La EBA emite el informe final sobre las directrices para la notificación de incidentes graves en PSD 2

15-06-2021 — AR/2021/082

Las directrices buscan aclarar cuestiones relacionadas con la obligación de notificar a la autoridad competente los incidentes operativos o de seguridad graves que afecten a los proveedores de servicios de pago. Abarca indicaciones para estos y también para las autoridades competentes.

La Autoridad Bancaria Europea (EBA, en siglas inglesas) ha emitido, el 10-6-2021, su informe final sobre la revisión de las directrices para notificar los incidentes graves relacionados con la PSD 2.1

En esta nueva versión, las directrices:

  • buscan aclarar cuestiones sobre la notificación a la autoridad nacional competente (ANC) de los incidentes operativos o de seguridad graves que afecten a los proveedores de servicios de pago, y
  • especifican el formato y procedimientos para comunicar esos incidentes.

Comentamos los principales aspectos de esta revisión, diferenciando entre las dirigidas a los proveedores de servicios de pago (PSP) y a la ANC.

Directrices dirigidas a los proveedores de servicios de pago

Clasificación como incidente mayor

Los PSP deben evaluar un incidente de seguridad u operacional en función de:

  • las transacciones afectadas;
  • los usuarios de servicios de pago afectados;
  • la violación de la seguridad de la red o sistemas de información;
  • el tiempo de inactividad del servicio;
  • las consecuencias económicas y reputacionales;
  • la información o no a la alta dirección (se haya informado o se vaya a informar), y
  • las implicaciones sistemáticas que podría tener el incidente para extenderse más allá del PSP.

Las directrices incluyen, para cada uno de estos criterios, una tabla con los umbrales para determinar si el nivel de impacto es alto o bajo.

Si concurren uno o más criterios con nivel alto, o tres o más de nivel bajo, se considerará que el incidente es grave.

Proceso de notificación

Los PSP han de recopilar toda la información pertinente y elaborar un informe de incidentes, tomando como modelo las plantillas adjuntas a las directrices y enviarlo a las ANC.

En el proceso de notificación, se prevén tres informes durante la vida del incidente, para los que se proporcionan tres plantillas distintas:

  1. Informe inicial
    • Es el primer informe, después de que un incidente de seguridad u operacional se haya clasificado como grave.
    • Este informe se enviará a la ANC en un plazo de cuatro horas desde que se le haya asignado la calificación de grave.
  2. Informe intermedio
    • Se presentará cuando se hayan recuperado las actividades habituales y el negocio haya vuelto a la normalidad.
    • Si no se han recuperado las actividades habituales, los PSP deben presentar este informe dentro de los tres días hábiles siguientes a la presentación del informe inicial.
    • No obstante, si se hubiera vuelto a la normalidad antes de las cuatro horas desde la clasificación del incidente, se enviará este informe simultáneamente con el inicial.
  3. Informe final
    • Se debe presentar cuando se haya analizado la causa del incidente, en un plazo máximo de veinte días hábiles después de que la operativa haya vuelto a la normalidad.

Informes delegados y consolidados

  1. Informes delegados
    • Cuando los PSP deleguen las obligaciones de información a un tercero, se notificará esta circunstancia a la ANC y se garantizará el cumplimiento de las siguientes condiciones:
      • La existencia de un contrato formal en el que se asigne inequívocamente esta obligación y se indique que el PSP seguirá siendo plenamente responsable.
      • El cumplimiento de la delegación con los requisitos para la subcontratación de funciones operativas importantes, en virtud del artículo 19.6 de la PSD 2.2
      • La presentación de la información a la ANC en los plazos y con los procedimientos establecidos por ésta.
      • La garantía de la confidencialidad de los datos sensibles y la calidad, coherencia, integridad y fiabilidad de la información.
  2. Informes consolidados
    • Se refiere a un informe único que hace referencia a varios PSP afectados por el mismo incidente.
    • En los casos en los que los PSP permitan al tercero presentar informes consolidados, deberán informar a la ANC de dicha circunstancia.
    • Para la presentación de informes consolidados, se exige que:
      • esté incluida esta circunstancia en el contrato que sustenta el informe delegado;
      • se condicione el informe consolidado a que el incidente sea causado por una interrupción en los servicios prestados por el tercero;
      • se limite la información consolidada a los PSP establecidos en un mismo Estado miembro;
      • incluya la lista de todos los PSP afectados por el incidente;
      • se asegure que el tercero evalúa la materialidad del incidente para cada PSP y que solo incluya en el informe consolidado los PSP para los que el incidente ha sido clasificado como grave.
      • se rellenen para cada PSP los campos de la plantilla que no tengan una respuesta común;
      • el tercero mantenga informado al PSP en todo momento.

Política de operativa y de seguridad

Los PSP deben asegurarse de que su política general de operativa y de seguridad defina claramente todas las responsabilidades sobre la notificación de incidentes y los procesos implementados para cumplir los requisitos de las directrices.

Directrices dirigidas a las ANC

En relación con otras autoridades nacionales

Las ANC han de evaluar la relevancia de un incidente grave operativo o de seguridad para otras autoridades nacionales, tomando como base su opinión propia y los siguientes indicadores:

  1. El ámbito de competencia, es decir, si las causas del incidente están dentro del ámbito normativo de otra autoridad nacional.
  2. Las consecuencias del incidente y si tienen efecto en los objetivos de otra autoridad nacional.
  3. Si el incidente afecta, o podría afectar, a usuarios de servicios de pago a gran escala.

En la documentación que la ANC ha de compartir con otras autoridades nacionales, se omitirá cualquier información que pueda estar sujeta a restricciones de confidencialidad o propiedad intelectual.

En relación con la Autoridad Bancaria Europea y el Banco Central Europeo

Las ANC proporcionarán a estos dos organismos todos los informes recibidos de los PSP, o en su nombre, aunque preservarán en todo momento la confidencialidad e integridad de la información almacenada e intercambiada.

Entrada en vigor

Las Directrices entran en vigor el 1-1-2022 y derogan las Directrices EBA/GL/2017/10.


1 Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE.
2 «Cuando una entidad de pago pretenda externalizar funciones operativas relacionadas con los servicios de pago, deberá informar de ello a las autoridades competentes de su Estado miembro de origen. / La externalización de funciones operativas importantes, incluidos los sistemas informáticos, deberá realizarse de modo tal que no afecte significativamente ni a la calidad del control interno de la entidad de pago ni a la capacidad de las autoridades competentes para controlar y hacer un seguimiento a posteriori del cumplimiento por la entidad de pago de todas las obligaciones que establece la presente Directiva. / A efectos del párrafo segundo, una función operativa se considerará importante si una anomalía o deficiencia en su ejecución puede afectar de manera sustancial a la capacidad de la entidad de pago para cumplir permanentemente las condiciones que se derivan de su autorización en virtud del presente título, o sus demás obligaciones en el marco de la presente Directiva, o afectar a los resultados financieros, a la solidez o a la continuidad de sus servicios de pago. Los Estados miembros se asegurarán de que, cuando las entidades de pago externalicen funciones operativas importantes, cumplan las siguientes condiciones: / a) la externalización no dará lugar a la delegación de responsabilidad por parte de la alta dirección; / b) no alterará las relaciones y obligaciones de la entidad de pago con respecto a sus usuarios de conformidad con la presente Directiva; / c) no irá en menoscabo de las condiciones que debe cumplir la entidad de pago para recibir la autorización y conservarla de conformidad con el presente título; / d) no dará lugar a la supresión o modificación de ninguna de las restantes condiciones a las que se haya supeditado la autorización de la entidad de pago».