La EBA responde a nuevas cuestiones sobre las API en el marco de PSD 2

 

El 26-7-2019, la Autoridad Bancaria Europea (EBA, siglas de la denominación inglesa, como las demás de esta alerta) publicó sus respuestas a las cuestiones planteadas por su grupo de trabajo sobre la interfaz de programación de aplicaciones (API) bajo la PSD 2¹.

Este grupo de trabajo tiene la tarea de identificar las dificultades que puedan surgir del uso de las API en el período de pruebas que se inició el 14-3-2019 y que durará hasta el 14-9-2019, fecha de aplicación de las normas técnicas de regulación (RTS)².

A continuación, se resumen las respuestas más relevantes de la EBA al referido grupo de trabajo:

Confirmación del inicio y de la ejecución del pago

Basándose en el artículo 66.4.b) de la PSD2, la EBA afirma que el proveedor de servicios de pago gestor de cuenta (ASPSP), también conocido como gestor de cuenta, tiene la obligación de facilitar al proveedor de servicios de iniciación de pagos (PISP) o iniciador, o poner a su disposición, toda la información sobre el inicio y la ejecución de la operación de pago inmediatamente después de recibir la orden, de tal manera que el iniciador pueda cumplir con sus obligaciones de información frente al usuario.

Acceso a la información de cuentas que no sean de pago

El grupo de trabajo ha puesto de manifiesto la dificultad de los proveedores de servicios de información sobre cuentas (AIPSP), o agregadores, de asegurar que no acceden inadvertidamente a los datos de las cuentas de pago de los usuarios cuando consultan las cuentas que no son de pago utilizando la interfaz de cliente (por ejemplo, a través de screen scraping), dada la dificultad de los agregadores para distinguir entre unos y otros tipos de cuentas.

Desde el grupo de trabajo se ha sugerido que los agregadores que acceden a los datos de cuentas que no son de pago a través de la interfaz de cliente deberían poder acceder también a los datos de cuentas de pago, siempre y cuando: (i) identifiquen las cuentas sin capturar detalles de la transacción, y (ii) eliminen los datos del pago capturados de este proceso.

Ante esta cuestión, la EBA indica que los requisitos de PSD 2 y los RTS se aplican solo con respecto a las cuentas de pago y no a otro tipo de cuentas. Por ello, desde el 14-9-2019, los agregadores, iniciadores y emisores de instrumentos de pago deben acceder solo a los datos de las cuentas de pago, de conformidad con PSD 2 y los RTS, lo que supone que, desde esa fecha, ya no se permitirá que accedan a los datos de las cuentas de pago a través de la interfaz del cliente sin identificación (por ejemplo, con el citado screen scraping, como se ha venido realizando).

Adicionalmente, recuerda que el Tribunal de Justicia de la Unión Europea ha aclarado la definición de cuenta de pago al establecer que la calificación de una cuenta como cuenta de pago depende de las funcionalidades reales de esa cuenta.

Intercambio de información sobre el número de cuenta con los iniciadores

Se ha planteado si los iniciadores, para mitigar los riesgos de fraude, pueden recibir de los gestores de cuenta determinados detalles de la cuenta de pago del usuario (como por ejemplo el número de cuenta), siempre y cuando sus usuarios lo hayan consentido.

La EBA aclara que los gestores de cuenta solo estarán obligados a proporcionar a los iniciadores, o poner a su disposición, la información necesaria para que puedan prestar el servicio de iniciación. Además, añade que siempre será el usuario quien especifique la cuenta desde la que iniciará la transacción, sin necesidad de que el gestor de cuenta proporcione su número.

Biometría y autenticación en aplicaciones

El grupo de trabajo ha expuesto también su preocupación por que las API que ofrecen o desarrollan los gestores de cuenta no están preparadas para soportar la redirección app-to-app del usuario al agregador o iniciador. Por ello, proponen como solución que los gestores de cuenta permitan a los agregadores e iniciadores utilizar todos los procedimientos de autenticación proporcionados por los gestores de cuenta a sus usuarios.

Ante esta cuestión, la EBA considera que las API de los gestores de cuenta deben ser compatibles con todos los métodos de autenticación que pongan a disposición de sus usuarios. Por consiguiente, el método de acceso o la combinación de los elementos que debe soportar la API dependerá de los procedimientos de autenticación que el gestor de cuenta ofrezca a sus usuarios, y si los elementos de autenticación son transmisibles (como las contraseñas) o no (como el reconocimiento biométrico).

Test de estrés

La EBA responde afirmativamente a la pregunta sobre si los test de estrés de las API de los gestores de cuenta pueden llevarse a cabo en el entorno de pruebas con características similares a las del entorno real de producción, y ha confirmado que ello se ajustaría a las directrices de la EBA del 4-12-2018, relativas a las condiciones que deben cumplirse para beneficiarse de la exención del mecanismo de contingencia.

Certificados eIDAS³ para los gestores de cuenta

Se ha planteado si las entidades de crédito, en su calidad de agregadores o iniciadores, deben incluir estos servicios como funciones en su certificado eIDAS. La EBA, basándose en que las entidades de crédito pueden prestar todos los servicios de pago sin tener que estar autorizadas para prestar cada uno de ellos de forma particular, ha establecido que ya tendrán asignadas en su eIDAS las funciones mencionadas, por lo que no es necesario incluirlas.

Acceso de los agregadores cuatro veces al día

Se ha cuestionado la aplicación del límite establecido en el artículo 36.5.b) de los RTS, que establece que si el usuario no solicita activamente la información de las cuentas de pago designadas, los agregadores no podrán acceder a la información más de cuatro veces cada 24 horas, salvo que exista un pacto con el gestor de la cuenta y consentimiento del usuario, puesto que dicho límite mermaría la utilidad y funcionalidades de los agregadores.

En este punto, la EBA entiende que se puede acordar una mayor frecuencia de acceso con el gestor de cuenta, con el consentimiento del usuario, si bien la limitación se aplicará independientemente de la API que el gestor de cuenta haya decidido implementar.

_________________

¹ PSD 2 es la denominación por la que se conoce la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE.

² Las normas técnicas de regulación (RTS) se definieron en el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

³ Estos certificados están basados en los servicios de identificación electrónica, autenticación y de confianza (electronic identification, authentication and trust services), que puso en marcha el Reglamento (UE) n.° 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.