FinTech y Regulación Financiera: PSD2, nuevas directrices de la Autoridad Bancaria Europea

9 diciembre, 2018

PSD2 – Directrices de la EBA sobre las condiciones necesarias para obtener una exención relativa al mecanismo de contingencia contemplado en el RTS sobre SCA e CSC

La EBA reconoce que el plazo para reunir las condiciones con el fin de obtener una exención es exiguo y, por lo tanto, anima a los prestadores de servicios de pago gestores de cuentas que inicien las pruebas, lancen sus interfaces de producción y se involucren con su autoridad de supervisión lo antes posible, antes del final del plazo de septiembre de 2019

La Autoridad Bancaria Europea (“EBA”) publicó el pasado día 4 de diciembre de 2018 sus directrices finales sobre las condiciones que los prestadores de servicios de pago gestores de cuentas deben cumplir para quedar exentos de la obligación de aplicar el mecanismo de contingencia (“Directrices de la EBA”) previsto en el Reglamento Delegado (UE) 2018 / 389 relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos, comunes y seguros («RTS sobre SCA y CSC» por sus siglas en inglés).

RTS sobre SCA y CSC

Los RTS sobre SCA y CSC establecen requisitos en materia de comunicación entre los proveedores de servicios de pago de cuentas (“PSPGC”), los proveedores de servicios de iniciación de pago (“PSIP”), los proveedores de servicios de información sobre cuentas (“PSIC”), los ordenantes, los beneficiarios y otros proveedores de servicios de pago (“PSP”), en particular la obligación de que los PSPGC ofrezcan al menos una interfaz de acceso a la información sobre las cuentas de pago a los PSIC y PSIP.

Por lo tanto, en relación a la comunicación entre PSPGC, PSIC y PSIP, no se permitirá la práctica actualmente vigente de acceso de terceros sin identificación – conocida en la terminología técnica como «screen scraping» o, incorrectamente, como «acceso directo» – una vez que haya expirado el periodo de transición que establece el artículo 115, apartado 4, de la Directiva (UE) 2015/2366 sobre servicios de pago (“PSD2” por sus siglas en inglés) y se apliquen las normas técnicas de regulación a partir de 14 de septiembre de 2019.

No obstante, los RTS sobre SCA y CSC requieren que los PSPGC desarrollen y mantengan una interfaz de comunicación que permita que los PSIP, los PSIC y los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas tengan acceso a los datos que necesitan en cumplimiento con la PSD2. Los RTS sobre SCA y CSC se aplican únicamente a las cuentas de pago, de acuerdo con el ámbito de aplicación de la PSD2. Así, los RTS sobre SCA y CSC no regulan el acceso a cuentas que no sean cuentas de pago, que es competencia de los estados miembros.

En cualquier caso, con el fin de garantizar que la indisponibilidad de la interfaz específica o su funcionamiento inadecuado no impidan que los PSIP y los PSIC presten sus servicios a los usuarios, y de asegurar al mismo tiempo que las interfaces destinadas al usuario funcionan sin dificultades y permiten a los PSPGC ofrecer sus propios servicios de pago, la Comisión ha modificado el proyecto de RTS sobre SCA y CSC de la EBA introduciendo una medida de contingencia en forma de mecanismo alternativo, que consiste en la apertura de las interfaces destinadas al usuario como canal de comunicación segura para los PSIP y PSIC.

Sin embargo, en su dictamen sobre las modificaciones de la Comisión, la EBA rechazó este mecanismo de contingencia sobre la base de dos argumentos principales: el primero se refiere a los costes del mecanismo de contingencia, que debían soportar los PSPGC, en adición a los costes de las interfaces dedicadas funcionales; en segundo lugar, la EBA manifestó su temor de que el requisito del mecanismo de contingencia pudiese debilitar los incentivos para el desarrollo de interfaces dedicadas normalizadas, pues ese mecanismo ya sería suficiente, por sí solo, para que los PSPGC cumpliesen los requisitos de la PSD2.

Habida cuenta del dictamen de la EBA, la Comisión revisó sus modificaciones a los RTS sobre SCA y CSC, manteniendo el mecanismo de contingencia como principio general, pero habilitando a las autoridades nacionales competentes a eximir a los bancos de la obligación de ponerlo a disposición mediante el cumplimiento de condiciones estrictas, garantizando así que las interfaces dedicadas abran verdaderamente el mercado a los servicios de pago. De este modo, los proveedores de servicios de pago que vayan a hacer uso de las interfaces específicas las pondrán a prueba, y las autoridades competentes las supervisarán y someterán a pruebas de resistencia. En el caso de que las interfaces específicas no superen con éxito las fases de prueba o las pruebas de resistencia, los proveedores de servicios de pago podrán utilizar el mecanismo de contingencia que establecen Los RTS sobre SCA y CSC.

Directrices de la EBA sobre las condiciones necesarias para obtener una exención relativamente al mecanismo de contingencia

En este contexto, las directrices de la EBA tienen por objeto esclarecer a los PSPGC y a las autoridades nacionales competentes sobre los elementos que deben ser evaluados para obtener una exención del mecanismo de contingencia y garantizar, simultáneamente, una aplicación coherente estas condiciones en todos los estados miembros de la Unión Europea.

Estas directrices detallan las condiciones establecidas en el artículo 33, apartado 6, del RTS sobre SCA y CSC, que deben cumplirse para obtener la exención de tener que observar un mecanismo de contingencia.

Paralelamente, esclarecen la forma en que las autoridades nacionales competentes deben consultar a la EBA, en particular en el período crucial que precede a la fecha de aplicación del RTS sobre SCA y CSC (14 de septiembre de 2019).

Con base en las reacciones recibidas durante la fase de consulta, la EBA alteró el proyecto de directrices en una serie de dominios. En particular, la EBA aclaró que, a efectos de la exención, los PSPGC necesitarán mostrar la implicación de los PSP en la concepción y prueba de sus interfaces dedicadas y proporcionar a la autoridad nacional competente los comentarios que recibieron de los PSP que participaron en la prueba y una explicación de cómo el PSPGC abordó cualquier problema identificado durante la prueba. Además, las directrices aclaran que, al evaluar si un PSPGC cumple la condición de «amplio uso«, las autoridades nacionales competentes deben considerar no sólo el número de PSP que usaron la interfaz de producción del PSPGC, sino también factores adicionales, en particular: el número de veces que la interfaz fue utilizada por los PSP, los pasos que el PSPGC siguió para alcanzar el ‘uso amplio’, los comentarios recibidos por el PSPGC de los PSP que participaron en la prueba y cómo se resolvieron los problemas identificados.

Relativamente a la obligación de los PSPGC de publicar datos sobre la disponibilidad y el rendimiento de sus interfaces, las directrices aclaran que los PSPGC deben publicar estos datos de una manera que permita a los PSP y a los usuarios de servicios de pago comparar la disponibilidad diaria y el rendimiento de la interfaz dedicada con las interfaces disponibles por el PSPGC para sus usuarios de servicios de pago.

Teniendo presente la complejidad de la materia desde un punto de vista técnico y la exigüidad de los plazos, la EBA anima a los prestadores de servicios de pago gestores de cuentas que inicien las pruebas, pongan en marcha sus interfaces de producción y se involucren con su autoridad de supervisión lo más rápido posible, antes de que finalice el plazo de 14 de septiembre de 2019.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa

Cristina Villasante