Las nuevas normas técnicas de regulación sobre la autenticación reforzada de clientes en PSD 2 serán exigibles desde el 25-7-2023

30-12-2022 — AR/2022/156

Tras un año de tramitación, ha entrado en vigor el reglamento delegado que modifica las normas técnicas de regulación que rigen la autenticación reforzada de cliente, con la introducción de detalles adicionales para eximir ciertos supuestos de esta autenticación reforzada.

La Comisión Europea aprobó las nuevas normas técnicas de regulación (RTS en siglas inglesas) sobre la autenticación reforzada de clientes (SCA, por sus siglas en inglés), con la modificación introducida en el Reglamento Delegado (UE) 2022/2360,1 que entraron en vigor el 25-12-2022 y que serán obligatorias desde el 25-7-2023.

A continuación se resume brevemente el contenido de la modificación.

Exención para aplicar la autenticación reforzada de clientes

Se puede no aplicar la autenticación reforzada de clientes cuando un usuario de servicios de pago acceda al saldo y a las operaciones recientes de una cuenta de pago y no se divulguen datos de pago sensibles (la obligatoriedad de la autenticación reforzada la recoge el artículo 97 de la Directiva (UE) 2015/2366(conocida como PSD 2) y la exención, el artículo 10 del Reglamento Delegado (UE) 2018/3893).

En estos casos, los proveedores de servicios de pago están autorizados para acceder a la información de la cuenta sin la autenticación reforzada de clientes, siempre que esta se haya aplicado:

  • cuando se accedió a la información de la cuenta por primera vez, y
  • al menos cada 90 días desde ese momento.

El uso de esta exención ha dado lugar a prácticas muy divergentes en la aplicación del Reglamento Delegado (UE) 2018/389. Por ese motivo, la Comisión ha especificado con mayor detalle cuándo y cómo aplicar la exención con la modificación del citado artículo 10.

Modificaciones

Nueva exención en la aplicación de la SCA

El Reglamento Delegado (UE) 2022/2360 incorpora al Reglamento Delegado (UE) 2018/389 un nuevo artículo 10 bis con una nueva exención obligatoria de la obligación de aplicar la autenticación.

Según esta exención, los proveedores de servicios de pago no deben aplicar la SCA cuando los usuarios de servicios de pago acceden a la información de sus cuentas de pago a través de un proveedor de servicios de información sobre cuentas si se cumplen las siguientes condiciones de seguridad y de protección de los datos:

  1. que el alcance de los datos sea limitado (es decir, que se acceda al saldo y a las operaciones de pago ejecutadas en los últimos 90 días), y
  2. que el proveedor de servicios de pago gestor de cuenta aplique la SCA para el primer acceso y la renueve periódicamente (cada 180 días)

No obstante, los proveedores de servicios de pago estarán autorizados a aplicar la autenticación reforzada si tiene razones justificadas y documentadas para hacerlo, derivadas de un acceso no autorizado o fraudulento.

Limitación de la exención voluntaria

Las nuevas normas técnicas limitan asimismo el ámbito de aplicación de la exención voluntaria prevista en el artículo 10 del Reglamento Delegado (UE) 2018/389 a los casos en los que el cliente acceda directamente a la información relativa a la cuenta.

Ampliación de plazo de renovación de la SCA

Como se ha citado, este cambio amplía de 90 a 180 días el plazo para renovar la SCA cuando se apliquen las exenciones antes mencionadas.

Los proveedores de servicios de pago gestores de cuenta que ofrecen tanto una interfaz específica como un mecanismo de contingencia no están obligados a aplicar la exención de la SCA para el mecanismo de contingencia, si no aplican esa exención en sus canales directos con los clientes.

Adaptación de interfaces

Por último, en relación con las interfaces de acceso, los proveedores de servicios de pago gestores de cuenta han de poner a disposición del resto de los proveedores de servicios de pago las modificaciones introducidas en las especificaciones técnicas de sus interfaces para cumplir lo dispuesto en el nuevo artículo 10 bis, al menos dos meses antes de que sean obligatorias estas modificaciones.

Entrada en vigor

Como se ha indicado al principio, las nuevas RTS entraron en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea, esto es, el 25-12-2022 y serán obligatorias desde el 25-7-2023.

Disposiciones transitorias

Los proveedores de servicios de pago que apliquen la exención prevista en el artículo 10 del Reglamento Delegado (UE) 2018/389 antes del 25-7-2023 podrán seguir ejecutándola con las solicitudes de acceso recibidas a través de un proveedor de servicios de información sobre cuentas hasta que expire el período cubierto por ella.

No obstante, cuando se solicite una nueva autenticación reforzada de clientes a través de un proveedor de servicios de información sobre cuentas antes de que expire el período cubierto por la exención mencionado, se aplicará el artículo 10 bis introducido.


1 Reglamento Delegado (UE) 2022/2360 de la Comisión, de 3 de agosto de 2022, por el que se modifican las normas técnicas de regulación establecidas en el Reglamento Delegado (UE) 2018/389 en lo que respecta a la exención de 90 días para el acceso a las cuentas.
2 Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.
3 Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE.