La EBA responde a las cuestiones planteadas sobre las API bajo PSD 2

15-03-2019 — AR/2019/020

La EBA responde al primer conjunto de cuestiones planteadas por su grupo de trabajo sobre la interfaz de programación de aplicaciones (API), en el marco de la Directiva (UE) 2015/2366 (PSD2), con referencias sobre la fiabilidad de las plataformas de pruebas, la alineación de las funciones entre los sistemas de API, y la identificación, a efectos de pruebas, de las entidades aún no autorizadas.

La Autoridad Bancaria Europea (EBA, siglas de la denominación inglesa, como las demás de esta alerta) publicó, el 11-3-2019, respuestas al primer conjunto de cuestiones planteadas por su grupo de trabajo sobre la interfaz de programación de aplicaciones (API), en el marco de la Directiva (UE) 2015/2366 (PSD 2).

Estas cuestiones hacen referencia a:

  1. la fiabilidad de las plataformas de pruebas;
  2. la alineación de las funciones entre los sistemas de API, y
  3. la identificación, a efectos de pruebas, de las entidades aún no autorizadas.

El grupo de trabajo tiene la tarea de identificar los problemas que surgen durante las pruebas (que se iniciaron ayer, 14-3-2019) y el uso de estas interfaces en el período de prueba hasta el 14-9-2019, fecha de aplicación del Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

A continuación, se resumen los aspectos más relevantes de las referidas respuestas.

Pruebas

Las principales preocupaciones que surgieron con el entorno de pruebas controlado se refieren a la fiabilidad de las plataformas de pruebas, la profundidad de los casos de uso y los datos disponibles, y la facilidad y rapidez de las pruebas para terceros proveedores (TPP).

Estos TPP incluyen a los proveedores del servicio de información sobre cuentas (agregadores o AISP), los proveedores del servicio de iniciación de pagos (iniciadores o PISP) y los emisores de instrumentos de pago basados en tarjetas (CBPII).

La EBA aclara que los gestores de cuentas tienen que poner a disposición de los TPP una instalación de pruebas que incluya la conexión y comprobación de su funcionamiento. Asimismo, establece que, según el artículo 30 del citado reglamento delegado, los gestores de cuenta deben poner a disposición de los TPP también la documentación con las especificaciones técnicas de cada interfaz, que incluya las rutinas, protocolos y herramientas que necesitan los TPP para que sus programas y aplicaciones puedan interoperar con los sistemas de los gestores de cuentas.

Alineación de las funciones de las API

Sobre este punto, los participantes del grupo expusieron que los datos y las funciones disponibles a través de las API no siempre están alineados entre las diferentes iniciativas de esas API.

La EBA establece que los gestores de cuenta deben poner a disposición la documentación que contenga las especificaciones técnicas de una determinada interfaz al menos seis meses antes de la fecha de aplicación de los RTS, esto es, a más tardar el 14-3-2019, o antes de la fecha de lanzamiento de la interfaz de acceso si es posterior a dicha fecha.

Lista de proveedores de certificados cualificados de sello electrónico o de autenticación de sitio web (QTSP)

Otra de las preocupaciones expuestas es que los gestores de cuenta, para establecer la comunicación segura, no pueden identificar a los agregadores, iniciadores o emisores de tarjetas que están autorizados en los registros públicos de las autoridades competentes. Esta circunstancia se debe no solo al retraso en la publicidad de algunos de dichos registros o en la concesión de las autorizaciones de PSD 2, sino también porque, al parecer, no hay QTSP que ofrezcan los certificados para poder cumplir con la identificación definida en el artículo 30.1.a) del reglamento delegado que regula los RTS.

La EBA ha señalado que la lista de los QTSP está publicada en el siguiente enlace (si bien no se detalla si los QTSP proporcionan el certificado referido): https://webgate.ec.europa.eu/tl-browser/#/

El regulador, dado que el plan de pruebas de las API empezó el 14-3-2019, ha contactado con los QTSP relacionados en ese enlace y confirma que los siguientes sí emiten certificados para fines de PSD 2:

  • Aruba Posta Elettronica Certificata S. p. A. (Italia)
  • Buypass AS (Noruega)
  • Evrotrust Technologies JSC (Bulgaria)
  • First certification authority, a. s. (República Checa)
  • InfoCert S. p. A. (Italia)
  • Krajowa Izba Rozliczeniowa S. A. (Polonia)
  • LuxTrust S. A. (Luxemburgo)
  • Microsec Micro Software Engineering & Consulting Private Company Limited by Shares (Hungría)
  • MULTICERT – Serviços de Certificação Electrónica S. A. (Portugal)
  • NETLOCK Informatics and Network Privacy services Limited Company (Hungría)