This document is an excerpt from the EUR-Lex website
Document 02018R0389-20230912
Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance)Text with EEA relevance
Consolidated text: Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (Texto pertinente a efectos del EEE)Texto pertinente a efectos del EEE
Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (Texto pertinente a efectos del EEE)Texto pertinente a efectos del EEE
02018R0389 — ES — 12.09.2023 — 002.001
Este texto es exclusivamente un instrumento de documentación y no surte efecto jurídico. Las instituciones de la UE no asumen responsabilidad alguna por su contenido. Las versiones auténticas de los actos pertinentes, incluidos sus preámbulos, son las publicadas en el Diario Oficial de la Unión Europea, que pueden consultarse a través de EUR-Lex. Los textos oficiales son accesibles directamente mediante los enlaces integrados en este documento
REGLAMENTO DELEGADO (UE) 2018/389 DE LA COMISIÓN de 27 de noviembre de 2017 por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (Texto pertinente a efectos del EEE) (DO L 069 de 13.3.2018, p. 23) |
Modificado por:
|
|
Diario Oficial |
||
n° |
página |
fecha |
||
REGLAMENTO DELEGADO (UE) 2022/2360 DE LA COMISIÓN de 3 de agosto de 2022 |
L 312 |
1 |
5.12.2022 |
|
REGLAMENTO DELEGADO (UE) 2023/1650 DE LA COMISIÓN de 15 de mayo de 2023 |
L 208 |
1 |
23.8.2023 |
Rectificado por:
REGLAMENTO DELEGADO (UE) 2018/389 DE LA COMISIÓN
de 27 de noviembre de 2017
por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros
(Texto pertinente a efectos del EEE)
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto
El presente Reglamento establece los requisitos que deben cumplir los proveedores de servicios de pago a efectos de la aplicación de medidas de seguridad que les permitan hacer lo siguiente:
aplicar el procedimiento de autenticación reforzada de clientes, de conformidad con el artículo 97 de la Directiva (UE) 2015/2366;
eximir de la aplicación de los requisitos de seguridad de la autenticación reforzada de clientes, bajo determinadas condiciones limitadas y basadas en el nivel de riesgo, el importe de la operación de pago y la frecuencia con que se repite, y el canal de pago empleado para la ejecución de dicha operación;
proteger la confidencialidad y la integridad de las credenciales de seguridad personalizadas del usuario de servicios de pago;
establecer estándares abiertos comunes y seguros para la comunicación entre los proveedores de servicios de pago gestores de cuenta, los proveedores de servicios de iniciación de pagos, los proveedores de servicios de información sobre cuentas, los ordenantes, los beneficiarios y otros proveedores de servicios de pago en relación con la provisión y la utilización de servicios de pago en aplicación del título IV de la Directiva (UE) 2015/2366.
Artículo 2
Requisitos generales de autenticación
Dichos mecanismos se basarán en el análisis de las operaciones de pago teniendo en cuenta los elementos que caractericen al usuario de servicios de pago en el contexto de un uso normal de las credenciales de seguridad personalizadas.
Los proveedores de servicios de pago garantizarán que los mecanismos de supervisión de las operaciones tengan en cuenta, como mínimo, todos los factores basados en el riesgo siguientes:
listas de elementos de autenticación comprometidos o sustraídos;
el importe de cada operación de pago;
supuestos de fraude conocidos en la prestación de servicios de pago;
señales de infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación;
en caso de que el dispositivo o el programa informático de acceso sea facilitado por el proveedor de servicios de pago, un registro de la utilización del dispositivo o el programa informático de acceso facilitado al usuario de los servicios de pago y de su uso anormal.
Artículo 3
Revisión de las medidas de seguridad
No obstante, los proveedores de servicios de pago que se acojan a la exención a que se refiere el artículo 18 estarán sujetos, como mínimo con una periodicidad anual, a una auditoría de la metodología, el modelo y los índices de fraude notificados. El auditor que lleve a cabo dicha auditoría poseerá conocimientos técnicos en el ámbito de la seguridad y los pagos informáticos y será funcionalmente independiente, ya pertenezca al organigrama del propio proveedor de servicios de pago o sea externo a él. Durante el primer año de uso de la exención prevista en el artículo 18 y al menos cada tres años en lo sucesivo, o con mayor frecuencia si así lo solicita la autoridad competente, esta auditoría será llevada a cabo por un auditor externo cualificado e independiente.
El informe completo deberá ponerse a disposición de las autoridades competentes, a petición de estas.
CAPÍTULO II
MEDIDAS DE SEGURIDAD PARA LA APLICACIÓN DE LA AUTENTICACIÓN REFORZADA DE CLIENTES
Artículo 4
Código de autenticación
El código de autenticación únicamente será aceptado por el proveedor de servicios de pago una sola vez cuando el ordenante lo use para acceder a su cuenta de pago en línea, para iniciar una operación de pago electrónico o para llevar a cabo cualquier acción a través de un canal remoto que pueda entrañar un riesgo de fraude en el pago u otros abusos.
A efectos del apartado 1, los proveedores de servicios de pago adoptarán medidas de seguridad que garanticen el cumplimiento de todos los requisitos siguientes:
que la divulgación del código de autenticación no permita derivar información alguna sobre ninguno de los elementos a que se refiere el apartado 1;
que no sea posible crear un nuevo código de autenticación basado en el conocimiento de cualquier otro código de autenticación generado anteriormente;
que el código de autenticación no pueda ser falsificado.
Los proveedores de servicios de pago garantizarán que la autenticación mediante la generación de un código de autenticación implique todas las medidas siguientes:
cuando la autenticación para el acceso remoto, los pagos remotos electrónicos y cualesquiera otras acciones a través de un canal remoto que puedan entrañar un riesgo de fraude en el pago u otros abusos no haya logrado generar un código de autenticación a efectos de lo dispuesto en el apartado 1, no será posible determinar cuál de los elementos mencionados en dicho apartado era incorrecto;
el número de intentos fallidos de autenticación que pueden tener lugar consecutivamente, alcanzado el cual las acciones a que se hace referencia en el artículo 97, apartado 1, de la Directiva (UE) 2015/2366 se bloquearán temporal o permanentemente, no excederá de cinco dentro de un período de tiempo determinado;
las sesiones de comunicación estarán protegidas contra la captación de los datos de autenticación transmitidos durante esta y contra la manipulación por personas no autorizadas, de conformidad con los requisitos establecidos en el capítulo V;
el tiempo máximo sin actividad del ordenante después de que este haya procedido a su autenticación para acceder a su cuenta de pago en línea no excederá de cinco minutos.
Deberá alertarse al ordenante antes de hacer permanente el bloqueo.
En caso de que el bloqueo se haya hecho permanente, deberá establecerse un procedimiento seguro que permita al ordenante recuperar el uso de los instrumentos de pago electrónico bloqueados.
Artículo 5
Vinculación dinámica
Cuando los proveedores de servicios de pago apliquen la autenticación reforzada de clientes, de conformidad con el artículo 97, apartado 2, de la Directiva (UE) 2015/2366, además de cumplir los requisitos del artículo 4 del presente Reglamento también deberán adoptar medidas de seguridad que reúnan todos los requisitos siguientes:
que el ordenante sea informado del importe de la operación de pago y del beneficiario;
que el código de autenticación generado sea específico para el importe y el beneficiario de la operación de pago aceptados por el ordenante al iniciar la operación;
que el código de autenticación aceptado por el proveedor de servicios de pago se corresponda con el importe específico original de la operación de pago y con la identidad del beneficiario aceptados por el ordenante;
que cualquier cambio del importe o del beneficiario suponga la invalidación del código de autenticación generado.
A efectos del apartado 1, los proveedores de servicios de pago deberán adoptar medidas de seguridad que garanticen la confidencialidad, autenticidad e integridad de todos los siguientes elementos:
el importe de la operación y el beneficiario, en todas las fases de la autenticación;
la información que se muestre al ordenante en todas las fases de la autenticación, incluidas la generación, la transmisión y la utilización del código de autenticación.
A efectos del apartado 1, letra b), y en los casos en que los proveedores de servicios de pago apliquen la autenticación reforzada de clientes, de conformidad con el artículo 97, apartado 2, de la Directiva (UE) 2015/2366, se aplicarán los siguientes requisitos al código de autenticación:
en relación con una operación de pago con tarjeta para la que el ordenante haya dado su consentimiento respecto del importe exacto de los fondos que han de bloquearse, con arreglo al artículo 75, apartado 1, de la citada Directiva, el código de autenticación será específico para el importe que el ordenante haya aprobado al iniciarse la operación y a cuyo bloqueo haya dado su consentimiento;
en relación con las operaciones de pago para las que el ordenante haya dado su consentimiento respecto de la ejecución de un lote de operaciones remotas electrónicas a uno o varios beneficiarios, el código de autenticación será específico para el importe total del lote de operaciones de pago y para los beneficiarios específicos.
Artículo 6
Requisitos de los elementos categorizados como conocimiento
Artículo 7
Requisitos de los elementos categorizados como posesión
Artículo 8
Requisitos aplicables a los dispositivos y programas informáticos vinculados a los elementos categorizados como inherencia
Artículo 9
Independencia de los elementos
A efectos del apartado 2, las medidas de mitigación incluirán todos los elementos siguientes:
el uso de entornos separados de ejecución segura a través de los programas informáticos instalados en los dispositivos polivalentes;
mecanismos para garantizar que ni el ordenante ni ningún tercero hayan modificado los programas informáticos o el dispositivo;
cuando se hayan producido modificaciones, mecanismos para mitigar las consecuencias de aquellas.
CAPÍTULO III
EXENCIONES DE LA AUTENTICACIÓN REFORZADA DE CLIENTES
Artículo 10
Acceso a la información sobre la cuenta de pago proporcionado directamente por el proveedor de servicios de pago gestor de cuenta
Los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de clientes, siempre que se cumplan los requisitos establecidos en el artículo 2, cuando un usuario de servicios de pago acceda en línea a su cuenta de pago directamente, a condición de que el acceso se limite a uno de los siguientes elementos en línea y no se divulguen datos de pago sensibles:
el saldo de una o varias cuentas de pago designadas;
las operaciones de pago ejecutadas en los 90 últimos días a través de una o varias cuentas de pago designadas.
No obstante lo dispuesto en el apartado 1, los proveedores de servicios de pago no estarán exentos de la aplicación de la autenticación reforzada de clientes cuando se cumpla alguna de las siguientes condiciones:
que el usuario de servicios de pago acceda en línea a la información especificada en el apartado 1 por primera vez;
que hayan transcurrido más de 180 días desde la última vez que el usuario de servicios de pago accediera en línea a la información especificada en el apartado 1, y se aplicara la autenticación reforzada de clientes.
Artículo 10 bis
Acceso a la información sobre cuentas de pago a través de un proveedor de servicios de información sobre cuentas
Los proveedores de servicios de pago no aplicarán la autenticación reforzada de clientes cuando un usuario de servicios de pago acceda a su cuenta de pago en línea a través de un proveedor de servicios de información sobre cuentas, siempre que el acceso se limite a uno de los siguientes elementos en línea y no se divulguen datos de pago sensibles:
el saldo de una o varias cuentas de pago designadas;
las operaciones de pago ejecutadas en los 90 últimos días a través de una o varias cuentas de pago designadas.
No obstante lo dispuesto en el apartado 1, los proveedores de servicios de pago aplicarán la autenticación reforzada de clientes cuando se cumpla una de las condiciones siguientes:
que el usuario de servicios de pago acceda en línea a la información especificada en el apartado 1 por primera vez a través del proveedor de servicios de información sobre cuentas;
que hayan transcurrido más de 180 días desde la última vez que el usuario de servicios de pago accediera en línea a la información especificada en el apartado 1 a través del proveedor de servicios de información sobre cuentas y se aplicara la autenticación reforzada de clientes.
Artículo 11
Pagos sin contacto en el punto de venta
Los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de clientes, siempre que se cumplan los requisitos establecidos en el artículo 2, cuando el ordenante inicie una operación de pago electrónico sin contacto en la que se cumplan las condiciones siguientes:
que el importe de la operación de pago electrónico sin contacto no exceda de 50 EUR, y
que el importe acumulado de las operaciones previas de pago electrónico sin contacto iniciadas por medio de un instrumento de pago con una funcionalidad sin contacto desde la fecha de la última aplicación de la autenticación reforzada de clientes no exceda de 150 EUR, o
que el número de operaciones de pago electrónico sin contacto consecutivas iniciadas por medio de un instrumento de pago que ofrezca una funcionalidad sin contacto desde la fecha de la última aplicación de la autenticación reforzada de clientes no exceda de cinco.
Artículo 12
Terminales no atendidas para tarifas de transporte o pagos de aparcamiento
Los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de clientes, siempre que se cumplan los requisitos establecidos en el artículo 2, cuando el ordenante inicie una operación de pago electrónico en una terminal de pago no atendida con el fin de abonar una tarifa de transporte o un pago de aparcamiento.
Artículo 13
Beneficiarios de confianza
Artículo 14
Operaciones frecuentes
Artículo 15
Transferencias de créditos entre cuentas mantenidas por la misma persona física o jurídica
Los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de clientes, siempre que se cumplan los requisitos establecidos en el artículo 2, cuando el ordenante inicie una transferencia de créditos en circunstancias en las que el ordenante y el beneficiario sean la misma persona física o jurídica y ambas cuentas de pago sean mantenidas por el mismo proveedor de servicios de pago gestor de cuenta.
Artículo 16
Operaciones de escasa cuantía
Los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de clientes cuando el ordenante inicie una operación remota de pago electrónico, si se cumplen las siguientes condiciones:
que el importe de la operación remota de pago electrónico no exceda de 30 EUR, y
que el importe acumulado de las operaciones remotas de pago electrónico previas iniciadas por el ordenante desde la última aplicación de la autenticación reforzada de clientes no exceda de 100 EUR, o
que el número de las operaciones remotas de pago electrónico previas iniciadas por el ordenante desde la última aplicación de la autenticación reforzada de clientes no exceda de cinco operaciones remotas de pago electrónico individuales consecutivas.
Artículo 17
Procesos y protocolos de pago corporativo seguro
Los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de clientes para personas jurídicas que inicien operaciones de pago electrónico mediante el uso de procesos o protocolos de pago que solo estén disponibles para los ordenantes que no sean consumidores, cuando las autoridades competentes estén convencidas de que dichos procesos o protocolos garantizan unos niveles de seguridad al menos equivalentes a los previstos por la Directiva (UE) 2015/2366.
Artículo 18
Análisis del riesgo de la operación
Se considerará que el nivel de riesgo de las operaciones de pago electrónico mencionadas en el apartado 1 es bajo cuando se cumplan todas las condiciones siguientes:
que el índice de fraude para ese tipo de operaciones, señalado por el proveedor de servicios de pago y calculado con arreglo al artículo 19, sea equivalente o inferior al índice de fraude de referencia especificado en el cuadro que figura en el anexo para los «pagos remotos electrónicos con tarjeta» y las «transferencias de créditos remotas electrónicas», respectivamente;
que el importe de la operación no supere el valor umbral de exención (en lo sucesivo, «VUE») pertinente, que se especifica en el cuadro que figura en el anexo;
que los proveedores de servicios de pago no hayan detectado, como consecuencia de la realización de un análisis del riesgo en tiempo real, ninguno de los elementos siguientes:
gastos o pautas de comportamiento anormales en el ordenante,
información inusual sobre el dispositivo o programa informático de acceso del ordenante,
infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación,
supuestos conocidos de fraude en la prestación de servicios de pago,
una ubicación anormal del ordenante,
una ubicación de alto riesgo del beneficiario.
Los proveedores de servicios de pago que tengan intención de eximir operaciones remotas de pago electrónico de la autenticación reforzada de clientes por entender que implican un bajo nivel de riesgo deberán tener en cuenta, como mínimo, los siguientes factores basados en el riesgo:
las pautas de gasto anteriores del usuario de servicios de pago en concreto;
el historial de operaciones de pago de cada usuario de servicios de pago del proveedor de que se trate;
la ubicación del ordenante y del beneficiario en el momento de la operación de pago en los casos en que el dispositivo o el programa informático de acceso sea facilitado por el proveedor de servicios de pago;
la identificación de pautas de pago anormales del usuario de servicios de pago en relación con su historial de operaciones de pago.
La evaluación realizada por el proveedor de servicios de pago combinará todos los citados factores basados en el riesgo en una puntuación de riesgo para cada operación específica, con el fin de determinar si un pago concreto debe permitirse sin la autenticación reforzada de clientes.
Artículo 19
Cálculo de los índices de fraude
El índice de fraude global para cada tipo de operación se calculará como el valor total de las operaciones remotas no autorizadas o fraudulentas, independientemente de que se hayan recuperado o no los fondos, dividido entre el valor total de todas las operaciones remotas del mismo tipo, tanto autenticadas mediante la aplicación de la autenticación reforzada de clientes como ejecutadas con arreglo a alguna de las exenciones contempladas en los artículos 13 a 18 sobre una base rotatoria trimestral (90 días).
Artículo 20
Cese de las exenciones basadas en el análisis del riesgo de la operación
Artículo 21
Supervisión
Con el fin de hacer uso de las exenciones establecidas en los artículos 10 a 18, los proveedores de servicios de pago registrarán y supervisarán los siguientes datos para cada tipo de operaciones de pago, desglosando las operaciones remotas y no remotas de pago y con una frecuencia al menos trimestral:
el valor total de las operaciones de pago no autorizadas o fraudulentas de conformidad con lo dispuesto en el artículo 64, apartado 2, de la Directiva (UE) 2015/2366, el valor total de todas las operaciones de pago y el índice de fraude resultante, incluido un desglose de las operaciones de pago iniciadas por medio de una autenticación reforzada de clientes y las iniciadas al amparo de cada una de las exenciones;
el valor medio de las operaciones, incluido un desglose de las operaciones de pago iniciadas por medio de una autenticación reforzada de clientes y las iniciadas al amparo de cada una de las exenciones;
el número de operaciones de pago en que se ha aplicado cada una de las exenciones y su porcentaje con respecto al número total de operaciones de pago.
CAPÍTULO IV
CONFIDENCIALIDAD E INTEGRIDAD DE LAS CREDENCIALES DE SEGURIDAD PERSONALIZADAS DE LOS USUARIOS DE SERVICIOS DE PAGO
Artículo 22
Requisitos generales
A efectos del apartado 1, los proveedores de servicios de pago velarán por el cumplimiento de todos los requisitos siguientes:
que las credenciales de seguridad personalizadas se enmascaren cuando se muestren y no sean legibles en su totalidad cuando sean introducidas por el usuario de servicios de pago durante la autenticación;
que las credenciales de seguridad personalizadas en formato de datos, así como los materiales criptográficos relacionados con el cifrado de las credenciales de seguridad personalizadas, no sean almacenados en formato de texto común;
que el material criptográfico secreto quede protegido de una divulgación no autorizada.
Artículo 23
Creación y transmisión de credenciales
Los proveedores de servicios de pago garantizarán que la creación de credenciales de seguridad personalizadas se lleva a cabo en un entorno seguro.
Antes de la entrega de las credenciales de seguridad personalizadas y de los dispositivos y los programas informáticos de autenticación al ordenante, los proveedores de servicios de pago mitigarán los riesgos de su uso no autorizado en caso de extravío, robo o reproducción.
Artículo 24
Asociación con el usuario de servicios de pago
A efectos del apartado 1, los proveedores de servicios de pago velarán por el cumplimiento de todos los requisitos siguientes:
que la asociación de la identidad del usuario de servicios de pago con las credenciales de seguridad personalizadas y los dispositivos y programas informáticos de autenticación se lleva a cabo en entornos seguros bajo la responsabilidad del proveedor de servicios de pago, incluidos al menos los locales del proveedor de servicios de pago, el entorno de internet facilitado por el proveedor de servicios de pago u otros sitios web seguros similares utilizados por el proveedor de servicios de pago y sus servicios de cajeros automáticos, y toma en consideración los riesgos asociados con los dispositivos y componentes subyacentes utilizados durante el proceso de asociación que no estén bajo la responsabilidad del proveedor de servicios de pago;
que la asociación por medio de un canal remoto de la identidad del usuario del servicio de pago con las credenciales de seguridad personalizadas y con los dispositivos o programas informáticos de autenticación se realiza a través de la autenticación reforzada de clientes.
Artículo 25
Entrega de credenciales y de dispositivos y programas informáticos de autenticación
A efectos del apartado 1, los proveedores de servicios de pago aplicarán, como mínimo, todas las medidas siguientes:
mecanismos de entrega seguros y eficaces que garanticen que las credenciales de seguridad personalizadas y los dispositivos y programas informáticos de autenticación se entregan al legítimo usuario de servicios de pago;
mecanismos que permitan al proveedor de servicios de pago comprobar la autenticidad de los programas informáticos de autenticación entregados al usuario de servicios de pago a través de internet;
medidas que garanticen que, cuando la entrega de credenciales de seguridad personalizadas se ejecute fuera de los locales del proveedor de servicios de pago o a través de un canal remoto:
ningún tercero no autorizado pueda obtener más de una característica de las credenciales de seguridad personalizadas o los dispositivos o programas informáticos de autenticación cuando se entreguen a través del mismo canal,
las credenciales de seguridad personalizadas o los dispositivos o programas informáticos de autenticación entregados requieran activación antes de su utilización;
medidas que garanticen que, en los casos en que las credenciales de seguridad personalizadas o los dispositivos o programas informáticos de autenticación deban activarse antes de su primera utilización, la activación tenga lugar en un entorno seguro de conformidad con los procedimientos de asociación a que se refiere el artículo 24.
Artículo 26
Renovación de credenciales personalizadas de seguridad
Los proveedores de servicios de pago garantizarán que la renovación o la reactivación de las credenciales de seguridad personalizadas respetan los procedimientos para la creación, la asociación y la entrega de las credenciales y los dispositivos de autenticación de conformidad con lo dispuesto en los artículos 23, 24 y 25.
Artículo 27
Destrucción, desactivación y revocación
Los proveedores de servicios de pago garantizarán que disponen de procesos efectivos para la aplicación de cada una de las medidas de seguridad siguientes:
la destrucción, la desactivación o la revocación seguras de las credenciales de seguridad personalizadas y los dispositivos y programas informáticos de autenticación;
que, cuando el proveedor de servicios de pago distribuya dispositivos y programas informáticos de autenticación reutilizables, la reutilización segura de un dispositivo o programa se decida, documente y ejecute antes de ponerlo a disposición de otro usuario de servicios de pago;
la desactivación o revocación de información relativa a las credenciales de seguridad personalizadas almacenadas en los sistemas y bases de datos del proveedor de servicios de pago y, en su caso, en registros públicos.
CAPÍTULO V
ESTÁNDARES DE COMUNICACIÓN ABIERTOS COMUNES Y SEGUROS
Artículo 28
Requisitos de identificación
Artículo 29
Trazabilidad
A efectos del apartado 1, los proveedores de servicios de pago garantizarán que toda sesión de comunicación con el usuario de los servicios de pago, con los demás proveedores de servicios de pago y con otras entidades, incluidos los comerciantes, se fundamenta en todos los elementos siguientes:
un identificador único de la sesión;
mecanismos de seguridad para el registro detallado de la operación, incluidos el número de operación, marcas de tiempo y todos los datos pertinentes de la operación;
marcas de tiempo que deben basarse en un sistema unificado de referencia temporal y sincronizarse con arreglo a una señal temporal oficial.
Artículo 30
Obligaciones generales para las interfaces de acceso
Los proveedores de servicios de pago gestores de cuenta que ofrezcan a un ordenante una cuenta de pago accesible en línea deberán contar con al menos una interfaz que cumpla todos los requisitos siguientes:
que los proveedores de servicios de información sobre cuentas, los proveedores de servicios de iniciación de pagos y los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas puedan identificarse ante el proveedor de servicios de pago gestor de cuenta;
que los proveedores de servicios de información sobre cuentas puedan comunicarse de forma segura para solicitar y recibir información sobre una o más cuentas de pago designadas y las operaciones de pago asociadas a ellas;
que los proveedores de servicios de iniciación de pagos puedan comunicarse de forma segura para iniciar una orden de pago a partir de la cuenta de pago del ordenante y recibir toda la información sobre la iniciación de la operación de pago y toda la información accesible a los proveedores de servicios de pago gestores de cuenta relativa a la ejecución de la operación de pago.
La interfaz deberá cumplir como mínimo todos los requisitos siguientes:
que un proveedor de servicios de iniciación de pagos o un proveedor de servicios de información sobre cuentas pueda dar instrucciones al proveedor de servicios de pago gestor de cuenta para iniciar una autenticación basada en el consentimiento del usuario de servicios de pago;
que las sesiones de comunicación entre el proveedor de servicios de pago gestor de cuenta, el proveedor de servicios de información sobre cuentas, el proveedor de servicios de iniciación de pagos y cualquier usuario de servicios de pago de que se trate se establezcan y mantengan durante todo el proceso de autenticación;
que la integridad y la confidencialidad de las credenciales de seguridad personalizadas y de los códigos de autenticación transmitidos por el proveedor de servicios de iniciación de pagos o el proveedor de servicios de información sobre cuentas, o a través de ellos, estén garantizadas.
Los proveedores de servicios de pago gestores de cuenta se asegurarán también de que las especificaciones técnicas de cualquiera de las interfaces se documentan especificando un conjunto de rutinas, protocolos y herramientas que necesitan los proveedores de servicios de iniciación de pagos, los proveedores de servicios de información sobre cuentas y los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas para permitir la interoperabilidad de sus programas informáticos y aplicaciones con los sistemas de los proveedores de servicios de pago gestores de cuenta.
No menos de seis meses antes de la fecha de aplicación a que se refiere el artículo 38, apartado 2, o antes de la fecha prevista para la aparición en el mercado de la interfaz de acceso cuando dicha aparición tenga lugar después de la fecha indicada en el artículo 38, apartado 2, los proveedores de servicios de pago gestores de cuenta deberán, como mínimo, previa solicitud de los proveedores autorizados de servicios de iniciación de pagos, de servicios de información sobre cuentas y de servicios de pago que emitan instrumentos de pago basados en tarjetas, o de los proveedores de servicios de pago que hayan presentado a sus autoridades competentes la solicitud de autorización pertinente, poner la documentación a disposición de estos de forma gratuita y dar acceso público en su sitio web a un resumen de esa documentación.
Los proveedores de servicios de pago documentarán las situaciones de emergencia en las que se hayan introducido modificaciones y pondrán la documentación a disposición de las autoridades competentes previa solicitud.
Sin embargo, no se compartirá información sensible a través de la instalación de prueba.
Artículo 31
Opciones de las interfaces de acceso
Los proveedores de servicios de pago gestores de cuenta pondrán en funcionamiento la interfaz o interfaces a que se refiere el artículo 30 mediante una interfaz específica o autorizando el uso por los proveedores de servicios de pago a que se refiere el artículo 30, apartado 1, de las interfaces utilizadas para la autenticación de los usuarios de servicios de pago del proveedor de servicios de pago gestor de cuenta en cuestión o para la comunicación con dichos usuarios.
Artículo 32
Obligaciones relativas a las interfaces específicas
Artículo 33
Medidas de contingencia para las interfaces específicas
A tal fin, los proveedores de servicios de pago gestores de cuenta garantizarán que los proveedores de servicios de pago a que se refiere el artículo 30, apartado 1, puedan ser identificados y servirse de los procedimientos de autenticación facilitados por el proveedor de servicios de pago gestor de cuenta al usuario de servicios de pago. Cuando los proveedores de servicios de pago a que se refiere el artículo 30, apartado 1, hagan uso de la interfaz contemplada en el apartado 4, deberán:
adoptar las medidas necesarias para garantizar que no acceden a datos, los almacenan o los tratan para fines distintos de la prestación del servicio solicitado por el usuario del servicio de pago;
seguir cumpliendo las obligaciones derivadas del artículo 66, apartado 3, y del artículo 67, apartado 2, de la Directiva (UE) 2015/2366, respectivamente;
registrar los datos a los que se acceda a través de la interfaz gestionada por el proveedor de servicios de pago gestor de cuenta para los usuarios de servicios de pago y facilitar, previa petición y sin demora indebida, los archivos de registro a su autoridad nacional competente;
justificar debidamente a su autoridad nacional competente, previa petición y sin demora indebida, la utilización de la interfaz puesta a disposición de los usuarios de servicios de pago para acceder directamente a su cuenta de pago en línea;
informar al proveedor de servicios de pago gestor de cuenta en consecuencia.
Las autoridades competentes, tras consultar a la ABE a fin de garantizar una aplicación coherente de las siguientes condiciones, eximirán a los proveedores de servicios de pago gestores de cuenta que hayan optado por una interfaz específica de la obligación de crear el mecanismo de contingencia descrito en el apartado 4 cuando la interfaz cumpla todas las condiciones siguientes:
ajustarse a todas las obligaciones para las interfaces específicas según lo establecido en el artículo 32;
haberse concebido y probado de conformidad con el artículo 30, apartado 5, a satisfacción de los proveedores de servicios de pago a los que se hace referencia en dicho apartado;
haber sido utilizada de manera generalizada durante al menos tres meses por los proveedores de servicios de pago para ofrecer servicios de información sobre cuentas y servicios de iniciación de pagos y para confirmar la disponibilidad de fondos para los pagos con tarjeta;
que cualquier problema relacionado con la interfaz específica haya sido resuelto sin demora indebida.
Artículo 34
Certificados
A efectos del presente Reglamento, los certificados cualificados de sello electrónico o de autenticación de sitio web a que se refiere el apartado 1 incluirán, en una lengua habitual en el campo de las finanzas internacionales, atributos específicos adicionales en relación con todos los aspectos siguientes:
el papel del proveedor de servicios de pago, que podrá ser uno o varios de los siguientes:
gestor de cuenta,
proveedor de servicios de iniciación de pagos,
proveedor de información sobre cuentas,
emisor de instrumentos de pago basados en tarjetas;
el nombre de las autoridades competentes en el lugar en que esté registrado el proveedor de servicios de pago.
Artículo 35
Seguridad de las sesiones de comunicación
Los proveedores de servicios de información sobre cuentas, los proveedores de servicios de iniciación de pagos y los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas con el proveedor de servicios de pago gestor de cuenta incluirán referencias inequívocas a todos los puntos siguientes:
el usuario o los usuarios de servicios de pago y la correspondiente sesión de comunicación, a fin de distinguir las distintas solicitudes del mismo usuario o los mismos usuarios de servicios de pago;
para los servicios de iniciación de pagos, la operación de pago iniciada con una identificación única;
para la confirmación de la disponibilidad de fondos, la solicitud con una identificación única relacionada con la cantidad necesaria para la ejecución de la operación de pago con tarjeta.
En caso de pérdida de confidencialidad de las credenciales de seguridad personalizadas de su ámbito de competencia, esos proveedores informarán sin demora indebida al usuario de servicios de pago vinculado a ellas y al emisor de las credenciales de seguridad personalizadas.
Artículo 36
Intercambios de datos
Los proveedores de servicios de pago gestores de cuenta deberán cumplir todos los requisitos siguientes:
facilitar a los proveedores de servicios de información sobre cuentas la misma información de las cuentas de pago designadas y las operaciones de pago asociadas a ellas que se haya puesto a disposición del usuario de servicios de pago al solicitar directamente el acceso a la información sobre la cuenta, siempre que la información no incluya datos de pago sensibles;
facilitar, inmediatamente después de la recepción de la orden de pago, a los proveedores de servicios de iniciación de pagos la misma información sobre la iniciación y la ejecución de la operación de pago facilitada al usuario del servicio de pago o puesta a su disposición cuando este último haya iniciado directamente la operación;
facilitar inmediatamente a los proveedores de servicios de pago, previa petición, una confirmación, con un simple «sí» o «no», de si el importe necesario para la ejecución de una operación de pago está disponible en la cuenta de pago del ordenante.
Cuando el proveedor de servicios de pago gestor de cuenta ofrezca una interfaz específica con arreglo al artículo 32, la interfaz proporcionará mensajes de notificación relativos a sucesos inesperados o errores, que cualquier proveedor de servicios de pago que detecte el suceso o error deberá comunicar a los demás proveedores de servicios de pago que participen en la sesión de comunicación.
Los proveedores de servicios de información sobre cuentas podrán acceder a la información de las cuentas de pago designadas y las operaciones de pago correspondientes que posean los proveedores de servicios de pago gestores de cuenta a efectos de realizar el servicio de información sobre cuentas en cualquiera de las siguientes circunstancias:
siempre que el usuario de servicios de pago solicite activamente dicha información;
cuando el usuario de servicios de pago no solicite activamente esa información, no más de cuatro veces en un período de 24 horas, salvo que se acuerde una mayor frecuencia entre el proveedor de servicios de información sobre cuentas y los proveedores de servicios de pago gestores de cuenta, con el consentimiento del usuario de servicios de pago.
CAPÍTULO VI
DISPOSICIONES FINALES
Artículo 37
Revisión
Sin perjuicio de lo dispuesto en el artículo 98, apartado 5, de la Directiva (UE) 2015/2366, la ABE revisará, a más tardar el 14 de marzo de 2021 , los índices de fraude a que se hace referencia en el anexo del presente Reglamento, así como las exenciones concedidas de conformidad con el artículo 33, apartado 6, en lo que se refiere a las interfaces específicas, y presentará, si procede, proyectos de actualizaciones a la Comisión de conformidad con el artículo 10 del Reglamento (UE) n.o 1093/2010.
Artículo 38
Entrada en vigor
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
ANEXO
|
Índice de fraude de referencia (%) para: |
|
VUE |
Pagos remotos electrónicos con tarjeta |
Transferencias de créditos remotas electrónicas |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).