no se califican como cuentas de pago, para saber a quién y cuántos pagos o reembolsos hay que hacer, y que las operaciones de pago las realice otro proveedor de servicios de pago, como una entidad de crédito o de pago.

Por último, la EBA incide también en que una entidad de pago que proporcione la adquisición de operaciones de pago puede cumplir los requisitos de salvaguardia con una cuenta separada abierta en una entidad de crédito, por lo que no necesariamente tiene que prestar este servicio siendo titular de una cuenta de pago.