info@ecija.com

Sala de Prensa

19 junio, 2020
fintech app to app
twitter linkedIn

Este artículo fue publicado por Economist & Jurist.

La Autoridad Bancaria Europea (“EBA” por sus siglas en inglés) publicó el pasado 4 de junio de 2020 la Opinión EBA/OP/2020/10, sobre los obstáculos a los que se refiere el artículo 32.3 del Reglamento Delegado (UE) 2018/389 de la Comisión, a través de la cual se aborda la necesidad por parte de los bancos de permitir a las Fintech prestar servicios de información sobre cuentas y/o de iniciación de pagos a aquellos usuarios que deseen autenticarse mediante procesos que sólo están disponibles en la aplicación de móvil del banco, y que habitualmente consisten en el uso de información biométrica del usuario (reconocimiento facial, huella dactilar, etc.)

Hablamos, sin duda, de una de las opiniones más esperadas por los prestadores de servicios de terceros (“TPP”, por sus siglas en inglés), que se clasifican en prestadores de servicios de información sobre cuentas (“AISP”, por sus siglas en inglés) y prestadores de servicios de iniciación de pagos (“PISP”, por sus siglas en inglés), quienes llevaban tiempo reclamando que la mayor parte de los prestadores de servicios gestores de cuenta (los bancos, o los “ASPSP”, por sus siglas en inglés) no habían tomado todas las medidas a las que obliga el artículo 32.3 del Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos, comunes y seguros (en adelante, “RTS-SCA”, por sus siglas en inglés), al no permitir a los clientes de los TPP todos los medios de autenticación de los que les proveen cuando acceden a los servicios del ASPSP de forma directa, es decir, sin la intermediación de un TPP.

En particular, el artículo 32.2 del RTS-SCA establece:

Los proveedores de servicios de pago gestores de cuenta que hayan establecido una interfaz específica se asegurarán de que esta no cree obstáculos a la prestación de servicios de iniciación de pagos y servicios de información sobre cuentas. Estos obstáculos pueden incluir, entre otras cosas, impedir el uso por los proveedores de servicios de pago a que se refiere el artículo 30, apartado 1, de las credenciales expedidas por los proveedores de servicios de pago gestores de cuenta a sus clientes; imponer la redirección hacia la autenticación u otras funciones del proveedor de servicios de pago gestor de cuenta; exigir autorizaciones y registros adicionales, además de los previstos en los artículos 11, 14 y 15 de la Directiva (UE) 2015/2366; o exigir controles adicionales del consentimiento dado por los usuarios de los servicios de pago a los proveedores de servicios de iniciación de pagos y servicios de información sobre cuentas.

Adicionalmente, hay que tener en cuenta que la EBA ya se había pronunciado sobre el citado artículo en su Opinión EBA-Op-2018-04, de 13 de junio de 2018:

50. When determining which method(s) to use for the purpose of carrying out the authentication procedure, in line with Article 97(5) PSD2 and Article 30(2) of the RTS, all methods of SCA provided to the PSU need to be supported when an AISP or PISP is used. If they were not, this would constitute an obstacle.Therefore, which method, or combination of methods, any particular ASPSP needs to use will depend on the authentication procedures it offers to its own PSUs.

Sin embargo, los TPP entendieron que este pronunciamiento de la EBA no había sido implementado con el suficiente rigor por la mayor parte de los ASPSP que, hasta la fecha, permitían al usuario acceder a los servicios del TPP utilizando su clave de acceso y, en ocasiones, cualquier otro medio de autenticación puesto a disposición de sus clientes en su entorno web, mediante el procedimiento conocido como el app-to-web, mediante el cual el usuario que desea optar por otra forma de autenticación es redirigido a la web del ASPSP, en la cual selecciona uno de los métodos de autenticación allí disponibles. Una vez autenticado en el entorno de la web del ASPSP, el usuario es de nuevo redirigido a la app del TPP.

No obstante, el uso del método app-to-web no permite al usuario seleccionar aquellas opciones de autenticación que únicamente están disponibles en la app del ASPSP, razón por la cual los TPP presionaban a la EBA para que reconociera que el artículo 32.3 del RTS-SCA obligaba a los ASPSP a permitir a los clientes del TPP la autenticación mediante aquellos procesos que únicamente estuvieran disponibles en la app del ASPSP.

El proceso conocido como app-to-app hace técnicamente posible el reclamo de los TPP, basándose su funcionamiento en los mismos principios que el app-to-web. Si el usuario tiene instalada en su dispositivo móvil la app del ASPSP, podrá optar por ser redirigido a dicha app para autenticarse utilizando cualquier otro proceso habilitado por el ASPSP en este entorno, siendo después redirigido a la app del TPP.

La sociedad británica Open Banking Limited explica el proceso del app-to-app en el sitio web, con el siguiente gráfico:

EBA

Una vez analizados los precedentes de la Opinión EBA/OP/2020/10, examinemos qué ha dicho exactamente la EBA con respecto al app-to-app. Para seguir leyendo, pincha aquí.