La Financial Conduct Authority del Reino Unido modifica sus normas sobre identificación reforzada de clientes

02-12-2021 — AR/2021/172

El supervisor del Reino Unido ha decidido eliminar algunos obstáculos identificados por el sector de los pagos y del dinero electrónico, y sustituirá la obligación de que el usuario de servicios de pago tenga que identificarse cada 90 días con doble factor, por una reconfirmación de que desea ampliar la validez de la autorización. Este paso puede ser un precedente para que las autoridades europeas sigan el mismo camino.

La Autoridad de Conducta Financiera del Reino Unido (por sus siglas en inglés, FCA) ha confirmado, en su policy statement PS21/19 de noviembre, que sustituirá la obligación de que los usuarios de servicios de agregación financiera tengan que volver a identificarse con doble factor cada  90 días.

A esta decisión llega tras los comentarios del sector en la consulta del mes de enero de 2021 sobre sobre las modificaciones propuestas para eliminar los obstáculos identificados en el sector de los pagos y del dinero electrónico.

La consulta proponía una serie de modificaciones, entre ellas, la más relevante para el sector, la de sustituir la obligación descrita, denominada «autenticación reforzada del cliente» o SCA (en siglas inglesas), por una simple confirmación por parte del usuario al agregador de su voluntad de querer continuar disfrutando del servicio.

Normativa actual

Según la directiva de servicios de pago1 (PSD 2), los usuarios de servicios de agregación financiera deben identificarse cada 90 días mediante un mecanismo de doble factor frente al banco o la entidad gestora de la cuenta.

Los agregadores financieros expresaron su oposición a esta medida durante la tramitación de la PSD 2 por el efecto que tendría en la continuidad del servicio para muchos usuarios.

La modificación puesta a consulta por la FCA sustituye esa obligación por una mera confirmación del usuario del servicio al agregador financiero de su voluntad de continuar con el servicio.

Este paso de la FCA puede suponer un precedente para un cambio similar en la normativa de la PSD 2, cambio que han venido demandando los principales agregadores financieros europeos con insistencia.

Propuestas de modificación

La propuesta de modificación de la FCA, que entrará en vigor el 26-3-2022, se concreta en el siguiente desarrollo.

Naturaleza del consentimiento

La FCA indica los siguientes puntos:

  1. Para obtener el consentimiento explícito, los agregadores financieros deben poner a disposición de los clientes la información necesaria para que tomen una decisión informada.
  2. Los clientes deben comprender lo que están consintiendo, y el consentimiento debe ser claro y específico.
  3. Una sola reconfirmación del consentimiento puede aplicarse a más de una cuenta del cliente vinculada al agregador, siempre que quede claro que el consentimiento se da para varias cuentas identificadas específicamente.
    • Si un cliente añade cuentas vinculadas al agregador en diferentes momentos,  recomienda que este le solicite de manera sincronizada el consentimiento en todas sus cuentas vinculadas.
    • Además, cuando un cliente haya delegado el acceso a la información de su cuenta, por ejemplo, a un tercero, como un contable, este podrá confirmar el consentimiento si está autorizado a hacerlo en nombre del cliente y lo verifica el agregador.

Validez del consentimiento

Por una parte, los agregadores financieros serán responsables de recabar el consentimiento del cliente y no estarán obligados a comunicar ese consentimiento a los bancos o gestores de cuenta.

No obstante los bancos o gestores de cuenta sí decidirán si aplican las exenciones al SCA en virtud de la normativa aplicable. Por lo tanto, ellos podrán exigir la SCA en cualquier momento, establecida la conexión inicial entre el agregador y la cuenta de pago de un cliente.

La FCA recomienda que bancos y gestores de cuenta se acojan a la exención, a menos que tengan razones objetivas y fundamentadas para no hacerlo, por ejemplo, si se tratara de un acceso no autorizado o fraudulento.

Según la normativa, cuando un usuario no confirme su consentimiento después de 90 días, los agregadores deberán dejar de acceder a su información. Pero la FCA modifica las normas de SCA para aclarar que el acceso puede reanudarse si el cliente reconfirma posteriormente su consentimiento con el agregador.

Recomendación y actuación de la FCA

El supervisor del Reino Unido invita a los bancos y gestores de cuenta a que apliquen estos métodos sustitutivos tan pronto como sea posible tras su entrada en vigor.

Asimismo, anuncia que supervisará el uso de la exención, y, si detectara que la aplicación de la SCA por bancos o gestores de cuenta obstaculiza innecesariamente los servicios de los agregadores financieros, considerará la posibilidad de tomar nuevas medidas para fomentar o exigir esa exención.

Otras modificaciones

Además de la modificación principal comentada, la FCA propone cambiar también otros puntos, como:

  • los requisitos de las interfaces de acceso;
  • las especificaciones técnicas e instalaciones de prueba;
  • los cambios en la interfaz de respaldo; y
  • la gestión de riesgos prudenciales y de salvaguardia.

Implicaciones en la normativa de la UE

La Autoridad Bancaria Europea (EBA, en siglas inglesas) puso a consulta la modificación de las normas técnicas de regulación sobre la SCA el 28-10-2021 (véase la alerta relacionada sobre ella), en  relación con la exención del artículo 10.

En este sentido, la postura de la FCA constituye un precedente y no sorprendería que la EBA llegue a iguales o similares conclusiones tras su consulta.

De esta forma, se eliminarían varios de los obstáculos identificados en el sector de los pagos y del dinero electrónico y se mejoraría la experiencia del usuario.


1 Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE.