La EBA plantea modificar la autenticación reforzada de clientes en la PSD 2

02-11-2021 — AR/2021/146

El texto puesto a consulta modifica algunas cuestiones sobre el plazo y las circunstancias en los que no hay que aplicar la autenticación reforzada de clientes cuando se accede en línea a las cuentas de pago a través de proveedores de servicios de pago.

La Autoridad Bancaria Europea (ABE, o EBA por sus siglas en inglés) ha puesto en consulta, el 28-10-2021, la modificación de las normas técnicas de regulación (RTS, en siglas inglesas) sobre autenticación reforzada de clientes (también conocida por sus siglas inglesas SCA).

La consulta estará abierta hasta el 25-11-2021. Con el informe final, el regulador remitirá las RTS a la Comisión Europea para su aprobación.

A continuación resumimos las novedades más relevantes.

Exención de aplicar la SCA

La EBA ha resaltado la necesidad de aplicar con homogeneidad la exención recogida en el artículo 10 de las RTS,1 por la cual los proveedores de servicios de pago tienen la posibilidad de no aplicar la autenticación reforzada siempre que se cumplan los requisitos ahí recogidos.

Este artículo recoge también que los proveedores de servicios de pago no están exentos de la aplicación de la autenticación reforzada si han transcurrido más de 90 días desde la última vez que el usuario accedió en línea a las operaciones de pago ejecutadas en los 90 últimos días en una o varias cuentas de pago designadas.

La necesidad de aclarar estas cuestiones proviene de que algunos proveedores de servicios de pago gestores de cuenta requieren la SCA para cada acceso a la cuenta, o con un plazo menor de 90 días desde la última consulta, como permiten las RTS en vigor.

Acceso a través de un proveedor de servicios de información sobre cuentas

En este supuesto, la EBA propone introducir como nueva exención de la SCA obligatoria para los proveedores de servicios de pago gestores de cuenta (ASPSP, en siglas inglesas), que el usuario acceda a su cuenta de pago a través de un proveedor de servicios de información sobre cuentas (AISP) para consultar uno o los dos siguientes elementos en línea, sin divulgar datos de pago sensibles:

  1. el saldo de una o varias cuentas de pago designadas;
  2. las operaciones de pago ejecutadas en los 90 últimos días a través de una o varias cuentas de pago designadas.

Además, para igualar las condiciones de todos los proveedores de servicios de pago, el regulador propone ampliar el actual plazo de 90 días, desde la última vez que el usuario accedió en línea a la  cuenta para renovar la SCA, a 180 días cuando se accede a través de estos proveedores de servicios de información sobre cuentas.

Acceso directo

La EBA plantea también mantener la actual exención del artículo 10 cuando los clientes acceden directamente a su cuenta de pago y que sea voluntaria la SCA, como ocurre ya hoy, puesto que no se han identificado problemas en estos casos.

Propuestas descartadas

La EBA ha descartado proponer otras sugerencias recibidas sobre estas normas técnicas, como las siguientes:

  • exigir a los proveedores de servicios de pago gestores de cuenta que deleguen la SCA en los proveedores de servicios de información sobre cuentas; o
  • exigir la SCA solo una vez, cuando el cliente conecte por primera vez la cuenta al proveedor de servicios de información sobre cuentas; es decir, eliminaría la aplicación de la SCA en accesos posteriores.

1 Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos y seguros.