La EBA responde a nuevas cuestiones sobre las API planteadas bajo PSD 2

El 26-4-2019 la Autoridad Bancaria Europea (EBA, siglas de la denominación inglesa, como las demás de esta alerta) publicó sus respuestas al tercer conjunto de cuestiones planteadas por su grupo de trabajo sobre la interfaz de programación de aplicaciones (API), en el marco de la PSD2¹.

Estas cuestiones hacen referencia a:

1. la portabilidad de los datos de uso generalizado entre los Estados miembros de la Unión Europea;
2. el pasaporte y los certificados elDAS;
3. el uso de los certificados eIDAS antes del 14-9-2019;
4. el uso por terceros proveedores (TPP) de agentes y subcontratistas para acceder a los datos de las cuentas de pago;
5. la interpretación de las condiciones de uso generalizado y diseño a satisfacción de los TPP, y
6. los proveedores de servicios de pago gestores de cuentas (ASPSP) que confían en los certificados eIDAS para la comunicación segura.

El grupo de trabajo tiene la tarea de identificar los problemas que puedan surgir del uso de las interfaces en el período de prueba que se inició el 14-3-2019 y que durará hasta el 14-9-2019, fecha de aplicación del reglamento delegado de los RTS².

A continuación se resumen los aspectos más relevantes de las respuestas de la EBA.

Portabilidad de los datos de uso generalizado entre los Estados miembros

El grupo de trabajo plantea si los datos recogidos durante el periodo de tres meses al que se refiere el artículo 33.6 de los RTS, pueden utilizarse como prueba para apoyar el cumplimiento de la condición de “uso generalizado” en otro Estado miembro. En este punto, la EBA considera que, efectivamente, en determinados casos, para valorar si se ha cumplido la condición de “uso generalizado”, las autoridades competentes pueden utilizar la evidencia proporcionada por un ASPSP en relación con los datos obtenidos relativos al uso de la API en otros Estados miembros.

Pasaporte y certificados eIDAS

Ante la pregunta sobre si los ASPSP tienen o no que verificar si los TPP están autorizados a operar en un Estado miembro, dado que los certificados eIDAS no contienen información relativa al pasaporte, la EBA entiende que, bajo el artículo 34.1 de los RTS, los ASPSP no tendrán que realizar comprobaciones adicionales con esta finalidad.

Uso de los certificados eIDAS durante el periodo de uso generalizado anterior al 14-9-2019

En relación a la obligación de uso de los certificados eIDAS a través de API antes de la fecha de aplicación de los RTS (14-9-2019), la EBA establece que la interfaz dedicada debe haber sido ampliamente utilizada durante al menos tres meses para que una ASPSP reciba una exención de la obligación de establecer el mecanismo de contingencia, de conformidad con el artículo 33.6 de los RTS.

Uso por los TPP de agentes y subcontratistas para acceder a los datos de las cuentas de pago

La EBA indica que los TPP deben identificarse ante el ASPSP para acceder a los datos de las cuentas de pago de los clientes, según las limitaciones de los servicios de pago que presten (iniciación de pagos o información sobre cuentas), utilizando un certificado eIDAS. Además, si un agente o un proveedor de servicios técnicos (TSP) que actúa en nombre de un TPP presenta un certificado eIDAS, el certificado debe identificar inequívocamente el TPP principal en cuyo nombre actúa el agente o TSP.

Interpretación de las condiciones de uso generalizado y diseño a satisfacción de los TPP

La EBA hace referencia al informe final sobre las directrices relativas a las condiciones para acogerse a una exención del mecanismo de contingencia (EBA/GL/2018/07).

En estas directrices se aclara, entre otras cuestiones, que para cumplir la condición de «diseño», los ASPSP deben demostrar que su API cumple todos los requisitos de la PSD2 y de los RTS sobre el acceso a los datos, incluido el de no crear obstáculos para el suministro de información sobre cuentas y servicios de iniciación de pagos, y que, entre otros factores, la condición de uso generalizado debe evaluarse considerando el número de TPP que han utilizado la interfaz de producción del ASPSP para ofrecer servicios a sus clientes y el número de solicitudes exitosas enviadas por TPP a través de la interfaz dedicada, durante el período de prueba de tres meses.

ASPSP que confían en los certificados eIDAS

La EBA aclara cuestiones relacionadas con:

1. los riesgos de que los ASPSP compartan información con personas que ya no estén autorizadas por las autoridades nacionales competentes, en caso de que su certificado eIDAS siga activo;
2. los problemas surgidos porque los ASPSP no pueden basarse en la información contenida en los registros de la EBA para identificar los TPP después de la fecha de aplicación de los RTS; y
3. el desfase temporal entre la retirada de la autorización y la actualización de la situación en los registros nacionales y de la EBA.