Publicado el reglamento delegado sobre estándares para la autenticación reforzada de clientes y la comunicación abierta y segura

Hoy se ha publicado en el Diario Oficial de la Unión Europea el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo (generalmente conocida como PSD 2), en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

El reglamento delegado tiene como objeto fundamental establecer los requisitos que deben cumplir los proveedores de servicios de pago (PSP) a efectos de aplicar medidas de seguridad que les permitan:

1. Aplicar el procedimiento de autenticación reforzada de clientes (SCA, por sus siglas en inglés), basada en la utilización de dos o más elementos independientes categorizados como conocimiento, posesión e inherencia, y concebida de manera que se proteja la confidencialidad de los datos de autenticación.
2. Eximir de la aplicación de los requisitos de seguridad de la SCA, bajo determinadas condiciones.
3. Proteger la confidencialidad e integridad de las credenciales de seguridad personalizadas del usuario de servicios de pago.
4. Establecer estándares abiertos comunes y seguros para la comunicación entre los distintos PSP, los ordenantes y los beneficiarios, en relación con la provisión y utilización de servicios de pago.

En primer lugar, el reglamento delegado desarrolla las medidas de seguridad que deben cumplir los PSP en la aplicación de los procedimientos de la SCA a sus clientes.

Por otro lado, desarrolla las posibles excepciones a la utilización de la SCA en los siguientes casos, siempre que se cumplan determinadas condiciones:

1. la mera información de cuentas de pago,
2. los pagos sin contacto en el punto de venta,
3. las terminales no atendidas para tarifas de transporte o aparcamiento,
4. los pagos a beneficiarios de confianza,
5. las operaciones frecuentes,
6. las transferencias entre cuentas de la misma persona,
7. las operaciones de escasa cuantía, y
8. la aplicación de procesos y protocolos de pago corporativo seguro.

Estas exenciones, sin embargo, podrán dejar de aplicarse en los casos en que tenga lugar un incremento del riesgo de fraude.

Además, el reglamento delegado establece los requisitos para garantizar la confidencialidad e integridad de las credenciales de seguridad personalizadas de los usuarios de servicios de pago, principalmente en lo relativo a la creación, transmisión, entrega, renovación, destrucción y revocación de dichas credenciales, así como a su asociación con el usuario.

Por último, profundiza en los estándares de comunicación abiertos comunes y seguros, desarrollando tanto los requisitos generales de comunicación y de trazabilidad, como los requisitos relativos a los interfaces, certificados e intercambio de datos.

El reglamento delegado entrará en vigor mañana y será de aplicación dentro de 18 meses, es decir, el día 14-9-2019. A partir de esta fecha será exigible la aplicación de la SCA y los estándares de comunicación abiertos y seguros referidos en esta norma. No obstante, determinadas obligaciones relativas a las interfaces de acceso se aplicarán a partir del 14-3- 2019.