(1)

Desde la adopción de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo (3) el mercado de servicios de pagos minoristas ha experimentado cambios significativos relacionados en gran medida con la creciente utilización de tarjetas y otros medios de pago digitales, la disminución del uso de efectivo y la presencia cada vez mayor de nuevos agentes y servicios, como las carteras digitales y los pagos sin contacto. La pandemia de COVID-19 y los cambios que ha producido en las prácticas de consumo y pago han aumentado la importancia de contar con pagos seguros y eficientes.

(2)

La Comunicación de la Comisión sobre una Estrategia de Pagos Minoristas para la UE (4) anunció la puesta en marcha de una revisión exhaustiva de la aplicación y las repercusiones de la Directiva (UE) 2015/2366, «que debe incluir una evaluación global de si, habida cuenta de la evolución del mercado, la Directiva sigue siendo adecuada para su finalidad».

(3)

La Directiva (UE) 2015/2366 tenía por objeto eliminar los obstáculos a los nuevos tipos de servicios de pago y mejorar el nivel de protección y seguridad de los consumidores. La evaluación del impacto y la aplicación de la Directiva (UE) 2015/2366 realizada por la Comisión puso de manifiesto que dicha Directiva ha funcionado muy satisfactoriamente con respecto a muchos de sus objetivos, pero también identificó algunos ámbitos en los que no se han alcanzado plenamente los objetivos. Por ejemplo, la evaluación identificó el aumento de nuevos tipos de fraude como motivo de preocupación con respecto a los objetivos de protección de los consumidores. Asimismo, se detectaron deficiencias en relación con el objetivo de mejorar la competencia en el mercado gracias a los denominados «servicios de banca abierta» (servicios de información sobre cuentas y servicios de iniciación de pagos) mediante la reducción de los obstáculos al mercado a los que se enfrentan terceros proveedores. Los avances hacia la consecución del objetivo de mejorar la prestación de servicios transfronterizos de pago también han sido limitados, debido en gran medida a las incoherencias en las prácticas de supervisión y ejecución en toda la Unión. Además, la evaluación identificó factores que obstaculizan el progreso en relación con el objetivo de garantizar unas condiciones de competencia equitativas entre todos los proveedores de servicios de pago.

(4)

La evaluación detectó, asimismo, problemas relacionados con la aplicación y el cumplimiento divergentes de la Directiva (UE) 2015/2366 que afectan directamente a la competencia entre los proveedores de servicios de pago, al crear condiciones reglamentarias diferentes en distintos Estados miembros, lo que ha fomentado el arbitraje regulador. No debe haber margen para la práctica de buscar un foro de conveniencia según la cual los proveedores de servicios de pago eligen, como «país de origen», aquellos Estados miembros en los que la aplicación de las normas de la Unión sobre servicios de pago les resulte más ventajosa y prestan servicios transfronterizos en otros Estados miembros que interpreten de forma más estricta dichas normas o apliquen políticas de ejecución más activas a los proveedores de servicios de pago establecidos en ellos. Esta práctica falsea la competencia. Por consiguiente, deben armonizarse en mayor medida las normas de la Unión sobre servicios de pago, incorporando en un reglamento las normas que rigen el ejercicio de la actividad de servicios de pago, incluidos los derechos y obligaciones de las partes implicadas. Estas normas, excluyendo las relativas a la autorización y supervisión de las entidades de pago que deben permanecer en una directiva, deben aclararse y detallarse, minimizando así los márgenes de interpretación.

(5)

Aunque la emisión de dinero electrónico está regulada por la Directiva 2009/110/CE del Parlamento Europeo y del Consejo (5) su utilización para financiar operaciones de pago está regulada en gran medida por la Directiva (UE) 2015/2366. Por consiguiente, el marco jurídico aplicable a las entidades de dinero electrónico y a las entidades de pago, en particular en lo que se refiere a las normas de conducta, ya está sustancialmente armonizado. Para abordar las cuestiones de coherencia externa y, dado que los servicios de dinero electrónico y los servicios de pago son cada vez más difíciles de distinguir, deben aproximarse los marcos legislativos relativos a las entidades de dinero electrónico y a las entidades de pago. No obstante, los requisitos de autorización, en particular el capital inicial y los fondos propios, y algunos conceptos básicos clave que rigen las actividades relacionadas con el dinero electrónico, como la emisión, la distribución y el reembolso de dinero electrónico, son distintos de los servicios prestados por las entidades de pago. Procede, por tanto, preservar estas especificidades al fusionar las disposiciones de las Directivas (UE) 2015/2366 y 2009/110/CE. Dado que la Directiva 2009/110/CE quedará derogada por la Directiva (UE) XXXX [tercera Directiva sobre servicios de pago], las normas, a excepción de las relativas a la autorización y supervisión, que se incorporen a ella, deben introducirse en un marco unificado en virtud del presente Reglamento, con los ajustes oportunos.

(6)

A fin de garantizar la seguridad jurídica y un ámbito de aplicación claro de las normas aplicables a la ejecución de la actividad de prestación de servicios de pago y dinero electrónico, es preciso especificar las categorías de proveedores de servicios de pago que están sujetos a las obligaciones relativas al ejercicio de la actividad de prestación de servicios de pago y dinero electrónico en toda la Unión.

(7)

Existen varias categorías de proveedores de servicios de pago. Las entidades de crédito aceptan depósitos de los usuarios que pueden utilizarse para ejecutar operaciones de pago. Están autorizadas con arreglo a la Directiva 2013/36/UE del Parlamento Europeo y del Consejo (6). Las entidades de pago no aceptan depósitos. Pueden mantener fondos de los usuarios y emitir dinero electrónico que puede utilizarse para ejecutar operaciones de pago. Están autorizadas con arreglo a la Directiva (UE) XXXX [tercera Directiva sobre servicios de pago]. Las instituciones de giro postal facultadas en virtud a la legislación nacional también pueden prestar servicios de dinero electrónico y pago. Otras categorías de proveedores de servicios de pago son el Banco Central Europeo (BCE) y los bancos centrales nacionales cuando no actúan en calidad de autoridad monetaria u otras autoridades públicas, así como los Estados miembros o sus autoridades regionales o locales cuando no actúan en calidad de autoridades públicas.

(8)

Es conveniente disociar el servicio de permitir la retirada de efectivo de una cuenta de pago de la actividad de gestión de una cuenta de pago, ya que es posible que los proveedores de servicios de retirada de efectivo no gestionen cuentas de pago. Los servicios de emisión de instrumentos de pago y de adquisición de operaciones de pago, que se enumeraron conjuntamente en el punto 5 del anexo de la Directiva (UE) 2015/2366 como si uno no pudiera ofrecerse sin el otro, deben figurar como dos servicios de pago diferentes. La enumeración de los servicios de emisión y adquisición por separado, junto con definiciones distintas de cada servicio, aclarará que los proveedores de servicios de pago pueden ofrecer servicios de emisión y adquisición por separado.

(9)

La exclusión del ámbito de aplicación de la Directiva (UE) 2015/2366 de determinadas categorías de operadores de cajeros automáticos ha resultado difícil de aplicar en la práctica. Por consiguiente, la categoría de operadores de cajeros automáticos que quedaron excluidos del requisito de autorización como proveedor de servicios de pago en virtud de la Directiva (UE) 2015/2366 debe sustituirse por una nueva categoría de operadores de cajeros automáticos que no gestionen cuentas de pago. Si bien estos operadores no están sujetos a los requisitos de autorización en virtud de la Directiva (UE) XXX [tercera Directiva sobre sistemas de pago], deben, no obstante, estar sujetos a requisitos de transparencia con respecto a las tasas en situaciones en que cobren comisiones por la retirada de efectivo.

(10)

Para seguir mejorando el acceso a efectivo, que es una prioridad de la Comisión, debe permitirse a los comerciantes ofrecer, en las tiendas físicas, servicios de suministro de efectivo incluso en ausencia de compra por parte del cliente, sin tener que obtener una autorización como proveedor de servicios de pago ni ser un agente de una entidad de pago. No obstante, los servicios de suministro de efectivo deben estar sujetos a la obligación de revelar las comisiones que, en su caso, se cobran al cliente. Estos servicios deben prestarse de forma voluntaria por los minoristas y depender de su disponibilidad de efectivo.

(11)

La exclusión del ámbito de aplicación de la Directiva (UE) 2015/2366 de las operaciones de pago del ordenante al beneficiario a través de un agente comercial que actúe por cuenta del ordenante o del beneficiario se aplica de manera muy diversa en los diferentes Estados miembros. El concepto de agente comercial suele definirse en el Derecho civil nacional, que puede diferir de un Estado miembro a otro, lo que da lugar a un tratamiento desigual de los mismos servicios en diferentes jurisdicciones. Por consiguiente, el concepto de agente comercial en el marco de esta exclusión debe armonizarse y clarificarse haciendo referencia a la definición de agente comercial establecida en la Directiva 86/653/CEE del Consejo (7). Además, deben aclararse en mayor medida las condiciones en las que las operaciones de pago del ordenante al beneficiario a través de agentes comerciales pueden quedar excluidas del ámbito de aplicación del presente Reglamento. Para ello, debe exigirse que los agentes estén autorizados mediante un acuerdo con el ordenante o el beneficiario para negociar o concluir la venta o la compra de bienes o servicios por cuenta únicamente del ordenante o del beneficiario, pero no de ambos, con independencia de que el agente comercial esté o no en posesión de los fondos del cliente. Las plataformas de comercio electrónico que actúan como agentes comerciales por cuenta de compradores y vendedores individuales sin que estos dispongan de ningún margen real o autonomía para negociar o concluir la venta o la compra de bienes o servicios no deben quedar excluidas del ámbito de aplicación del presente Reglamento. La Autoridad Bancaria Europea (ABE) debe elaborar directrices sobre la exclusión de las operaciones de pago del ordenante al beneficiario a través de un agente comercial, a fin de aportar mayor claridad y convergencia entre las autoridades competentes. Dichas directrices pueden incluir un repositorio de casos prácticos normalmente cubiertos por la exclusión referente al agente comercial.

(12)

La exclusión del ámbito de aplicación de la Directiva (UE) 2015/2366 relativa a los instrumentos con fines específicos se ha aplicado de manera diferente en los distintos Estados miembros, aunque los proveedores de servicios cuyos instrumentos estaban cubiertos por dicha exclusión estaban obligados a notificar su actividad a las autoridades competentes. La ABE proporcionó directrices adicionales en sus Directrices sobre la exclusión de red limitada en virtud de la segunda Directiva sobre servicios de pago, de 24 de febrero de 2022 (8). A pesar de estos intentos de aclarar la aplicación de la exclusión relacionada con instrumentos con fines específicos, siguen existiendo proveedores de servicios que prestan servicios que implican pagos de una magnitud considerable y ofrecen a un gran número de clientes una variedad de productos, que intentan hacer uso de dicha exclusión. En estos casos, los consumidores no se benefician de las salvaguardias necesarias y los servicios no deberían beneficiarse de la exclusión referente a los instrumentos con fines específicos. Por consiguiente, es preciso aclarar que no es posible utilizar el mismo instrumento con fines específicos para efectuar operaciones de pago a efectos de la adquisición de bienes y servicios dentro de más de una red limitada, ni para adquirir un abanico ilimitado de bienes y servicios.

(13)

Para evaluar si una red limitada debe excluirse del ámbito de aplicación, debe tenerse en cuenta la ubicación geográfica de los puntos de aceptación de dicha red, así como el número de puntos de aceptación. Los instrumentos con fines específicos deben permitir al titular adquirir bienes o servicios únicamente en los locales físicos del emisor, mientras que la utilización en un contexto de tienda en línea no debe estar cubierta por el concepto de locales del emisor. Los instrumentos con fines específicos deben incluir, en función del régimen contractual respectivo, las tarjetas que solo pueden utilizarse en determinadas cadenas de tiendas o centros comerciales, las tarjetas de combustible, las tarjetas de socio, las tarjetas de transporte público, los tiques de aparcamiento, los vales de alimentación o los vales de servicios específicos, que pueden estar sujetos a un marco jurídico específico en materia fiscal o laboral destinado a promover el uso de tales instrumentos para lograr los objetivos establecidos en la legislación social, como los vales para atención infantil o los vales ecológicos. Al mismo tiempo, el marco normativo de los vales en los Estados miembros debe garantizar la aceptación de dichos vales.

(14)

La exclusión relativa a determinadas operaciones de pago, ejecutadas mediante dispositivos informáticos o de telecomunicación, debe centrarse específicamente en los micropagos por contenidos digitales y servicios de voz. Debe mantenerse una referencia clara a las operaciones de pago para la adquisición de billetes o entradas electrónicos, a fin de que los clientes puedan seguir encargando, pagando, obteniendo y validando con facilidad billetes o entradas electrónicos desde cualquier lugar y en cualquier momento utilizando un teléfono u otro dispositivo móvil. Los billetes y entradas electrónicos permiten y facilitan la entrega de servicios que el consumidor podría adquirir también en forma de billete o entrada en papel y que incluyen los servicios de transporte, entretenimiento, aparcamiento y entrada a espectáculos, pero excluyen los bienes físicos. También deben excluirse las operaciones de pago efectuadas por un proveedor específico de redes de comunicaciones electrónicas realizadas desde un dispositivo electrónico o a través de él y cargadas en la factura correspondiente para recaudar donaciones benéficas. Solo debe aplicarse cuando el valor de las operaciones de pago sea inferior a un determinado umbral.

(15)

La zona única de pagos en euros (SEPA) ha facilitado la creación de «factorías de pagos» y «factorías de cobros » en el ámbito de la Unión, que permiten centralizar las operaciones de pago de un mismo grupo. A ese respecto, procede disponer que las operaciones de pago entre una empresa matriz y su filial o entre filiales de la misma empresa filial que se realicen a través de un proveedor de servicios de pago perteneciente al mismo grupo han de quedar excluidas del ámbito de aplicación del presente Reglamento. El cobro de órdenes de pago y la recepción de fondos por cuenta de un grupo empresarial por parte de la empresa matriz o de una filial para su transmisión a otro proveedor de servicios de pago no debe considerarse un servicio de pago.

(16)

La prestación de servicios de pago requiere el apoyo de servicios técnicos, entre los que se incluyen el tratamiento y el almacenamiento de datos, los servicios de pasarela de pago, los servicios de confianza y protección de la intimidad, la autenticación de datos y entidades, el suministro de tecnologías de la información (TI) y de redes de comunicación, el suministro y el mantenimiento de interfaces orientadas al consumidor utilizadas para recopilar información sobre pagos, con inclusión de los terminales y dispositivos utilizados para los servicios de pago. Los servicios de iniciación de pagos y de información sobre cuentas no son servicios técnicos.

(17)

Los servicios técnicos no constituyen servicios de pago pues los proveedores de servicios técnicos no están en ningún momento en posesión de los fondos que deben transferirse. Por lo tanto, deben quedar excluidos de la definición de servicios de pago. No obstante, estos servicios deben estar sujetos a determinados requisitos, como los relativos a la responsabilidad por no apoyar la aplicación de la autenticación reforzada de cliente▌.

(18)

Teniendo en cuenta la rápida evolución del mercado de pagos minoristas y la aparición de nuevos servicios y soluciones de pago, procede adaptar algunas de las definiciones de la Directiva (UE) 2015/2366 a la realidad del mercado a fin de garantizar que la legislación de la Unión siga siendo adecuada para los fines perseguidos y tecnológicamente neutra.

(19)

La aclaración del proceso y de los distintos pasos que deben seguirse para la ejecución de una operación de pago reviste una gran importancia para los derechos y obligaciones de las partes implicadas en dicha operación, así como para la aplicación de la autenticación reforzada de cliente. El proceso que culmina en la ejecución de una operación de pago es iniciado por el ordenante, o en su nombre, o por el beneficiario. El ordenante inicia la operación de pago cursando una orden de pago. Una vez cursada dicha orden de pago, el proveedor de servicios de pago comprueba si la operación ha sido autorizada y autenticada, en particular, si procede, mediante una autenticación reforzada de cliente, y valida la orden de pago. A continuación, el proveedor de servicios de pago adopta las medidas pertinentes para ejecutar la operación de pago, incluida la transferencia de fondos.

(20)

Habida cuenta de las opiniones divergentes señaladas por la Comisión en su revisión de la aplicación de la Directiva (UE) 2015/2366 y puestas de relieve por la Autoridad Bancaria Europea (ABE) en su dictamen, de 23 de junio de 2022, sobre la revisión de la Directiva (UE) 2015/2366, es preciso aclarar la definición de cuentas de pago. El criterio determinante para la clasificación de una cuenta como cuenta de pago radica en la capacidad de efectuar operaciones de pago diarias a través de dicha cuenta. La posibilidad de efectuar operaciones de pago a un tercero a través de una cuenta o de beneficiarse de tales operaciones efectuadas por un tercero es la característica que define el concepto de cuenta de pago. Por consiguiente, una cuenta de pago debe definirse como una cuenta que se utiliza para el envío de fondos a terceros o la recepción de fondos de terceros. Toda cuenta que posea esas características debe considerarse una cuenta de pago y debe accederse a ella para la prestación de servicios de iniciación de pagos e información sobre cuentas. Las situaciones en las que se necesita otra cuenta intermediaria para ejecutar operaciones de pago de o a terceros no deben incluirse en la definición de cuenta de pago. Las cuentas de ahorro no se utilizan para enviar fondos a terceros o recibir fondos de terceros, por lo que quedan excluidas de la definición de cuenta de pago.

(21)

Habida cuenta de la aparición de nuevos tipos de instrumentos de pago y de las incertidumbres imperantes en el mercado en cuanto a su calificación jurídica, debe especificarse en mayor medida la definición de «instrumento de pago», proporcionando algunos ejemplos para ilustrar qué constituye o no un instrumento de pago, teniendo en cuenta el principio de neutralidad tecnológica.

(22)

A pesar de que la comunicación de campo próximo (NFC) permite iniciar una operación de pago, considerarla un «instrumento de pago» propiamente dicho plantearía algunos problemas, por ejemplo, para la aplicación de una autenticación reforzada de cliente para los pagos sin contacto en el punto de venta y del régimen de responsabilidad del proveedor de servicios de pago. Por lo tanto, la NFC debe considerarse una funcionalidad de un instrumento de pago y no un instrumento de pago como tal.

(23)

La definición de «instrumento de pago» recogida en la Directiva (UE) 2015/2366 se refería a un «dispositivo personalizado». Dado que existen tarjetas de prepago en las que el nombre del titular del instrumento no está impreso, aplicar dicha referencia podría dejar estos tipos de tarjetas fuera del ámbito de la definición de instrumento de pago. Por consiguiente, la definición de «instrumento de pago» debe modificarse para referirse a dispositivos «individualizados», en lugar de dispositivos «personalizados», aclarando que las tarjetas de prepago en las que el nombre del titular del instrumento no está impreso entran en el ámbito de aplicación del presente Reglamento.

(24)

Las denominadas carteras digitales «pass-through», que implican la toquenización de un instrumento de pago existente, por ejemplo, una tarjeta de pago, deben considerarse servicios técnicos y, por lo tanto, quedar excluidas de la definición de instrumento de pago pues, en opinión de la Comisión, una ficha no puede considerarse en sí misma un instrumento de pago, sino una «aplicación de pago» en el sentido del artículo 2, punto 21, del Reglamento (UE) 2015/751 del Parlamento Europeo y del Consejo (9). Sin embargo, otras categorías de carteras digitales, a saber, las carteras electrónicas de prepago, como las carteras digitales «staged», en las que los usuarios pueden almacenar dinero para futuras operaciones en línea, deben considerarse un instrumento de pago y su emisión un servicio de pago.

(25)

Los avances tecnológicos desde la adopción de la Directiva (UE) 2015/2366 han transformado la forma en que se prestan los servicios de información sobre cuentas. Las empresas que ofrecen estos servicios proporcionan al usuario de servicios de pago información agregada en línea sobre una o varias de sus cuentas de pago mantenidas en uno o varios proveedores de servicios de pago, a la que se accede mediante interfaces en línea del proveedor de servicios de pago gestor de cuenta, lo que permite al usuario del servicio de pago tener en todo momento una visión global e inmediata de sus cuentas de pago.

(26)

La revisión de la Comisión puso de relieve que los proveedores autorizados de servicios de información sobre cuentas, a veces, facilitan datos sobre cuentas de pago que han agregado no al consumidor del que han recibido permiso para acceder y agregar dichos datos, sino a otra parte, para permitirle prestar otros servicios al consumidor utilizando estos datos. Existen, sin embargo, opiniones divergentes sobre si esta actividad entra dentro del servicio regulado de información sobre cuentas. La Comisión considera que esta evolución de la «licencia como servicio» de modelo de negocio de «banca abierta» puede ser una fuente de servicios innovadores basados en datos, en beneficio último de los usuarios finales. De hecho, este modelo de negocio permite a los usuarios finales dar acceso a los datos sobre sus cuentas de pago para recibir otros servicios distintos de los servicios de pago, como servicios de préstamo, contabilidad y evaluación de la solvencia. No obstante, es esencial que los usuarios de servicios de pago sepan con precisión quién accede a los datos sobre su cuenta de pago, por qué motivo y con qué finalidad. Los usuarios de servicios de pago deben tener pleno conocimiento de la transmisión de sus datos a otra empresa y autorizar dicha transmisión. Este nuevo modelo de negocio basado en la banca abierta requiere una modificación de la definición de servicios de información sobre cuentas, a fin de aclarar que la información agregada por el proveedor autorizado de servicios de información sobre cuentas puede transmitirse a un tercero para que este pueda prestar otro servicio al usuario final, con el permiso de este. Para ofrecer a los consumidores una protección adecuada de los datos sobre sus cuentas de pago, así como seguridad jurídica en cuanto a la situación de las entidades que acceden a sus datos, el servicio de agregación de datos de las cuentas de pago siempre debe ser prestado por una entidad regulada sobre la base de una licencia, incluso cuando los datos se transmitan en última instancia a otro proveedor de servicios.

(27)

El envío de dinero constituye un servicio de pago que se basa, por lo general, en la entrega de efectivo, sin crear ninguna cuenta de pago a nombre del ordenante o del beneficiario, realizada por un ordenante a un proveedor de servicios de pago que transfiere el importe correspondiente a un beneficiario o a otro proveedor de servicios de pago que actúe por cuenta del beneficiario. En algunos Estados miembros existen supermercados, comerciantes y otros minoristas que prestan al público un servicio que les permite pagar las facturas de suministros básicos y otras facturas domésticas periódicas. Estos servicios de pago de facturas deben considerarse servicios de envío de dinero.

(28)

La definición de fondos debe abarcar▌ el dinero de los bancos centrales emitido para uso minorista, incluidos los billetes y monedas, y cualquier posible moneda digital futura de los bancos centrales, dinero electrónico y dinero de bancos comerciales. No debe incluirse en la definición el dinero de los bancos centrales emitido para su uso entre el banco central y los bancos comerciales, es decir, para uso mayorista.

(29)

El Reglamento (UE) 2023/1114, de 31 de mayo de 2023, relativo a los mercados de criptoactivos, establece que las fichas de dinero electrónico se considerarán dinero electrónico a los efectos de dicho Reglamento . Con el fin de evitar la duplicidad de los requisitos, es importante que las disposiciones del presente Reglamento definan con claridad los casos en que las fichas de dinero electrónico han de estar sujetas al presente Reglamento.

(30)

A fin de mantener la confianza del titular del dinero electrónico, el dinero electrónico debe ser reembolsable. La posibilidad de obtener el reembolso no supone, en sí misma, que los fondos recibidos a cambio de dinero electrónico deban considerarse depósitos u otros fondos reembolsables a los efectos de la Directiva 2013/36/UE (10). El reembolso debe poder efectuarse en todo momento, al valor nominal y sin posibilidad de acordar un límite mínimo para el reembolso. El reembolso debe efectuarse por lo general libre de gastos. No obstante, debería ser posible solicitar una comisión proporcional y basada en el coste, sin perjuicio de la legislación nacional en materia fiscal o social y de las posibles obligaciones impuestas al emisor del dinero electrónico en virtud de otras disposiciones legislativas pertinentes de la Unión o nacionales, como la normativa contra el blanqueo de capitales y contra la financiación del terrorismo, así como de cualquier acción que tenga por objeto la congelación de fondos o de cualquier otra medida específica en relación con la prevención e investigación de delitos.

(31)

Los proveedores de servicios de pago necesitan acceso a sistemas de pago para prestar servicios de pago a los usuarios. Estos sistemas de pago incluyen normalmente los sistemas de tarjetas cuatripartitos, así como los principales sistemas de tratamiento de las transferencias y los adeudos domiciliados. A fin de garantizar en toda la Unión la igualdad de trato entre las diferentes categorías de proveedores autorizados de servicios de pago es preciso clarificar las normas que rigen el acceso a los sistemas de pago. El acceso puede ser directo o indirecto a través de otro participante en ese sistema de pago. Dicho acceso debe estar supeditado al cumplimiento de requisitos que garanticen la integridad y estabilidad de esos sistemas de pago. A tal fin, el operador del sistema de pago debe llevar a cabo una evaluación de riesgos del proveedor de servicios de pago que solicite la participación directa, en la que ha de analizar todos los riesgos pertinentes, incluidos, cuando proceda, los riesgos de liquidación, los riesgos operativos, los riesgos de crédito, los riesgos de liquidez y los riesgos de explotación. Todo proveedor de servicios de pago que solicite participar en un sistema de pago debe asumir el riesgo de su propia elección de sistema y demostrar ante el sistema de pago que sus procedimientos internos tienen solidez suficiente para hacer frente a esos tipos de riesgo. Los operadores de sistemas de pago solo deben rechazar una solicitud de participación directa de un proveedor de servicios de pago si este no es capaz de respetar las normas del sistema o plantea un nivel inaceptablemente alto de riesgo.

(31 bis)

Para procesar pagos digitales en línea o fuera de línea, resulta esencial que los proveedores de servicios de pago «front-end» obtengan acceso a la tecnología NFC en los dispositivos móviles. Los componentes de esta tecnología son, entre otros, las antenas NFC y los denominados «elementos seguros de los dispositivos móviles» [por ejemplo: Universal Integrated Circuit Card (UICC, tarjeta de circuito integrado universal), embedded SE (eSE, elemento seguro integrado) y microSD, etc.]. Por ello, es preciso garantizar que, siempre que sea necesario para prestar servicios de pago, los fabricantes de equipos originales de dispositivos móviles o los proveedores de servicios de comunicaciones electrónicas no denieguen el acceso a antenas NFC ni a elementos seguros. A tal fin, en la economía digital, los proveedores de servicios de pago «front-end» deben tener derecho a almacenar software en el hardware de los dispositivos móviles pertinentes para que las operaciones resulten posibles desde el punto de vista técnico tanto en línea como fuera de línea. Para ello, los fabricantes de equipos originales de dispositivos móviles y los proveedores de servicios de comunicaciones electrónicas deben estar obligados a ofrecer acceso en condiciones justas, razonables y no discriminatorias a todos los componentes de hardware y software cuando sea necesario para las operaciones en línea y fuera de línea. En todos los casos, dichos operadores deben estar obligados a proporcionar una capacidad adecuada según las características pertinentes de hardware y software de los dispositivos móviles con el fin de procesar las operaciones de pago en línea y de almacenar fondos en los dispositivos móviles para las operaciones de pago fuera de línea. Esta obligación debe entenderse sin perjuicio de lo dispuesto en el artículo 6, apartado 7, del Reglamento (UE) 2022/1925, del Parlamento Europeo y del Consejo  (11) , por el que se obliga a los guardianes de acceso a proporcionar, de forma gratuita, una interoperabilidad efectiva con las características del sistema operativo, del hardware o del software de los dispositivos móviles, y el acceso a las mismas a efectos de interoperabilidad, lo que se aplica a los medios de pago digitales existentes y nuevos.

(32)

Los operadores de sistemas de pago deben disponer de normas y procedimientos de acceso proporcionados, objetivos, no discriminatorios y transparentes. No deben discriminar a las entidades de pago en lo que respecta a la participación si pueden respetarse las normas del sistema y no existe ningún riesgo inaceptable para el sistema. Estos sistemas incluyen, entre otros, los designados de conformidad con la Directiva 98/26/CE del Parlamento Europeo y del Consejo (12). En los casos en que el sistema de pago en cuestión ya esté sujeto a la supervisión del Sistema Europeo de Bancos Centrales en virtud del Reglamento (UE) n.o 795/2014 del Banco Central Europeo (13), el banco o bancos centrales que ejerzan dicha vigilancia deben hacer un seguimiento del cumplimiento de las normas mencionadas en el marco de su supervisión. En el caso de otros sistemas de pago, los Estados miembros deben designar autoridades nacionales competentes para garantizar que los operadores de infraestructuras de sistemas de pago respeten dichos requisitos.

(33)

Para garantizar condiciones de competencia equitativas entre los proveedores de servicios de pago, un participante en un sistema de pago que preste servicios en relación con dicho sistema a un proveedor de servicios de pago autorizado o registrado, también debe conceder acceso a dichos servicios, en condiciones objetivas, proporcionadas y no discriminatorias, a cualquier proveedor de servicios de pago autorizado o registrado que lo solicite.

(34)

Las disposiciones relativas al acceso a los sistemas de pago no deben aplicarse a los sistemas que han sido creados y son utilizados por un único proveedor de servicios de pago. Los sistemas de pago de este tipo pueden funcionar ya sea compitiendo directamente con los sistemas de pago o, como ocurre más frecuentemente, en un sector de mercado que no esté cubierto por otros por sistemas de pago. Estos sistemas incluyen sistemas tripartitos, entre ellos los sistemas de tarjetas tripartitos, en la medida en que nunca hayan funcionado en la práctica como sistemas de tarjetas cuatripartitos, por ejemplo, por recurrir a licenciatarios, agentes o socios con los que utilicen tarjetas con marca combinada. También incluyen normalmente los servicios de pago ofrecidos por proveedores de servicios de telecomunicaciones en los que el operador del sistema es el proveedor de servicios de pago tanto para el ordenante como para el beneficiario y los sistemas internos de los grupos bancarios. Con el fin de estimular la competencia que pueden generar estos sistemas de pago cerrados con respecto a los sistemas de pago mayoritarios establecidos, no debe concederse a terceros acceso a estos sistemas de pago cerrados privados. No obstante, estos sistemas cerrados deben estar siempre sujetos a las normas de competencia nacionales y de la Unión, que pueden requerir que se permita acceder a ellos con el fin de mantener una competencia efectiva en los mercados de servicios de pago.

(35)

Las entidades de pago deben poder abrir y mantener una cuenta en una entidad de crédito para cumplir sus requisitos de autorización relativos a la salvaguardia de los fondos de los clientes. Sin embargo, como pone de manifiesto, en particular, la ABE en su dictamen de 5 de enero de 2022 (14), a pesar de las disposiciones relativas a las cuentas de las entidades de pago en un banco comercial establecidas en la Directiva (UE) 2015/2366, algunas empresas o entidades de pago que solicitan una licencia como entidad de pago todavía tienen que hacer frente a las prácticas de algunas entidades de crédito que se niegan a abrirles una cuenta o a cerrar una cuenta existente, sobre la base del mayor riesgo percibido de blanqueo de capitales o financiación del terrorismo. Estas prácticas denominadas de «reducción del riesgo» plantean retos competitivos significativos para las entidades de pago.

(36)

Por consiguiente, las entidades de crédito deben proporcionar una cuenta de pago a las entidades de pago y a los solicitantes de una licencia como entidad de pago, así como a sus agentes y distribuidores, salvo en casos excepcionales en los que existan motivos fundados para denegar el acceso. Es preciso incluir en esta disposición a los solicitantes de una licencia como entidad de pago, dado que una cuenta bancaria en la que pueden protegerse los fondos de los clientes es un requisito previo para obtener una licencia de entidad de pago. Entre los motivos de denegación, se incluirán motivos fundados para sospechar que la entidad de pago lleva a cabo, o que a través de ella se llevan a cabo, actividades ilegales, o un modelo de negocio o perfil de riesgo que genere riesgos graves o costes de cumplimiento excesivos para la entidad de crédito. Por ejemplo, los modelos de negocio en los que las entidades de pago utilizan una amplia red de agentes pueden generar importantes costes de cumplimiento relacionados con la lucha contra el blanqueo de capitales y la financiación del terrorismo. Las entidades de pago deben tener derecho a recurrir la negativa de una entidad de crédito ante una autoridad competente designada por un Estado miembro. Con el fin de facilitar el ejercicio del derecho de recurso, las entidades de crédito deben motivar por escrito y en detalle cualquier negativa a ofrecer una cuenta o el posterior cierre de una cuenta. Esta motivación debe referirse a elementos específicos relativos a la entidad de pago en cuestión, no a consideraciones generales o genéricas. Para facilitar el trámite por parte de las autoridades competentes de los recursos contra la denegación o retirada de cuentas y su motivación, la ABE debe elaborar normas técnicas de ejecución que armonicen la presentación de dichas motivaciones.

(37)

Para tomar decisiones con conocimiento de causa y poder elegir fácilmente a su proveedor de servicios de pago dentro de la Unión, los usuarios de servicios de pago deben recibir información comparable y clara sobre los servicios de pago. A fin de garantizar que se facilite a los usuarios de servicios de pago la información necesaria, suficiente y comprensible en relación con el contrato de servicios de pago y las operaciones de pago, es preciso especificar y armonizar las obligaciones de los proveedores de servicios de pago en lo que respecta al suministro de información a los usuarios de servicios de pago.

(38)

Al facilitar la información requerida a los usuarios de servicios de pago, los proveedores de servicios de pago deben tener en cuenta las necesidades de dichos usuarios, así como los aspectos prácticos y la rentabilidad en función del contrato de servicios de pago correspondiente. Los proveedores de servicios de pago deben comunicar la información de forma activa en el momento oportuno sin que el usuario de servicios de pago tenga que tomar ninguna iniciativa, o ponerla a su disposición a petición suya. En el segundo caso, los usuarios del servicio de pago deben tomar la iniciativa para obtener la información, por ejemplo, solicitarla explícitamente a los proveedores de servicios de pago, consultar el correo electrónico de la cuenta bancaria o imprimir extractos de cuenta por medio de una tarjeta bancaria. A estos efectos, los proveedores de servicios de pago deben garantizar la posibilidad de acceso a la información y que la información esté a disposición de los usuarios del servicio de pago.

(39)

Dado que los consumidores y las empresas no se hallan en las mismas condiciones de vulnerabilidad, no requieren el mismo nivel de protección. Si bien procede garantizar los derechos de los consumidores mediante disposiciones con respecto a las cuales no puedan establecerse excepciones en los contratos, resulta razonable permitir que las empresas y organizaciones acuerden otro tipo de disposiciones cuando no estén involucrados consumidores. Tales acuerdos podrían regular si se aplica o no la autenticación reforzada de cliente (SCA). Las microempresas, tal como se definen en la Recomendación 2003/361/CE de la Comisión (15), pueden recibir el mismo trato que los consumidores. Determinadas normas deben aplicarse siempre, sea cual fuere el tipo de usuario.

(40)

A fin de mantener un elevado nivel de protección de los consumidores, estos deben tener derecho a recibir información gratuita sobre las condiciones y los precios libres de gastos de los servicios antes de quedar vinculados por cualquier contrato de servicios de pago. Para que los consumidores puedan comparar los servicios y condiciones ofrecidos por los proveedores de servicios de pago y, en caso de litigio, verificar sus derechos y obligaciones contractuales, deben poder solicitar que se le facilite en papel, gratuitamente, dicha información y el contrato marco, en cualquier momento a lo largo de la relación contractual.

(41)

Para aumentar el nivel de transparencia, los proveedores de servicios de pago deben facilitar al consumidor información básica sobre las operaciones de pago ejecutadas, sin coste adicional. Por lo que respecta a las operaciones de pago singulares, el proveedor de servicios de pago no debe facturar separadamente esta información. De la misma forma, los proveedores de servicios de pago deben facilitar de forma gratuita la información ulterior sobre las operaciones de pago sujetas a un contrato marco gratuitamente y de manera mensual. No obstante, habida cuenta de la importancia de la transparencia en el establecimiento de precios y de las distintas exigencias de los clientes, las partes en el contrato deben poder convenir la facturación de gastos si se trata de información adicional o proporcionada con mayor frecuencia.

(42)

Los instrumentos de pagos de escasa cuantía deben constituir una alternativa barata y fácilmente accesible en el caso de los bienes y servicios de precio reducido, y no deben someterse a requisitos excesivos. Los requisitos de información y las normas de ejecución deben limitarse, por consiguiente, a la información esencial, habida cuenta de las características técnicas que pueden razonablemente esperarse de instrumentos dedicados a pagos de escasa cuantía. Pese a tratarse de un régimen menos estricto, los usuarios de servicios de pago deben beneficiarse de una protección adecuada que atienda a los riesgos limitados que plantea este tipo de instrumentos de pago, en particular en lo que respecta a los instrumentos de prepago.

(43)

Por lo que se refiere a las operaciones de pago individual, se ofrecerá la información esencial sobre la base de la propia iniciativa del proveedor del servicio de pago. Habida cuenta de que los ordenantes están normalmente presentes cuando dan la orden de pago, no es necesario disponer que la información se facilite siempre en papel o mediante otro soporte duradero. Los proveedores de servicios de pago podrían dar la información oralmente o facilitar de otro modo el acceso a la misma, por ejemplo, mediante difusión de las condiciones en un tablón de anuncios en sus locales. También debe informarse sobre dónde obtener información adicional más detallada, por ejemplo, direcciones de sitios de internet. No obstante, cuando así lo solicita el consumidor, los proveedores de servicios de pago deben proporcionar también la información esencial en papel o mediante otro soporte duradero.

(44)

La información requerida debe ser proporcionada a las necesidades de los usuarios. Los requisitos en materia de información aplicables a una operación de pago singular deben ser diferentes de los aplicables a un contrato marco que permita una sucesión de operaciones de pago.

(45)

Para poder elegir con conocimiento de causa, los usuarios de servicios de pago deben poder comparar las comisiones en cajeros automáticos con las de otros proveedores. A fin de incrementar la transparencia de las comisiones que se cobran a los usuarios de servicios de pago por la utilización de cajeros automáticos, los proveedores de servicios de pago deben facilitar a tales usuarios información sobre todas las comisiones aplicables , al comienzo de una operación, a las retiradas de efectivo en cajeros automáticos en la Unión en diferentes situaciones, en función del cajero automático del que retiren efectivo. En concreto, los cajeros automáticos gestionados por las entidades de crédito deben mostrar en valor monetario cualquier comisión fija que se exija al usuario al retirar dinero en efectivo de un cajero automático de dichas entidades. La comisión fija debe mostrarse en el momento en que el usuario inserta su tarjeta o la aproxima al lector del cajero automático para iniciar el proceso de retirar dinero en efectivo, o antes de dicho momento. Una mayor transparencia también significa mejor información por parte del proveedor de servicios de pago sobre el cambio de divisas, cuando proceda.

(46)

Los contratos marco y las operaciones de pago sujetas a dichos contratos son mucho más frecuentes y tienen mayor importancia económica que las operaciones de pago singulares. Si existe una cuenta de pago o un instrumento de pago específico, se requiere un contrato marco. Por lo tanto, los requisitos de información previa sobre los contratos marco deben ser exhaustivos y la información debe facilitarse siempre en papel o mediante otro soporte duradero. No obstante, los proveedores de servicios de pago y los usuarios de servicios de pago deben poder acordar en el contrato marco la forma en que se facilitará la información ulterior sobre las operaciones de pago efectuadas.

(47)

Las disposiciones contractuales no deben discriminar a los consumidores que residen legalmente en la Unión por motivo de su nacionalidad o lugar de residencia. Cuando en un contrato marco se prevea el derecho de bloquear la utilización de un instrumento de pago por razones objetivamente justificadas, el proveedor de servicios de pago no podrá alegar dicho derecho únicamente porque el usuario del servicio de pago haya cambiado su lugar de residencia dentro de la Unión.

(48)

A fin de garantizar un elevado nivel de protección del consumidor, los Estados miembros deben estar facultados, en interés de los consumidores, para mantener o establecer restricciones o prohibiciones en lo que respecta a la modificación unilateral de las condiciones del contrato marco, por ejemplo, si no hay razones que justifiquen la modificación.

(49)

Para facilitar la movilidad de los usuarios de servicios de pago, estos deben poder resolver el contrato marco sin tener que pagar comisión. No obstante, respecto de los contratos que los usuarios de servicios de pago hayan resuelto en un plazo inferior a seis meses desde que comenzaron a desplegar sus efectos, se debe permitir a los proveedores de servicios de pago cobrar comisiones en consonancia con el coste real para estos derivados de la resolución del contrato por el usuario. Cuando, en virtud de un contrato marco, los servicios de pago se ofrezcan conjuntamente con servicios técnicos que apoyen la prestación de servicios de pago, como el alquiler de terminales utilizados para prestar servicios de pago, los usuarios de servicios de pago no deben quedar atados al proveedor de servicios de pago por figurar condiciones más onerosas en las cláusulas contractuales que rigen los servicios técnicos. Para preservar la competencia, dichas cláusulas contractuales deben estar sujetas a los requisitos del contrato marco sobre penalizaciones por rescisión. Por lo que respecta a los consumidores, no debe convenirse un plazo de notificación previa superior a un mes y, por lo que respecta a los proveedores de servicios de pago, dicho plazo no puede ser inferior a dos meses. Estas normas debe entenderse sin perjuicio de la obligación del proveedor de servicios de pago de rescindir el contrato de servicios de pago en circunstancias excepcionales, con arreglo a otra normativa nacional o de la Unión pertinente, como la normativa en materia de blanqueo de capitales y financiación del terrorismo, o con motivo de cualquier actuación que tenga por objeto la inmovilización de fondos o cualquier otra medida específica en relación con la prevención e investigación de delitos.

(50)

Para lograr dicha comparabilidad, las comisiones estimadas por conversión de moneda para las transferencias y servicios de envío de dinero en la Unión y de la Unión a un tercer país deben expresarse de la misma manera, es decir, como un margen a porcentual sobre un índice de referencia conforme al Reglamento (UE) 2016/1011, del Parlamento Europeo y del Consejo  (16) , y la comisión por conversión de divisa resultante mostrada como un importe monetario en la moneda utilizada por el cliente para iniciar la conversión de divisa. La exactitud e integridad de dichos índices de referencia, que está garantizada por el régimen para los administradores de índices de referencia creado por dicho Reglamento, protege los intereses de los clientes de los proveedores de servicios de pago y de las partes que prestan servicios de conversión de divisas. Los proveedores de servicios de pago deben utilizar el mismo índice de referencia de forma coherente para los intercambios realizados en ambas direcciones. Cuando se haga referencia a «comisiones» en el presente Reglamento, también debe abarcar, cuando proceda, las comisiones por «conversión de moneda».

(51)

La experiencia demuestra que compartir los gastos entre el ordenante y el beneficiario es el sistema más eficaz, pues facilita un tratamiento completamente automatizado de los pagos. Por tanto, debe establecerse que los proveedores de servicios de pago respectivos cobren directamente los gastos al ordenante y al beneficiario. El importe de los gastos aplicados puede ser también nulo, ya que las normas no deben afectar a la práctica habitual por la cual un proveedor de servicios de pago no cobra comisiones a los consumidores por efectuar abonos en su cuenta. Igualmente, en función de los términos del contrato, un proveedor de servicios de pago puede cobrar comisión únicamente al beneficiario por la utilización del servicio de pago, de modo que no se aplican comisiones al ordenante. Es posible que los sistemas de pago impongan comisiones por medio de una cuota de suscripción. Las disposiciones relativas a la cantidad transferida o las posibles comisiones aplicadas no tendrán efectos sobre la fijación de precios entre proveedores de servicios de pago o intermediarios.

(52)

Un recargo es un gasto que los comerciantes cobran a los consumidores y que se añade al precio solicitado para los bienes y servicios cuando el consumidor utiliza un determinado método de pago. Una de las razones de los recargos es orientar a los consumidores hacia instrumentos de pago más baratos o eficientes, fomentando así la competencia entre métodos de pago alternativos. Con arreglo al régimen introducido por la Directiva (UE) 2015/2366, se impidió a los beneficiarios exigir el pago de gastos por el uso de instrumentos de pago cuyas tasas de intercambio están reguladas en el capítulo II del Reglamento (UE) 2015/751, es decir, por las tarjetas de débito y de crédito personales emitidas en el marco de regímenes de tarjetas cuatripartitos, y por los servicios de pago a los que se aplica el Reglamento (UE) n.o 260/2012 del Parlamento Europeo y del Consejo (17), es decir, las transferencias y adeudos domiciliados denominadas en euros dentro de la Unión. Los Estados miembros podían, con arreglo a la Directiva (UE) 2015/2366, prohibir o limitar el derecho del beneficiario a cobrar gastos teniendo en cuenta la necesidad de fomentar la competencia y promover el uso de instrumentos de pago eficientes. Es necesario armonizar este planteamiento para fomentar unas condiciones de competencia equitativas en la Unión y, por tanto, promulgar una prohibición total de los recargos en todo su territorio.

(53)

▌ En su revisión de la Directiva (UE) 2015/2366, la Comisión detectó una falta de armonización que permite aplicar recargos por instrumentos de pago y diferentes interpretaciones en relación con los instrumentos de pago cubiertos por la prohibición de recargos. Por lo tanto, es necesario ampliar explícitamente esta prohibición a todas las transferencias y adeudos domiciliados, y no solo a aquellos cubiertos por el Reglamento (UE) n.o 260/2012, como ocurrió en el marco de la Directiva (UE) 2015/2366.

(54)

Los servicios de información sobre cuentas y los servicios de iniciación de pagos, a menudo conocidos colectivamente como «servicios de banca abierta», son servicios de pago que implican el acceso a los datos de un usuario de servicios de pago por parte de proveedores de servicios de pago que no tienen en su poder fondos del titular de la cuenta ni gestionan una cuenta de pago. Los servicios de información sobre cuentas permiten la agregación de los datos de un usuario, a petición del usuario de servicios de pago, con diferentes proveedores de servicios de pago gestores de cuenta en un solo lugar. Los servicios de iniciación de pagos permiten iniciar un pago desde la cuenta del usuario, como una transferencia o un adeudo domiciliado, de forma conveniente para el usuario y el beneficiario, sin utilizar un instrumento como una tarjeta de pago.

(55)

Los proveedores de servicios de pago gestores de cuenta deben permitir el acceso por parte de los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos a los datos sobre cuentas de pago si el usuario de servicios de pago puede acceder a la cuenta de pago en línea y ha permitido dicho acceso. La Directiva (UE) 2015/2366 se basaba en el principio de acceso a los datos sobre cuentas de pago sin necesidad de una relación contractual entre el proveedor de servicios de pago gestor de cuenta y los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos, cuyo efecto fue que en la práctica no era posible cobrar por el acceso a los datos. El acceso a los datos en la banca abierta se ha venido produciendo sobre una base no contractual y desde la aplicación de la Directiva (UE) 2015/2366, sin el cobro de gastos. Si los servicios regulados de acceso a los datos estuvieran sujetos a una comisión, cuando hasta ahora no ha existido ninguna, el impacto en la continuidad de la prestación de dichos servicios y, por tanto, en la competencia y la innovación en los mercados de pagos, podría ser muy significativo. Por consiguiente, procede mantener ese principio. Mantener este planteamiento está en consonancia con los capítulos III y IV de la propuesta de Reglamento sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos) (18), en particular con el artículo 9, apartado 3, de dicha propuesta relativo a la compensación, al que no afectará el presente Reglamento. La propuesta de Reglamento de la Comisión sobre el acceso a los datos financieros prevé una posible compensación por el acceso a los datos, que estará cubierta por dicho Reglamento. Por lo tanto, este régimen sería diferente del regulado por el presente Reglamento. Esta disparidad de trato se justifica por el hecho de que, a diferencia del acceso a los datos sobre cuentas de pago, regulado por el Derecho de la Unión desde la entrada en vigor de la Directiva (UE) 2015/2366, el acceso a otros datos financieros aún no está sujeto a la normativa de la Unión. Por lo tanto, no existe riesgo de perturbación, ya que, a diferencia del acceso a los datos sobre cuentas de pago, este mercado es emergente y se regulará por primera vez con la Reglamento sobre el acceso a los datos financieros.

(56)

Los proveedores de servicios de pago gestores de cuenta y los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos podrán establecer una relación contractual, también en el contexto de un acuerdo contractual multilateral (por ejemplo, un sistema), con una posible compensación, para el acceso a los datos sobre cuentas de pago y la prestación de servicios de banca abierta distintos de los previstos en el presente Reglamento. Un ejemplo de estos servicios de valor añadido ofrecidos a través de las interfaces de programación de aplicaciones denominadas «premium» es la posibilidad de programar futuros pagos variables recurrentes. Cualquier compensación por estos servicios tendría que estar en consonancia con los capítulos III y IV de la propuesta de Ley de Datos después de su fecha de aplicación, en particular en lo que se refiere a su artículo 9, apartados 1 y 2, relativo a la compensación. El acceso por parte de los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos a los datos sobre cuentas de pago regulado por el presente Reglamento sin necesidad de una relación contractual y, por tanto, sin cargo alguno, debe ser siempre posible incluso en los casos en que exista un acuerdo contractual multilateral (por ejemplo, un sistema) y cuando los mismos datos también estén disponibles en el marco de dicho acuerdo.

(57)

A fin de garantizar un alto nivel de seguridad en el acceso y el intercambio de datos, salvo circunstancias específicas, el acceso a las cuentas de pago y a sus datos debe facilitarse a los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos a través de una interfaz diseñada y dedicada a fines de «banca abierta», como una interfaz de programación de aplicaciones (API). A tal fin, el proveedor de servicios de pago gestor de cuenta debe establecer una comunicación segura con los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos. Para evitar cualquier incertidumbre en cuanto a quién accede a los datos del usuario de servicios de pago, la interfaz específica debe permitir que los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos se identifiquen ante el proveedor de servicios de pago gestor de cuenta y basarse en todos los procedimientos de autenticación facilitados por el proveedor de servicios de pago gestor de cuenta al usuario de servicios de pago. Los proveedores de servicios de información sobre cuentas y los proveedores de servicios de iniciación de pagos deben, por regla general, utilizar la interfaz específica para su acceso y, por tanto, no deben utilizar la interfaz de cliente de un proveedor de servicios de pago gestor de cuenta a efectos de acceso a los datos, excepto en caso de que la interfaz específica no funcione o no esté disponible en las condiciones previstas en el presente Reglamento. En tales circunstancias, la continuidad de su actividad se vería amenazada por la incapacidad para acceder a los datos para los que se les ha concedido permiso. Es indispensable que los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos puedan acceder en todo momento a los datos imprescindibles para prestar servicio a sus clientes.

(57 bis)

Los proveedores de servicios de pago gestores de cuenta no estarán obligados a ofrecer, cuando la interfaz específica no esté disponible, una interfaz alternativa distinta de la interfaz que utilice el proveedor de servicios de pago gestor de cuenta para la autenticación y la comunicación con sus usuarios, para acceder a sus datos de las cuentas de pago.

(58)

Para facilitar la utilización sin problemas de la interfaz específica, deben documentarse debidamente sus especificaciones técnicas y el proveedor de servicios de pago gestor de cuenta debe publicar un resumen de las mismas. Para que los proveedores de servicios de banca abierta puedan preparar de forma adecuada su futuro acceso y a fin de resolver cualquier posible problema técnico, el proveedor de servicios de pago gestor de cuenta debe permitir que los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos prueben la interfaz antes de la fecha en que se active. Solo deben acceder a los datos sobre cuentas de pago a través de dicha interfaz los proveedores autorizados de servicios de información sobre cuentas y servicios de iniciación de pagos, pero los solicitantes de autorización como proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos deben poder consultar las especificaciones técnicas. A fin de garantizar la interoperabilidad de las diferentes soluciones tecnológicas de comunicación, es preciso que la interfaz use estándares de comunicación elaborados por organizaciones de normalización internacionales o europeas, incluido el Comité Europeo de Normalización (CEN) o la Organización Internacional de Normalización (ISO).

(59)

Para que los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos garanticen en todo momento la continuidad de su actividad y puedan prestar servicios de alta calidad a sus clientes, la interfaz específica que se espera que utilicen deben cumplir requisitos de alto nivel en términos de rendimiento y funcionalidades. Debe garantizar, como mínimo, la «paridad de datos» con la interfaz de cliente que el proveedor de servicios de pago gestor de cuenta facilita a sus usuarios, y, por lo tanto, incluir los datos sobre cuentas de pago que también estén a disposición de los usuarios de servicios de pago en dicha interfaz. Por lo que se refiere a los servicios de iniciación de pagos, la interfaz específica no solo debe permitir la iniciación de pagos únicos, sino también de órdenes permanentes y adeudos domiciliados. Las normas técnicas de regulación que elabore la ABE deben establecer requisitos más detallados para las interfaces específicas.

(60)

Habida cuenta de la drástica repercusión que la indisponibilidad prolongada de una interfaz específica tendría en la continuidad de las actividades de los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos, los proveedores de servicios de pago gestores de cuentas deben subsanarla sin demora. Los proveedores de servicios de pago gestores de cuentas deben informar a los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos de cualquier indisponibilidad de su interfaz específica y de las medidas adoptadas para subsanarla sin demora. En caso de indisponibilidad de una interfaz específica, y cuando el proveedor de servicios de pago gestor de cuenta no ofrezca una solución alternativa efectiva, los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos deben poder preservar la continuidad de su actividad. Deben poder solicitar a la autoridad nacional competente utilizar la interfaz que el proveedor de servicios de pago gestor de cuenta facilita a sus usuarios hasta que la interfaz específica vuelva a estar disponible. Una vez recibida la solicitud, la autoridad competente debe tomar una decisión sin demora. A la espera de la decisión de la autoridad, los proveedores de servicios de iniciación de pagos y servicios de información sobre cuentas solicitantes deben poder utilizar temporalmente la interfaz que el proveedor de servicios de pago gestor de cuenta facilita a sus usuarios. La autoridad competente pertinente debe fijar un plazo para que el proveedor de servicios de pago gestor de cuenta restablezca el pleno funcionamiento de la interfaz específica, con la posibilidad de sanciones en caso de que no lo haga dentro del plazo. Todos los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos, no solo los que presentaron la solicitud, deben poder acceder a los datos que necesitan para garantizar la continuidad de sus actividades.

(61)

Este acceso directo temporal no debe tener ningún efecto negativo para los consumidores. Por consiguiente, los proveedores de información sobre cuentas y servicios de servicios de iniciación de pagos deben identificarse debidamente y respetar todas sus obligaciones, como los límites del permiso que se les ha concedido, y, en particular, deben acceder únicamente a los datos que necesitan para cumplir sus obligaciones contractuales y prestar el servicio regulado. El acceso a los datos sobre cuentas de pago sin una identificación adecuada (la denominada captura de datos en pantalla «screen scraping») no debe llevarse a cabo nunca.

(62)

Dado que la creación de una interfaz específica podría considerarse una carga desproporcionada para determinados proveedores de servicios de pago gestores de cuentas, una autoridad nacional competente debe poder eximir a un proveedor de servicios de pago gestor de cuenta, a petición de este, de la obligación de disponer de una interfaz específica de acceso a los datos y de ofrecer acceso a los datos sobre pagos únicamente a través de su «interfaz de cliente» o de no ofrecer ninguna interfaz de acceso abierto a los datos bancarios. El acceso a los datos a través de la interfaz de cliente (sin interfaz específica) puede ser adecuado en el caso de un proveedor de servicios de pago gestor de cuenta muy pequeño para el que una interfaz específica supondría una importante carga financiera y de recursos. La exención de la obligación de mantener una interfaz de acceso a los datos sobre servicios de «banca abierta» puede estar justificada cuando el proveedor de servicios de pago gestor de cuenta tenga un modelo de negocio específico, por ejemplo, cuando los servicios de banca abierta no tengan relevancia para sus clientes. Los criterios detallados para la concesión de los diferentes tipos de decisiones de exención deben establecerse en las normas técnicas de regulación elaboradas por la ABE.

(63)

Para aprovechar plenamente el potencial de la banca abierta en la Unión, es fundamental evitar cualquier trato discriminatorio de los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos por parte de los proveedores de servicios de pago gestores de cuenta. Cuando el usuario de servicios de pago haya decidido hacer uso de los servicios de un proveedor de servicios de información sobre cuentas o de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta debe tratar esa orden del mismo modo que si el usuario de servicios de pago la hiciera directamente en su «interfaz de cliente», salvo que tenga razones objetivas para tratar de manera diferente la solicitud de acceso a la cuenta, por ejemplo sospechas fundadas de fraude.

(64)

En el caso de la prestación de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta debe facilitar al proveedor de servicios de iniciación de pagos toda la información a la que tenga acceso sobre la ejecución de la operación de pago inmediatamente después de la recepción de la orden de pago. El proveedor de servicios de pago gestor de cuenta, a veces, dispone de más información tras recibir la orden de pago y antes de haber ejecutado la operación de pago. Cuando sea pertinente para la orden de pago y la ejecución de la operación de pago, el proveedor de servicios de pago gestor de cuenta debe facilitar dicha información al proveedor de servicios de iniciación de pagos. El proveedor de servicios de iniciación de pagos solo debe utilizar la información necesaria para evaluar los riesgos de no ejecución de la operación iniciada. Esta información es indispensable para que el proveedor de servicios de iniciación de pagos pueda ofrecer al beneficiario en cuyo nombre inicia la operación un servicio cuya calidad pueda competir con otros medios de pago electrónicos a disposición del beneficiario, incluidas las tarjetas de pago.

(65)

Para aumentar la confianza en la banca abierta, es esencial que los usuarios de servicios de pago que utilicen servicios de información sobre cuentas y servicios de iniciación de pagos controlen plenamente sus datos y tengan acceso a información clara sobre el permiso de acceso a datos que han concedido a los proveedores de servicios de pago, incluida su finalidad y las categorías de datos sobre cuentas de pago de que se trate, en particular, los datos de identidad de la cuenta, las operaciones y el saldo de la cuenta. Por consiguiente, los proveedores de servicios de pago gestores de cuenta deben poner a disposición de los usuarios de servicios de pago que utilicen dichos servicios un «cuadro» que les permita supervisar y retirar ▌ el acceso a los datos concedido a los proveedores de servicios de «banca abierta». Los permisos para iniciar pagos únicos no deben figurar en dicho cuadro de control. El cuadro puede no permitir que un usuario de servicios de pago establezca nuevos permisos de acceso a datos con un proveedor de servicios de información sobre cuentas o de iniciación de pagos al que no se haya concedido acceso previo a los datos. Los proveedores de servicios de pago gestores de cuenta deben informar rápidamente a los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos de cualquier retirada de acceso a los datos. Los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos deben informar sin demora a los proveedores de servicios de pago gestores de cuenta de los permisos nuevos y restablecidos de acceso a datos concedidos por los usuarios de servicios de pago, incluido el período de validez del permiso y su finalidad (en particular, si la consolidación de los datos se realiza en beneficio del usuario o para su transmisión a un tercero). El proveedor de servicios de pago gestor de cuenta no debe incitar en modo alguno a los usuarios de servicios de pago a retirar los permisos otorgados a los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos. El cuadro debe advertir de forma normalizada al usuario de servicios de pago del riesgo de las posibles consecuencias contractuales de la retirada del acceso a los datos a un proveedor de servicios de banca abierta, ya que dicho cuadro no gestiona la relación contractual entre el usuario y el proveedor de servicios de «banca abierta», sino que corresponde al usuario de servicios de pago verificar ese riesgo. El cuadro de permisos debe facultar a los clientes a gestionar sus permisos de manera informada e imparcial y ofrecer a los clientes un sólido control sobre la forma en que se utilizan sus datos, tanto personales como no personales. Dicho cuadro debe tener en cuenta, cuando proceda, los requisitos de accesibilidad previstos en la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo.

(65 bis)

El término «permiso» que se incluye en el presente Reglamento no se entenderá como el término «consentimiento» en virtud del Reglamento (UE) 2016/679, para el que se aplican los requisitos de dicho Reglamento. En el contexto del presente Reglamento, por «permiso» se entiende la autorización por parte del usuario de servicios de pago para la ejecución de una operación de pago o para el acceso a los datos de información de la cuenta. Este requisito se entiende sin perjuicio de la aplicación del Reglamento (UE) 2016/679 y de la Directiva 2005/29/CE del Parlamento Europeo y del Consejo  (19) .

(65 ter)

La ABE debe elaborar proyectos de normas técnicas de regulación que establezcan una lista normalizada de categorías de la información que debe divulgarse en el cuadro.

(66)

La revisión de la Directiva (UE) 2015/2366 ha puesto de manifiesto que los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos siguen estando expuestos a numerosos obstáculos injustificados, a pesar del nivel de armonización alcanzado y de la prohibición de tales obstáculos impuesta por el artículo 32, apartado 3, del Reglamento Delegado (UE) 2018/389 de la Comisión (20). Estos obstáculos, que los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos notifican periódicamente a los supervisores, los reguladores y la Comisión, siguen dificultando considerablemente el pleno potencial de la banca abierta en la Unión. La ABE los analizó en su Dictamen, de junio de 2020, titulado «Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC» (Dictamen de la Autoridad Bancaria Europea sobre los obstáculos con arreglo al artículo 32, apartado 3, de las normas técnicas de regulación sobre la autenticación reforzada de cliente y la comunicación común y segura) . A pesar de las aclaraciones realizadas, sigue habiendo mucha incertidumbre, tanto en el mercado como entre los supervisores, sobre lo que constituye un «obstáculo prohibido» a los servicios de banca abierta regulados. Por consiguiente, es indispensable proporcionar una lista clara y no exhaustiva de dichos obstáculos prohibidos a la banca abierta, basándose, en particular, en el trabajo realizado por la ABE.

(67)

La obligación de proteger las credenciales de seguridad personalizadas es de extrema importancia para asegurar los fondos del usuario de servicios de pago y limitar los riesgos de fraude y el acceso no autorizado a las cuentas de pago. No obstante, las condiciones y demás obligaciones impuestas por el proveedor de servicios de pago a los usuarios de servicios de pago en relación con la protección de las credenciales de seguridad personalizadas han de redactarse de manera que no impidan a los usuarios de servicios de pago beneficiarse de las ventajas de los servicios ofrecidos por otros proveedores de servicios de pago, incluidos los servicios de iniciación de pagos y los de información sobre cuentas. Las mencionadas condiciones no deben contener ninguna disposición que dificulte de la manera que sea la utilización de servicios de pago de otros proveedores de servicios de pago autorizados o registrados en virtud de la Directiva (UE) XXX (tercera Directiva sobre servicios de pago). Además, conviene especificar que en el caso de las actividades de los proveedores de servicios de iniciación de pagos y los proveedores de servicios de información sobre cuentas, el nombre del titular de la cuenta y el número de la misma no constituyen datos de pago sensibles.

(68)

Para lograr plenamente sus objetivos, la «banca abierta» requiere una aplicación sólida y eficaz de las normas que regulan esta actividad. Dado que no existe ninguna autoridad única en el ámbito de la Unión para hacer cumplir los derechos y obligaciones del sector de la «banca abierta», las autoridades nacionales competentes son el primer nivel de control de este sector. Es esencial que las autoridades nacionales competentes garanticen de forma proactiva y rigurosa el respeto del marco regulador de la Unión relativo a la «banca abierta». Los operadores de servicios de banca abierta señalan regularmente la aplicación insuficiente por parte de las autoridades competentes como una de las razones por las que su utilización en la Unión sigue siendo limitada. Las autoridades nacionales competentes deben disponer de recursos adecuados para llevar a cabo sus funciones de ejecución de manera eficaz y eficiente y deben promover y negociar un diálogo fluido y regular entre los distintos agentes del ecosistema de la «banca abierta». Los proveedores de servicios de pago gestores de cuenta y los proveedores de servicios de información sobre cuentas y servicios de iniciación de pagos que no cumplan sus obligaciones deben ser objeto de las correspondientes sanciones. La supervisión periódica del mercado de la «banca abierta» en la Unión por parte de las autoridades competentes, coordinada por la ABE, debería facilitar la aplicación de la normativa, y la recopilación de datos sobre este mercado resolverá la actual falta de datos, que obstaculiza la medición eficaz de la utilización real de la «banca abierta» en la Unión. Los proveedores de servicios de pago gestores de cuenta y los proveedores de servicios de iniciación de pagos y servicios de información sobre cuentas deben tener acceso a los organismos de resolución de litigios, de conformidad con el artículo 10 de la propuesta de Ley de Datos, una vez que este Reglamento entre en vigor.

(69)

La utilización de los términos «consentimiento expreso» en la Directiva (UE) 2015/2366 y «consentimiento explícito» en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (21) ha dado lugar a interpretaciones erróneas. El objeto del consentimiento expreso en virtud del artículo 94, apartado 2, de la Directiva (UE) 2015/2366 es el permiso para obtener el acceso a esos datos de carácter personal, para poder tratar y almacenar los datos necesarios para la prestación del servicio de pago. Por lo tanto, debe hacerse una aclaración para aumentar la seguridad jurídica y establecer una clara diferenciación con las normas de protección de datos. Cuando en la Directiva (UE) 2015/2366 se utiliza el término «consentimiento expreso», en el presente Reglamento debe utilizarse el término «permiso». Cuando se haga referencia al «permiso», dicha referencia se entenderá sin perjuicio de las obligaciones de los proveedores de servicios de pago en virtud del artículo 6 del Reglamento (UE) 2016/679. Por lo tanto, el permiso no debe interpretarse exclusivamente como «consentimiento» o «consentimiento explícito», tal como se definen en el Reglamento (UE) 2016/679.

(70)

La seguridad de las transferencias es fundamental para aumentar la confianza de los usuarios de servicios de pago en estos servicios y garantizar su uso. Los ordenantes que tengan la intención de enviar una transferencia a un beneficiario determinado pueden, como consecuencia de un fraude o error, proporcionar un identificador único que no corresponda a una cuenta de la que sea titular dicho beneficiario. A fin de contribuir a reducir el fraude y los errores, los usuarios de servicios de pago deben beneficiarse de un servicio que verifique si existe alguna discrepancia entre el identificador único del beneficiario y el nombre , u otro identificador, como un número fiscal, un identificador único europeo a que se refiere el artículo 16, apartado 1, párrafo segundo, de la Directiva (UE) n.o 2017/1132 del Parlamento Europeo y del Consejo  (22) , o un identificador de entidad jurídica, que identifique inequívocamente al beneficiario facilitado por el ordenante y, en caso de que se detecten tales discrepancias, notificarlo al ordenante. El identificador único no tiene que ser necesariamente el número internacional de cuenta bancaria (IBAN). Estos servicios, en los países en los que existen, han tenido un considerable impacto positivo en el nivel de fraude y errores. Dada su importancia para la prevención del fraude y los errores, este servicio debe ofrecerse a los consumidores de forma gratuita. Para evitar fricciones o retrasos indebidos en el tratamiento de la operación, el proveedor de servicios de pago del ordenante debe enviar dicha notificación en unos segundos a partir del momento en que el ordenante haya introducido la información sobre el beneficiario. Para que el ordenante pueda decidir si desea proceder con la operación prevista, el proveedor de servicios de pago del ordenante debe enviar dicha notificación antes de que el ordenante autorice la operación. Los ordenantes pueden tener a su disposición determinadas soluciones de iniciación de transferencias que les permitan cursar una orden de pago sin tener que introducir ellos mismos el identificador único, sino que es el proveedor de dicha solución de iniciación quien facilita estos datos. En estos casos, no es necesario un servicio que verifique la correspondencia entre el identificador único y el nombre del beneficiario, ya que el riesgo de fraude o de errores se reduce significativamente.

(71)

El Reglamento (UE) XXX por el que se modifica el Reglamento (UE) n.o 260/2012 prevé un servicio que verifique la correspondencia entre el identificador único y el nombre u otro identificador del beneficiario que se ofrecerá a los usuarios de transferencias inmediatas en euros. Para lograr un marco coherente para todas las transferencias, evitando al mismo tiempo cualquier solapamiento indebido, el servicio de verificación a que se refiere el presente Reglamento solo debe aplicarse a las transferencias que no estén cubiertas por el Reglamento (UE) XXX por el que se modifica el Reglamento (UE) n.o 260/2012.

(72)

Algunos atributos del nombre del beneficiario a cuya cuenta el ordenante desea realizar una transferencia pueden aumentar la probabilidad de que el proveedor de servicios de pago detecte una discrepancia, incluida la presencia de diacríticos o diferentes transliteraciones de nombres en alfabetos diferentes, diferencias entre los nombres utilizados habitualmente y los nombres indicados en los documentos oficiales de identificación en el caso de personas físicas, o diferencias entre los nombres comerciales y jurídicos en el caso de personas jurídicas. Para evitar fricciones indebidas en el tratamiento de las transferencias y facilitar la decisión del ordenante sobre si proceder o no a la operación prevista, los proveedores de servicios de pago indicarán el grado de dicha discrepancia, señalando en la notificación si no hay correspondencia o correspondencia «cercana».

(73)

La autorización de una operación de pago a pesar de que el servicio de verificación de la correspondencia haya detectado una discrepancia y notificado dicha discrepancia al usuario del servicio de pago puede dar lugar a la transferencia de los fondos a un beneficiario no intencionado. Los proveedores de servicios de pago deben informar a los usuarios de servicios de pago de las posibles consecuencias de su decisión de ignorar la discrepancia notificada y proceder a la ejecución de la operación. Los usuarios de servicios de pago deben poder optar por no utilizar dicho servicio en cualquier momento durante su relación contractual con el proveedor de servicios de pago y tras tomar esa opción voluntaria, los usuarios de servicios de pago deben poder optar por volver a utilizar el servicio.

(74)

El usuario de servicios de pago debe informar al proveedor de servicios de pago, lo antes posible, sobre toda reclamación en relación con operaciones de pago supuestamente no autorizadas o ejecutadas incorrectamente, o con transferencias autorizadas al producirse un mal funcionamiento del servicio de verificación de la concordancia, siempre y cuando el proveedor de servicios de pago haya respetado sus obligaciones de información con arreglo a la presente Directiva. Si el usuario de servicios de pago ha respetado el plazo de notificación, debe poder hacer valer esas reclamaciones dentro de los plazos de prescripción nacionales. Esto no debe afectar a otras reclamaciones entre usuarios de servicios de pago y proveedores de servicios de pago.

(75)

Deben adoptarse las disposiciones oportunas para proceder a una asignación de pérdidas en caso de operaciones de pago no autorizadas o de determinadas transferencias autorizadas. Pueden aplicarse disposiciones distintas a los usuarios de servicios de pago que no sean consumidores, pues estos usuarios, por lo general, se hallan en mejores condiciones de evaluar el riesgo de fraude y adoptar las medidas correspondientes. A fin de garantizar un elevado nivel de protección del consumidor, el ordenante debe tener siempre derecho a pedir la devolución a su proveedor de servicios de pago gestor de cuenta, incluso cuando ha intervenido en la operación de pago un proveedor de servicios de iniciación de pagos. Lo anterior debe entenderse sin perjuicio del reparto de la responsabilidad entre los proveedores de servicios de pago.

(76)

En el caso de los servicios de iniciación de pagos, tiene que haber una asignación de responsabilidades entre el proveedor de servicios de pago gestor de cuenta y el proveedor de servicios de iniciación de pagos que intervienen en la operación de modo que cada uno de ellos deba responsabilizarse de aquellas partes de la operación que estén bajo su control.

(76 bis)

Para que el usuario de servicios de pago pueda acceder más fácilmente al proveedor de servicios de pago, este último debe crear y utilizar un canal de comunicación que permita al usuario de servicios de pago efectuar una notificación o solicitar el desbloqueo del instrumento de pago conforme a lo dispuesto en el presente Reglamento. Este canal también debe permitir al usuario de servicios de pago notificar una operación fraudulenta, recibir asesoramiento cualificado cuando sospeche que es víctima de un ataque de fraude y señalar problemas relativos a los pagos efectuados, como los errores de las máquinas de pago durante los pagos.

(77)

En caso de una operación de pago no autorizada, el proveedor de servicios de pago deberá devolver inmediatamente el importe de dicha operación al ordenante. No obstante, cuando haya una sospecha fundada de que una operación no autorizada es el resultado de una conducta fraudulenta del ordenante y la sospecha se funde en motivos objetivos comunicados a la autoridad nacional pertinente por el proveedor de servicios de pago, este tendrá la posibilidad de efectuar, en un plazo razonable, una investigación antes de devolver el importe al ordenante. El proveedor de servicios de pago debe, en el plazo de catorce días hábiles a partir de la fecha en que haya observado o recibido la notificación de la operación, devolver al ordenante el importe de la operación de pago no autorizada, o facilitar al ordenante los motivos y las pruebas justificativas de la denegación del reembolso e indicar los organismos a los que el ordenante puede remitir el asunto en caso de que no acepte los motivos aducidos. Para evitar perjuicios al ordenante, la fecha de valor del abono de la devolución no debe ser posterior a la fecha en que se adeudó el importe. A fin de ofrecer incentivos para que el usuario de servicios de pago comunique sin demora a su proveedor de servicios de pago toda pérdida o robo de un instrumento de pago y reducir así el riesgo de operaciones de pago no autorizadas, el usuario solo debe ser responsable por un importe muy limitado, salvo en caso de fraude o grave negligencia por su parte. A este respecto, parece adecuado fijar un importe de 50 EUR con vistas a garantizar una protección elevada y homogénea del usuario dentro de la Unión. No se le debe imputar responsabilidad al ordenante, cuando este no puede tener conocimiento del extravío, el robo o la sustracción del instrumento de pago. Asimismo, una vez que el usuario del servicio de pago haya comunicado al proveedor de servicios de pago que su instrumento de pago puede haber sido objeto de uso fraudulento, no deben exigírsele responsabilidades por las ulteriores pérdidas que pueda ocasionar el uso no autorizado del instrumento. Los proveedores de servicios de pago deben ser responsables de la seguridad técnica de sus productos.

(78)

Las disposiciones en materia de responsabilidad en el caso de transferencias autorizadas en las que haya una aplicación incorrecta o se haya producido un mal funcionamiento del servicio que detecta discrepancias entre el nombre u otro identificador y el identificador único de un beneficiario crearían los incentivos adecuados para que los proveedores de servicios de pago presten un servicio plenamente operativo, con el fin de reducir el riesgo de autorizaciones de pago mal informadas. Si el ordenante decide recurrir a dicho servicio, el proveedor de servicios de pago del ordenante debe ser considerado responsable de la totalidad del importe de la transferencia en caso de que no haya notificado al ordenante, y debería haberlo hecho si el servicio funcionara correctamente, una discrepancia entre el identificador único u otro indicador definido por la ABE y el nombre del beneficiario facilitado por el ordenante y dicho incumplimiento haya causado un perjuicio financiero al ordenante. Cuando la responsabilidad del proveedor de servicios de pago del ordenante sea atribuible al proveedor de servicios de pago del beneficiario, este debe indemnizar al proveedor de servicios de pago del ordenante por el perjuicio económico sufrido. Ello estará en consonancia con el Reglamento (UE) [202X/...] del Parlamento Europeo y del Consejo de... por el que se modifican los Reglamentos (UE) n.o 260/2012 y (UE) 2021/1230 en lo que respecta a las transferencias inmediatas en euros  (23) .

(78 bis)

El proveedor de servicios de pago debe cooperar en todo momento con el usuario de servicios de pago en los casos en que deba demostrarse cualquier discrepancia en los pagos.

(79)

Los usuarios de servicios de pago deben estar adecuadamente protegidos en el contexto del denominado «fraude de ingeniería social», donde el defraudador manipula al usuario del servicio de pago para que realice una determinada acción, como iniciar una operación de pago, o entregar las credenciales de seguridad del usuario del servicio de pago a los defraudadores. En los últimos años ha aumentado significativamente el número de casos ▌ de este tipo de «ingeniería social». Lamentablemente, en la Unión se están generalizando los casos de falsificación de los datos en los que los defraudadores fingen ser empleados del proveedor de servicios de pago de un cliente , o de una entidad pertinente que pueda vincularse de forma razonable a una fuente de confianza del cliente, como un banco central o una autoridad gubernamental, y hacen un uso indebido del nombre, la dirección de correo electrónico o el número de teléfono del proveedor de servicios de pago para ganarse la confianza de los clientes y engañarlos para que lleven a cabo alguna acción. Estos nuevos tipos de fraude de falsificación de los datos o suplantación de identidad hacen que sea difusa la diferencia existente en la Directiva (UE) 2015/2366 entre las operaciones autorizadas y las no autorizadas. ▌Las condiciones en las que el cliente dio su permiso para efectuar un pago deben tenerse debidamente en cuenta, también por los tribunales, para calificar una operación como autorizada o no autorizada. En efecto, una operación podía haber sido autorizada en circunstancias en las que tal autorización se concedió en locales manipulados, lo que afecta a su integridad. Por consiguiente, ya no es posible, como era el caso en la Directiva (UE) 2015/2366, limitar las devoluciones únicamente a las operaciones no autorizadas. ▌

(79 bis)

Por lo que se refiere a la autorización de las operaciones de pago, el permiso debe expresar la intención del ordenante sobre la base del pleno conocimiento de los hechos pertinentes, como el importe, el destinatario y la finalidad de la operación. La intención del ordenante, basada en el pleno conocimiento de los hechos pertinentes, en el momento de la operación, debe evaluarse según lo dispuesto en el Derecho nacional.

(80)

Los proveedores de servicios de pago disponen de más medios que los consumidores para poner fin a los casos de falsificación , ▌mediante una prevención adecuada y garantías técnicas sólidas desarrolladas con los proveedores de servicios de comunicaciones electrónicas, como los operadores de redes móviles, las plataformas de internet, etc. Dichos proveedores de servicios de comunicaciones electrónicas deben estar obligados a cooperar con los proveedores de servicios de pago en la lucha contra el fraude. Si no lo hacen, deben ser considerados responsables conjuntamente en caso de fraude. Los casos de fraude por suplantación de empleados bancarios afectan a la honorabilidad del banco, del sector bancario en su conjunto y pueden causar daños financieros significativos a los consumidores de la Unión, lo que repercute en su confianza en los pagos electrónicos y en el sistema bancario. Por lo tanto, un consumidor de buena fe que haya sido víctima de este tipo de fraude de falsificación de los datos en el que los defraudadores se hagan pasar por empleados del proveedor de servicios de pago de un cliente y hagan un uso indebido del nombre, la dirección de correo o el número de teléfono del proveedor de servicios de pago debe tener derecho a que el proveedor de servicios de pago devuelva el importe íntegro de la operación de pago fraudulenta, salvo en caso de fraude o «grave negligencia» por su parte. Tan pronto como el consumidor tenga conocimiento de que ha sido víctima de este tipo de fraude, debe denunciar sin demora injustificada el incidente a la policía, preferiblemente a través de procedimientos de denuncia en línea, cuando los facilite la policía, y a su proveedor de servicios de pago, aportando todas las pruebas justificativas necesarias. ▌

(81)

Habida cuenta de sus obligaciones de salvaguardar la seguridad de sus servicios de conformidad con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (24), los proveedores de servicios de comunicaciones electrónicas tienen la capacidad de contribuir a la lucha colectiva contra el fraude de falsificación de los datos. Por consiguiente, y sin perjuicio de las obligaciones previstas en la legislación nacional por la que se aplica dicha Directiva, los proveedores de servicios de comunicaciones electrónicas deben también, en su caso, tener responsabilidad y cooperar con los proveedores de servicios de pago con vistas a prevenir nuevos casos de este tipo de fraude, en particular actuando con prontitud para garantizar la adopción de las medidas técnicas y organizativas adecuadas para salvaguardar la seguridad y la confidencialidad de las comunicaciones de conformidad con la Directiva 2002/58/CE. Toda reclamación por fraude contra otros proveedores, como los proveedores de servicios de comunicaciones electrónicas o plataformas en línea , por un perjuicio financiero causado en el contexto de este tipo de fraude debe realizarse de conformidad con el presente Reglamento .

(81 bis)

Las plataformas en línea también pueden contribuir a aumentar los casos de fraude. Por consiguiente, y sin perjuicio de sus obligaciones en virtud del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo  (25) (Reglamento de Servicios Digitales), deben ser consideradas responsables cuando el fraude haya surgido como resultado directo de que los defraudadores utilicen su plataforma para defraudar a los consumidores, si fueron informadas de contenidos fraudulentos en su plataforma y no los retiraron.

(82)

A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. Las pruebas de una presunta negligencia, y el grado de esta, deben evaluarse con arreglo a la normativa nacional. No obstante, si el concepto de negligencia supone un incumplimiento del deber de diligencia, la «negligencia grave» tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el efectuar un pago a un defraudador sin tener ningún motivo razonable para creer que el beneficiario al que estaba destinado el pago es legítimo, el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros , el persuadir al banco para que levante el bloqueo aplicado tras una alerta de fraude siguiendo las indicaciones de un tercero desconocido o entregar un teléfono inteligente desbloqueado a un tercero .

(82 bis)

Teniendo en cuenta que el término «negligencia grave» se interpreta de maneras muy diferentes en la Unión, la ABE debe publicar directrices sobre cómo debe interpretarse dicho concepto a efectos del presente Reglamento.

(83)

Se deben considerar nulas las cláusulas contractuales y las condiciones de prestación y utilización de instrumentos de pago mediante las cuales aumente la carga de la prueba sobre el consumidor o se reduzca la carga de la prueba sobre el emisor. Además, en situaciones específicas y, más concretamente, cuando el instrumento de pago no esté presente en el punto de venta, como en el caso de los pagos en línea, resulta oportuno exigir al proveedor de servicios de pago que aporte pruebas de la presunta negligencia, puesto que los medios a disposición del ordenante son limitados en esos casos.

(84)

Los consumidores son especialmente vulnerables en las operaciones de pago con tarjeta en las que el importe exacto de la operación se desconoce en el momento en el ordenante autoriza la ejecución de la operación de pago, como ocurre, por ejemplo, en las gasolineras de autoservicio, los contratos de alquiler de vehículos o las reservas hoteleras. El proveedor de servicios de pago del ordenante debe poder bloquear una cantidad de fondos de la cuenta de pago del ordenante que sea proporcional al importe de la operación de pago que pueda razonablemente esperar el ordenante, y solo si este ha dado su consentimiento respecto del importe exacto de los fondos que han de bloquearse. Estos fondos deben liberarse inmediatamente después de la recepción de la información sobre el importe final exacto de la operación de pago y a más tardar en cuanto se reciba la orden de pago. Para garantizar la rápida liberación de la diferencia entre el importe bloqueado y el importe exacto de la operación de pago, el beneficiario debe informar al proveedor de servicios de pago inmediatamente después de la entrega del servicio o los bienes al ordenante.

(85)

Los regímenes tradicionales de adeudos domiciliados en una moneda distinta del euro siguen existiendo en los Estados miembros cuya moneda no es el euro. Dichos regímenes resultan ser eficaces y garantizan un nivel de protección alto al ordenante a través de otras medidas de salvaguarda, aunque no siempre se basen en el derecho de reembolso incondicional. En ese caso, se debe proteger al ordenante mediante una norma general de devolución, cuando el importe de la operación de pago ejecutada supera el que razonablemente podía esperar el ordenante. Además, los Estados miembros deben poder establecer normas en relación con el derecho de reembolso que sean más favorables para el ordenante que las previstas en el presente Reglamento. Sería proporcionado permitir que el ordenante y el proveedor de servicios de pago del ordenante convinieran en un contrato marco que el ordenante no tenga derecho de reembolso cuando el ordenante se halle protegido bien debido a que ha dado su autorización al proveedor de servicios de pago para ejecutar una operación directamente, incluso cuando el proveedor de servicios de pago actúa en nombre del beneficiario o bien debido a que, en su caso, el proveedor de servicios de pago o el beneficiario hayan proporcionado o puesto a disposición del ordenante, en la forma acordada, información relativa a la futura operación de pago al menos con cuatro semanas de antelación a la fecha prevista. En cualquier caso, el ordenante debe hallarse siempre protegido por la norma general de devolución en caso de operaciones de pago no autorizadas o ejecutadas incorrectamente o de transferencias autorizadas sujetas a una aplicación incorrecta del servicio de verificación de correspondencia o en caso de fraude por suplantación del proveedor de servicios de pago.

(86)

A efectos de la planificación financiera y del cumplimiento de las obligaciones de pago a su debido tiempo, los consumidores y las empresas deben disponer de garantías sobre los plazos de ejecución de las órdenes de pago. Por lo tanto, es preciso determinar cuándo surten efecto los derechos y obligaciones, es decir, cuando el proveedor de servicios de pago recibe la orden de pago, incluso cuando haya tenido la posibilidad de recibirla por los medios de comunicación convenidos en el contrato de servicios de pago, independientemente de que haya podido participar previamente en el proceso de generación y transmisión de la orden de pago, por ejemplo en las comprobaciones de seguridad y de disponibilidad de fondos, en la información sobre el uso del número de identificación personal o en la emisión de promesas de pago. Por otra parte, debe considerarse que la recepción de una orden de pago se produce en el momento en que el proveedor de servicios de pago del ordenante recibe la orden del pago que deba adeudarse en la cuenta del ordenante. No debe ser pertinente a estos efectos el momento en que el beneficiario transmita a su proveedor de servicios de pago las órdenes de pago para el cobro, por ejemplo, de pagos con tarjeta o de adeudos domiciliados, o en que el beneficiario obtenga de su proveedor de servicios de pago la financiación anticipada de los correspondientes importes (mediante un crédito contingente a su cuenta). Los usuarios deben poder confiar en la correcta ejecución de la orden de pago, completa y válida, si el proveedor de servicio de pago no tiene motivos de denegación de carácter contractual o reglamentario. En caso de que el proveedor de servicios de pago rechace una orden de pago, debe comunicárselo al usuario del servicio de pago, junto con los motivos en que se basa, a la mayor brevedad posible, con sujeción a lo dispuesto en el Derecho nacional y de la Unión. Cuando el contrato marco incluya condiciones que permiten al proveedor de servicios de pago cargar una comisión, esa comisión debe justificarse objetivamente y ser lo más baja posible.

(87)

Dada la rapidez de procesamiento de las operaciones que permiten los sistemas de pago completamente automatizados, debido a la cual no es posible, transcurrido un determinado plazo, revocar las órdenes de pago sin afrontar elevados costes de intervención manual, es preciso establecer, para la revocación de pagos, un plazo claro. Sin embargo, en función del tipo de servicio de pago y de la orden de pago, debe ser posible variar el plazo para la revocación de pagos si así lo acuerdan las partes. La revocación en este contexto debe referirse solo a la relación entre el usuario de servicios de pago y el proveedor de servicios de pago y no debe afectar a la irrevocabilidad y firmeza de las operaciones de pago realizadas a través de sistemas de pago.

(88)

Según la legislación nacional de los Estados miembros, la irrevocabilidad no debe afectar a los derechos u obligaciones del proveedor de servicios de pago, a tenor del contrato marco suscrito con el ordenante o de las leyes, reglamentos y disposiciones administrativas o directrices nacionales, de reembolsar al ordenante el importe de la operación de pago ejecutada en caso de litigio entre el ordenante y el beneficiario. Dicho reembolso debe considerarse una nueva orden de pago. Excepto en esos casos, los litigios que surjan en la relación que subyace a la orden de pago deben resolverse exclusivamente entre el ordenante y el beneficiario.

(89)

Para el tratamiento integrado y automatizado de los pagos y la seguridad jurídica con respecto al cumplimiento de cualquier obligación subyacente entre usuarios de servicios de pago, es fundamental que se deba abonar en la cuenta del beneficiario el importe íntegro transferido por el ordenante. Por consiguiente, ningún intermediario que intervenga en la ejecución de las operaciones de pago debe poder efectuar deducciones del importe transferido. No obstante, el beneficiario debe poder celebrar un acuerdo con su proveedor de servicios de pago con arreglo al cual este último pueda deducir sus propios gastos. Sin embargo, para que el beneficiario pueda comprobar que se le ha abonado correctamente el importe debido, la información ulterior facilitada sobre la operación de pago debe indicar no solo el importe total de los fondos transferidos, sino también las posibles comisiones aplicadas.

(90)

En aras de una mayor eficiencia de los pagos en toda la Unión, todas las órdenes de pago iniciadas por el ordenante y denominados en euros o en otra moneda de un Estado miembro no perteneciente a la zona del euro, incluidas las transferencias no inmediatas y los servicios de envío de dinero, deben respetar un plazo máximo de ejecución de un día. En todos los demás pagos, tales como los iniciados por el beneficiario o a través del mismo, incluido el adeudo domiciliado y el pago con tarjeta, a falta de acuerdo explícito entre el proveedor de servicios de pago y el ordenante que prevea un plazo de ejecución más prolongado, debe aplicarse la misma norma de plazo máximo de ejecución de un día. El mencionado plazo debe poder prorrogarse un día hábil si la orden de pago se cursa en papel. Esto permite mantener la prestación de servicios de pago a los consumidores que solo utilizan normalmente documentos en papel. Cuando se utilice un régimen de adeudo domiciliado, el proveedor de servicios de pago del beneficiario debe transmitir la orden de cobro en los plazos acordados entre este último y aquel, a fin de que la liquidación pueda tener lugar en la fecha convenida. Los límites de gasto deben especificarse en el contrato entre el proveedor de servicios de pago y el ordenante, pero pueden modificarse. Debe ser posible mantener o establecer normas que especifiquen un plazo de ejecución inferior a un día hábil.

(91)

Las normas sobre ejecución por el importe íntegro y plazo de ejecución deben constituir buenas prácticas cuando uno de los proveedores de servicios de pago no esté situado en la Unión. Al efectuar una transferencia o un envío de dinero a un beneficiario situado fuera de la Unión, el proveedor de servicios de pago del ordenante debe facilitar al ordenante una estimación del tiempo necesario para que la transferencia o el envío de dinero se abonen al proveedor de servicios de pago del beneficiario situado fuera de la Unión. No cabe esperar que un proveedor de servicios de pago de la Unión calcule el tiempo que tarda un proveedor de servicios de pago fuera de la Unión en abonar dichos fondos a la cuenta del beneficiario después de haberlos recibido.

(92)

A fin de reforzar la confianza de los usuarios de servicios de pago en los mercados de pagos, es fundamental que estos estén informados de las comisiones reales de los servicios de pago. Por ello, no debe permitirse el uso de métodos de fijación de precios no transparentes, pues dificultan extremadamente al usuario la determinación del precio real del servicio de pago. En concreto, no debe permitirse el uso en perjuicio del usuario de la fecha de valor.

(93)

El proveedor de servicios de pago debe tener la posibilidad de especificar sin ambigüedad la información requerida para ejecutar una orden de pago correctamente. El proveedor de servicios de pago del ordenante debe actuar con la debida diligencia y comprobar, cuando sea técnicamente posible y sin que ello requiera intervención manual, la coherencia del identificador único y, si este resulta incoherente, rechazar la orden de pago e informar de ello al ordenante.

(94)

Para el funcionamiento eficaz y ordenado de los sistemas de pago es imprescindible que el usuario pueda confiar en que el proveedor de servicios de pago ejecute la operación de pago correctamente y en el plazo acordado. Normalmente, el proveedor de servicios de pago puede evaluar los riesgos de la operación de pago. Es el proveedor de servicios de pago quien proporciona el sistema de pago, toma medidas para reclamar los fondos asignados erróneamente y, en la mayoría de los casos, decide qué intermediarios intervienen en la ejecución de una operación de pago. Por todos estos motivos, es del todo procedente, excepto cuando se trate de circunstancias excepcionales e imprevisibles, asignar al proveedor de servicios de pago la responsabilidad de la ejecución de las operaciones de pago que acepte del usuario, salvo en lo que respecta a las acciones u omisiones del proveedor de servicios de pago del beneficiario, de cuya selección solo es responsable el beneficiario. No obstante, a fin de no dejar desprotegido al ordenante en improbables circunstancias anómalas en que no sea posible dilucidar si el proveedor de servicios de pago del beneficiario recibió o no a su debido tiempo el importe del pago, la correspondiente carga de la prueba debe recaer en el proveedor de servicios de pago del ordenante. Como regla general, cabe esperar que la entidad intermediaria (normalmente un organismo imparcial, tal como un banco central o una cámara de compensación) que transfiera el importe del pago del proveedor de servicios de pago remitente al receptor conservará los datos de la cuenta y podrá presentarlos cuando sea necesario. Siempre que el importe del pago se haya ingresado en la cuenta del proveedor de servicios de pago receptor, el beneficiario debe poder invocar inmediatamente frente a dicho proveedor de servicios de pago su derecho a que se ingrese el importe de la cuenta.

(95)

El proveedor de servicios de pago del ordenante, en calidad de proveedor de servicios de pago gestor de cuenta o, cuando proceda, de proveedor de servicios de iniciación de pagos, debe asumir la responsabilidad de la correcta ejecución del pago, incluida, en particular, la cantidad total correspondiente a la operación de pago y el plazo de ejecución, así como la plena responsabilidad por los posibles incumplimientos de otras partes en la cadena de pago hasta llegar a la cuenta del beneficiario. Como resultado de esa responsabilidad, en caso de que no se abone al proveedor de servicios de pago del beneficiario la totalidad del importe, o este se abone con retraso, el proveedor de servicios de pago del ordenante debe corregir la operación de pago o devolver al ordenante sin demora injustificada el importe correspondiente de dicha operación, sin perjuicio de cualesquiera otras acciones que puedan ejercitarse con arreglo a la normativa nacional. Dada la responsabilidad del proveedor de servicios de pago, ni el ordenante ni el beneficiario deben soportar coste alguno como consecuencia de una ejecución incorrecta del pago. Si las operaciones de pago no llegan a ejecutarse, se ejecutan de forma defectuosa o con retraso, la fecha de valor de los pagos en rectificación de las mismas efectuados por los proveedores de servicios de pago debe concordar siempre con la fecha de valor aplicable en caso de que la ejecución de la operación de pago hubiera sido correcta.

(96)

De cara al funcionamiento correcto de las transferencias y demás servicios de pago, es preciso que los proveedores de servicios de pago y sus intermediarios, incluidos los procesadores de pagos, celebren contratos que estipulen sus derechos y obligaciones mutuos. Las cuestiones relacionadas con las responsabilidades constituyen una parte esencial de estos contratos. A fin de garantizar la confianza mutua entre los proveedores de servicios de pago y los intermediarios que participan en una operación de pago, es necesario que exista seguridad jurídica en cuanto a que un proveedor de servicios de pago que no sea responsable será compensado por las pérdidas que sufra o los importes que abone, en virtud de las normas sobre responsabilidad. Procede que los demás derechos y el contenido detallado del derecho de recurso, así como las modalidades de tramitación de reclamaciones frente al proveedor de servicios de pago o al intermediario por operaciones de pago ejecutadas incorrectamente, estén sujetos a acuerdo.

(97)

La prestación de servicios de pago por los proveedores de servicios de pago puede conllevar el tratamiento de datos personales. Solamente debe ser posible llevar a cabo dicho tratamiento con el permiso del usuario de los servicios de pago. La prestación de servicios de información sobre cuentas puede conllevar el tratamiento de datos personales relativos a un interesado que no es el usuario de un proveedor de servicios de pago específico, pero cuyos datos personales han de ser tratados por ese proveedor de servicios de pago para la ejecución de un contrato entre el proveedor y el usuario de servicios de pago. Cuando se traten datos personales, el tratamiento debe cumplir lo dispuesto en los Reglamentos (UE) 2016/679 y (UE) 2018/1725 del Parlamento Europeo y del Consejo (26), incluidos los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación. La protección de datos desde el diseño y la protección de datos por defecto deben incorporarse en todos los sistemas de tratamiento de datos desarrollados y usados en el marco del presente Reglamento. Por consiguiente, las autoridades de control con arreglo a los Reglamentos (UE) 2016/679 y (UE) 2018/1725 deben ser responsables de la supervisión del tratamiento de datos personales efectuado en el marco del presente Reglamento.

(98)

Como se reconoce en la Comunicación de la Comisión sobre una Estrategia de Pagos Minoristas para la UE, el buen funcionamiento de los mercados de pagos de la UE es de un interés público importante. Por consiguiente, cuando sea necesario, en el contexto del presente Reglamento, para la prestación de servicios de pago y el cumplimiento del presente Reglamento, los proveedores de servicios de pago y los operadores de sistemas de pago deben poder tratar las categorías especiales de datos personales definidas en el artículo 9, apartado 1, del Reglamento (UE) 2016/679 y en el artículo 10, apartado 1, del Reglamento (UE) 2018/1725. Cuando se traten categorías especiales de datos personales, los proveedores de servicios de pago y los operadores de sistemas de pago deben aplicar medidas técnicas y organizativas adecuadas para salvaguardar los derechos y libertades fundamentales de las personas físicas. Dichas medidas deben incluir limitaciones técnicas a la reutilización de los datos, así como el uso de las medidas más avanzadas de seguridad y protección de la intimidad, incluida , entre otras, la seudonimización o el cifrado, para garantizar el cumplimiento de los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación, tal como se establece en el Reglamento (UE) 2016/679. Además, los proveedores de servicios de pago y los operadores de sistemas de pago deben aplicar medidas específicas de organización, incluida la formación sobre el tratamiento de estos datos, la limitación del acceso a categorías especiales de datos y el registro de dicho acceso.

(99)

El suministro de información a los individuos sobre el tratamiento de datos personales debe llevarse a cabo de conformidad con los Reglamentos (UE) 2016/679 y (UE) 2018/1725.

(100)

El objetivo de los defraudadores suelen ser las personas más vulnerables de nuestra sociedad. La detección oportuna de las operaciones de pago fraudulentas es crucial, y la supervisión de las operaciones desempeña un papel importante en esa detección. Procede, por tanto, exigir a los proveedores de servicios de pago que establezcan mecanismos de supervisión de las operaciones, que reflejen la importante contribución de estos mecanismos a la prevención del fraude y vayan más allá de la protección que ofrece la autenticación reforzada de cliente, con respecto a las operaciones de pago, incluidas las operaciones que impliquen servicios de iniciación de pagos. Cuando los proveedores de servicios de pago no hayan establecido mecanismos adecuados para prevenir el fraude, deben ser considerados responsables de cubrir las pérdidas financieras que los usuarios de servicios de pago sufran como consecuencia del fraude.

(100 bis)

Los Estados miembros deben cooperar con los proveedores de servicios de pago y los proveedores de servicios de comunicaciones electrónicas con el fin de financiar campañas educativas dirigidas a los ciudadanos sobre cómo detectar el fraude en los pagos y cómo evitar ser víctimas de fraudes relacionados con los pagos. Los proveedores de servicios de pago y los proveedores de servicios de comunicaciones electrónicas deben cooperar gratuitamente sobre esta cuestión con los Estados miembros.

(101)

La ABE debe elaborar proyectos de normas técnicas de regulación sobre los requisitos técnicos específicos relacionados con los mecanismos de supervisión de las operaciones. Estos requisitos deben basarse en el valor añadido derivado de las características medioambientales y de comportamiento relacionadas con los hábitos de pago del usuario de servicios de pago.

(102)

A fin de garantizar que los mecanismos de supervisión de las operaciones funcionen eficazmente para permitir a los proveedores de servicios de pago detectar y prevenir el fraude, en particular, mediante la detección de un uso atípico de los servicios de pago que pueda indicar una operación potencialmente fraudulenta, los proveedores de servicios de pago deben poder tratar la información sobre las operaciones de sus clientes y sus cuentas de pago. No obstante, los proveedores de servicios de pago deben establecer períodos de conservación adecuados para los diferentes tipos de datos utilizados para la prevención del fraude. Estos períodos de conservación deben limitarse estrictamente al período necesario para detectar comportamientos atípicos y potencialmente fraudulentos, y los proveedores de servicios de pago deben suprimir periódicamente los datos que ya no sean necesarios para la detección y prevención del fraude. Los datos tratados a efectos de supervisión de las operaciones no deben utilizarse una vez que el usuario de servicios de pago haya dejado de ser cliente del proveedor de servicios de pago.

(103)

El fraude en las transferencias es intrínsecamente adaptativo y comprende una variedad ilimitada de prácticas y técnicas, como el robo de credenciales de autenticación, la falsificación de facturas y la manipulación social. Por lo tanto, para poder prevenir nuevos tipos de fraude, debe mejorarse constantemente la supervisión de las operaciones, haciendo pleno uso de tecnologías como la inteligencia artificial. A menudo, los proveedores de servicios de pago no tienen una visión completa de todos los elementos que podrían llevar a una detección oportuna del fraude, que podría ser más eficaz con una mayor cantidad de información sobre actividades potencialmente fraudulentas procedente de otros proveedores de servicios de pago. Por lo tanto, debe ser obligatorio el intercambio de toda la información pertinente entre los proveedores de servicios de pago. Para detectar mejor las operaciones de pago fraudulentas y proteger a sus clientes, los proveedores de servicios de pago deben, a efectos de supervisión de las operaciones, utilizar la información sobre fraude en los pagos que comparten otros proveedores de servicios de pago sobre una base multilateral, como plataformas informáticas específicas basadas en acuerdos de intercambio de información. A fin de mejorar la protección de los ordenantes contra el fraude en las transferencias, los proveedores de servicios de pago deben poder basarse en información lo más completa y actualizada posible, en particular utilizando colectivamente información relativa a identificadores únicos, técnicas de manipulación y otras circunstancias asociadas a transferencias fraudulentas identificadas individualmente por cada proveedor de servicios de pago. Antes de celebrar un acuerdo de intercambio de información, los proveedores de servicios de pago deben llevar a cabo una evaluación de impacto relativa a la protección de datos, de conformidad con el artículo 35 del Reglamento (UE) 2016/679. Cuando la evaluación de impacto relativa a la protección de datos indique que, a falta de salvaguardias, medidas de seguridad y mecanismos para mitigar el riesgo, el tratamiento daría lugar a un alto riesgo para los derechos y libertades de las personas físicas, los proveedores de servicios de pago deben consultar a la autoridad de protección de datos pertinente de conformidad con el artículo 36 de dicho Reglamento. No debe exigirse una nueva evaluación de impacto cuando un proveedor de servicios de pago se adhiera a un acuerdo de intercambio de información vigente para el que ya se haya llevado a cabo una evaluación de impacto relativa a la protección de datos. El acuerdo de intercambio de información debe establecer medidas técnicas y organizativas para proteger los datos personales, así como las funciones y responsabilidades de todos los proveedores de servicios de pago, en virtud de la legislación en materia de protección de datos, también en el caso de los corresponsables del tratamiento de datos.

(103 bis)

La ABE debe crear una plataforma informática específica para intercambiar información sobre cuentas fraudulentas.

(103 ter)

Cuando los mecanismos de supervisión proporcionen pruebas sólidas para sospechar la existencia de una operación fraudulenta, o cuando el usuario notifique una denuncia policial al proveedor de servicios de pago, los proveedores de servicios de pago tendrán derecho a bloquear la ejecución de la orden de pago, o a bloquear y recuperar los fondos relacionados. Debe entenderse que dichas pruebas comprenden razones objetivamente justificadas relativas a la seguridad de la operación de pago y a la sospecha de operaciones no autorizadas o fraudulentas. Si un proveedor de servicios de pago no bloquea la ejecución de la orden de pago, dicho proveedor de servicios de pago debe cubrir las pérdidas financieras resultantes que sufra un usuario de servicios de pago si es víctima de dicho fraude.

▌

(104 bis)

De conformidad con el presente Reglamento, el identificador único debe verificarse en todas las transferencias.

(104 ter)

La ABE debe elaborar proyectos de normas técnicas de regulación en las que se especifiquen los identificadores, distintos del IBAN, que deben aceptarse como identificadores únicos.

(105)

A fin de evitar intercambios legítimos de información sobre actividades potencialmente fraudulentas que den lugar a una «reducción del riesgo» injustificada o a que dejen de prestarse servicios de cuentas de pago a los usuarios de servicios de pago sin explicación ni posibilidad de recurso, conviene establecer salvaguardias. Los datos sobre fraude en los pagos que se comparten en el marco de un acuerdo multilateral de intercambio de información que pueda implicar la divulgación de datos personales, incluidos los identificadores únicos de beneficiarios que pudieran estar implicados en el fraude en las transferencias, solo deben ser utilizados por los proveedores de servicios de pago con el fin de mejorar la supervisión de las operaciones. Los proveedores de servicios de pago deben establecer salvaguardias adicionales, como ponerse en contacto con el cliente si es el ordenante de una transferencia que pueda considerarse fraudulenta, y seguir supervisando una cuenta, cuando el identificador único compartido como posiblemente fraudulento designe a un cliente de dicho proveedor de servicios de pago. Los datos sobre fraude en los pagos que los proveedores de servicios de pago comparten en el contexto de tales acuerdos no deben constituir motivos para retirar los servicios bancarios sin una investigación detallada.

(106)

El fraude en los pagos es cada vez más sofisticado, pues los defraudadores utilizan técnicas de manipulación y suplantación que son difíciles de detectar para los usuarios de servicios de pago sin un nivel suficiente de sensibilización e información sobre el fraude. Los proveedores de servicios de pago pueden desempeñar un papel importante en el refuerzo de la prevención del fraude, adoptando periódicamente todas las iniciativas necesarias para aumentar la comprensión y la sensibilización de los usuarios de los servicios de pago sobre los riesgos y las tendencias del fraude en los pagos. En particular, deben llevar a cabo campañas y programas adecuados de sensibilización sobre las tendencias y los riesgos del fraude dirigidos a los clientes y empleados de los proveedores de servicios de pago, con el fin de ayudar a los clientes a darse cuenta de que son víctimas de un intento de fraude. Asimismo, deben facilitar a los consumidores, a través de diversos medios, información adaptada sobre el fraude, con mensajes y advertencias claros que les ayuden a reaccionar adecuadamente cuando estén expuestos a situaciones potencialmente fraudulentas. La ABE debe elaborar directrices sobre los diferentes tipos de programas que los proveedores de servicios de pago deben desarrollar respecto a los riesgos de fraude en los pagos, teniendo en cuenta la naturaleza en constante evolución de los riesgos relacionados con el fraude.

(107)

La seguridad de los pagos electrónicos es fundamental para garantizar la protección de los usuarios y el desarrollo de un entorno adecuado para el comercio electrónico. Todos los servicios de pago ofrecidos electrónicamente deben prestarse con la adecuada protección, gracias a la adopción de tecnologías que permitan garantizar una autenticación segura del usuario y minimizar el riesgo de fraude. En el ámbito del fraude, la principal innovación de la Directiva (UE) 2015/2366 fue la introducción de la autenticación reforzada de cliente. La evaluación de la Comisión, de la aplicación de la Directiva (UE) 2015/2366 constató que la autenticación reforzada de cliente ya ha dado resultados notables en la reducción del fraude.

(107 bis)

Para que los consumidores se beneficien sin interrupción de una sólida autenticación reforzada de cliente, y para que esta continúe siendo una herramienta eficaz en la lucha contra el fraude en los pagos electrónicos, es conveniente que la aplicación de la autenticación reforzada de cliente se base en el riesgo. A su vez, las normas sobre autenticación reforzada de cliente deben ofrecer una flexibilidad suficiente para la innovación en el sector de los pagos, incluido el desarrollo de nuevas soluciones de autenticación reforzada de cliente.

(108)

No debe eludirse la autenticación reforzada de cliente, en particular, mediante un recurso injustificado a las exenciones a su aplicación. La ABE debe introducir definiciones claras de las operaciones iniciadas por el comerciante y de las ventas por correspondencia o telefónicas, ya que estos conceptos, que pueden invocarse para justificar la no aplicación de la autenticación reforzada de cliente, se entienden y aplican de manera divergente y son objeto de abuso. Por lo que se refiere a las operaciones iniciadas por el comerciante, la autenticación reforzada de cliente debe aplicarse en el momento en que se crea la orden inicial, sin necesidad de aplicarla a las operaciones de pago ulteriores iniciadas por el comerciante. En cuanto a las ventas por correspondencia o telefónicas, para que una operación se considere una venta por correspondencia o telefónica y, por tanto, no esté sujeta a la obligación de aplicar la autenticación reforzada de cliente solo la iniciación de las operaciones de pago —no su ejecución— debe no ser digital. No obstante, las operaciones de pago efectuadas por medio de órdenes de pago en papel o las derivadas de ventas por correspondencia o telefónicas realizadas por el ordenante deben estar sujetas a normas de seguridad y a controles por parte del proveedor de servicios de pago del ordenante que permitan la autenticación de la operación de pago a fin de evitar la elusión abusiva de los requisitos de autenticación reforzada. La autenticación reforzada de cliente tampoco debe eludirse mediante prácticas que incluyan recurrir a un adquirente establecido fuera de la Unión a fin de evitar los requisitos de autenticación reforzada. Al mismo tiempo, la autenticación reforzada de cliente debe aplicarse siempre de forma gratuita.

(109)

Dado que el proveedor de servicios de pago que debe aplicar la autenticación reforzada de cliente es el proveedor de servicios de pago que emite las credenciales de seguridad personalizadas, las operaciones de pago que no sean iniciadas por el ordenante, sino únicamente por el beneficiario, no deben estar sujetas a una autenticación reforzada de clientes en la medida en que dichas operaciones se inicien sin ninguna interacción ni participación del ordenante. El planteamiento regulador de ▌los adeudos domiciliados ▌debe armonizarse y beneficiarse de las mismas medidas de protección de los consumidores, incluidas las devoluciones.

(109 bis)

En el contexto de los pagos entre empresas (B2B) o entre empresas y administraciones públicas (B2G), las autenticaciones reforzadas de cliente deben adecuarse al nivel de riesgo de dichas transacciones, teniendo en cuenta, en especial, los controles y verificaciones ya existentes entre dichos operadores. A fin de reducir la carga administrativa, no debe exigirse la autenticación reforzada de cliente para tales operaciones, y debe adaptarse a un enfoque basado en el riesgo.

(110)

A fin de mejorar la inclusión financiera, y en consonancia con la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (27) sobre los requisitos de accesibilidad de los productos y servicios, todos los usuarios de servicios de pago, incluidas las personas con discapacidad, las personas de edad avanzada, las personas con escasas capacidades digitales y aquellos que no tienen acceso a dispositivos digitales como teléfonos inteligentes, deben beneficiarse de la protección contra el fraude que ofrece la autenticación reforzada de cliente, en particular cuando se trata del uso de operaciones remotas de pago digitales y el acceso en línea a cuentas de pago como servicios financieros fundamentales. Con la introducción de la autenticación reforzada de cliente, a determinados consumidores de la Unión les resultaba imposible llevar a cabo transacciones en línea debido a la incapacidad material para realizar dicha autenticación. Por consiguiente, los proveedores de servicios de pago deben garantizar que sus clientes puedan beneficiarse de diversos métodos de ejecución de la autenticación reforzada de cliente que se adapten a sus necesidades y situación. Estos métodos no deben depender de una sola tecnología, dispositivo o mecanismo, ni de la posesión de un teléfono inteligente u otro dispositivo inteligente .

(111)

Las carteras europeas de identidad digital adoptadas en virtud del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo (28), modificado por el Reglamento [XXX], son medios de identificación electrónica que ofrecen herramientas de identificación y autenticación para acceder a servicios financieros, incluidos servicios de pago, a través de las fronteras. La introducción de la cartera europea de identidad digital facilitará aún más la identificación y autenticación digitales transfronterizas para garantizar unos pagos digitales seguros y ayudará al desarrollo de un panorama paneuropeo de pagos digitales.

(112)

El crecimiento del comercio electrónico y de los pagos móviles debe ir acompañado de una mejora generalizada de las medidas de seguridad. En caso de iniciación remota de una operación de pago, es decir, cuando una orden de pago se cursa a través de internet, la autenticación de la operación debe basarse en códigos dinámicos para que el usuario sepa en todo momento el importe y el beneficiario de la operación que está autorizando.

(113)

El requisito de aplicar la autenticación reforzada de cliente a las operaciones remotas de pago a través de códigos que vinculen de forma dinámica la operación a un importe y un beneficiario específicos debe reflejar el crecimiento de los pagos móviles y la aparición de una variedad de modelos a través de los cuales se ejecutan.

(114)

Dado que la conexión dinámica aborda los riesgos de manipulación del nombre del beneficiario y el importe específico de la operación entre el momento en que se cursa una orden de pago y la autenticación de los pagos, así como el riesgo de fraude en general, en el caso de los pagos móviles para los que la autenticación reforzada de cliente requiere el uso de internet en el dispositivo del ordenante, los proveedores de servicios de pago deben aplicar también elementos que vinculen de forma dinámica la operación a un importe y un beneficiario específicos o medidas de seguridad armonizadas de efecto idéntico que garanticen la confidencialidad, autenticidad e integridad de la operación en todas las fases de iniciación.

(115)

Con arreglo a la exención de la autenticación reforzada de cliente en virtud del artículo 18 del Reglamento Delegado (UE) 2018/389, los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de cliente cuando el ordenante inicie una operación remota de pago electrónico cuyo nivel de riesgo el proveedor de servicios de pago haya identificado como bajo según los mecanismos de supervisión de las operaciones. Sin embargo, las observaciones de los agentes del mercado mostraron que, para que haya más proveedores de servicios de pago que lleven a cabo análisis del riesgo de las operaciones, es necesario adoptar normas adecuadas sobre el alcance de dicho análisis, introducir requisitos de auditoría claros, proporcionar más detalles y mejores definiciones sobre los requisitos de supervisión de los riesgos y los datos que deben compartirse, y evaluar los posibles beneficios de permitir a los proveedores de servicios de pago notificar operaciones fraudulentas de las que son los únicos responsables. La ABE debe elaborar un proyecto de normas técnicas de regulación que establezca las normas relativas al análisis del riesgo de las operaciones. A fin de aumentar el uso de la exención relativa al análisis del riesgo de las operaciones, los proyectos de normas técnicas de regulación deben considerar umbrales adicionales para dicha exención. Además, han de valorar si es necesario aclarar si, en sus índices de fraude, los proveedores de servicios de pago deben contabilizar la responsabilidad únicamente con respecto al ordenante.

(116)

Las medidas de seguridad han de ser compatibles con el nivel de riesgo que entrañan los servicios de pago. Para permitir el desarrollo de medios de pago accesibles y de fácil uso para pagos de bajo riesgo (por ejemplo, los pagos de escasa cuantía y los pagos sin contacto en el punto de venta o los pagos hechos en un contexto empresarial por un ordenante de empresa , basados o no en un teléfono móvil), en las normas técnicas de regulación se deberían especificar exenciones de la aplicación de los requisitos de seguridad. Es necesario que las credenciales de seguridad personalizadas se utilicen adecuadamente, para limitar los riesgos de falsificación de los datos, captación de datos mediante suplantación de identidad (phishing) y otras actividades fraudulentas. El usuario debe poder confiar en la adopción de medidas que protejan la confidencialidad y la integridad de sus credenciales de seguridad personalizadas.

(117)

Los proveedores de servicios de pago deben aplicar la autenticación reforzada de cliente cuando, entre otras cosas, el usuario de servicios de pago lleve a cabo cualquier acción a través de un canal remoto que pueda implicar el riesgo de fraude en el pago u otros abusos. Los proveedores de servicios de pago deben disponer de medidas de seguridad adecuadas para proteger la confidencialidad y la integridad de las credenciales de seguridad personalizadas del usuario de servicios de pago.

(118)

No existe una interpretación coherente por parte de las partes interesadas del mercado en todos los Estados miembros de los requisitos de autenticación reforzada de cliente aplicables al registro de los instrumentos de pago, en particular las tarjetas de pago, en las carteras digitales. La creación de una ficha o su proceso de sustitución puede dar lugar a un riesgo de fraude en los pagos o a otros abusos. La creación o sustitución de una ficha de un instrumento de pago a través de un canal remoto con la participación del usuario de servicios de pago, debe, por tanto, exigir la aplicación de una autenticación reforzada de cliente por parte del proveedor de servicios de pago del usuario de estos servicios en el momento de la emisión o sustitución de la ficha. Al aplicar la autenticación reforzada de cliente en la fase de creación o sustitución de la ficha, el proveedor de servicios de pago debe verificar de forma remota que el usuario de servicios de pago es el usuario legítimo del instrumento de pago y asociar el usuario y la versión digitalizada del instrumento de pago al dispositivo correspondiente.

(119)

Se debe exigir a los operadores de carteras digitales «pass-through» que comprueben los elementos de la autenticación reforzada de cliente cuando se exige que los instrumentos toquenizados almacenados en las carteras digitales que se utilicen para pagos celebren acuerdos de externalización con los proveedores de servicios de pago de los ordenantes para permitirles seguir realizando tales verificaciones, así como que cumplan los requisitos clave de seguridad. En virtud de dichos acuerdos, los proveedores de servicios de pago del ordenante deben asumir plena responsabilidad en caso de que los operadores de carteras digitales «pass-through» no apliquen la autenticación reforzada de cliente y tener derecho a auditar y controlar las disposiciones de seguridad del operador de carteras digitales.

(120)

Cuando los proveedores de servicios técnicos u operadores de sistemas de pago presten servicios a los beneficiarios o a los proveedores de servicios de pago de beneficiarios u ordenantes, deben apoyar la aplicación de la autenticación reforzada de cliente en el marco de su función en la iniciación o ejecución de operaciones de pago. Habida cuenta del papel que desempeñan para garantizar la correcta aplicación de los requisitos clave de seguridad relativos a los pagos minoristas, en particular proporcionando soluciones informáticas adecuadas, se debe considerar responsables a los proveedores de servicios técnicos y los operadores de sistemas de pago de los daños financieros directos causados al beneficiario o el proveedor de servicios de pago del beneficiario o del ordenante, por no haber prestado, en el marco de su relación contractual, los servicios necesarios para permitir la aplicación de la autenticación reforzada del cliente, de manera proporcionada a dicho incumplimiento y por un importe que no exceda del importe de la transacción en cuestión.

(121)

Los Estados miembros deben designar las autoridades competentes para conceder autorización a las entidades de pago y para la acreditación y supervisión se los procedimientos de resolución alternativa de litigios (RAL).

(122)

Sin perjuicio del derecho de los clientes a emprender acciones ante los tribunales, los Estados miembros deben garantizar que existan procedimientos fácilmente accesibles, adecuados, independientes, imparciales, transparentes y efectivos para la resolución alternativa de litigios entre proveedores de servicios de pago y usuarios de servicios de pago. El Reglamento (CE) n.o 593/2008 del Parlamento Europeo y del Consejo (29) prohíbe que se menoscabe, mediante disposiciones contractuales sobre la legislación aplicable, la protección garantizada al consumidor por las disposiciones imperativas de la ley del país en que tenga su residencia habitual. Con vistas a establecer un procedimiento de resolución de litigios eficiente y eficaz, los Estados miembros deben velar por que los proveedores de servicios de pago suscriban un procedimiento de RAL de conformidad con los requisitos de calidad establecidos en la Directiva 2013/11/UE del Parlamento Europeo y del Consejo (30), a fin de resolver los litigios antes de recurrir a un órgano jurisdiccional. Las autoridades competentes designadas deben notificar a la Comisión una entidad o entidades de RAL de calidad competentes en su territorio para resolver litigios nacionales y transfronterizos y cooperar con respecto a los litigios relativos a los derechos y obligaciones con arreglo al presente Reglamento. Los procedimientos de resolución alternativa de litigios deben ser obligatorios para los proveedores de servicios de pago.

(123)

Los consumidores deben poder hacer valer sus derechos en relación con las obligaciones impuestas a los proveedores de servicios de pago y servicios de dinero electrónico en virtud del presente Reglamento mediante acciones de representación de conformidad con la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo (31).

(124)

Deben establecerse procedimientos adecuados que permitan tramitar las reclamaciones contra aquellos proveedores de servicios de pago que no cumplan sus obligaciones, y, en su caso, garantizar la imposición de sanciones adecuadas, efectivas, proporcionadas y disuasorias. Para garantizar que el presente Reglamento se cumpla de forma efectiva, los Estados miembros deben designar autoridades competentes que reúnan las condiciones establecidas en el Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo (32) y actúen con independencia frente a los proveedores de servicios de pago. Los Estados miembros deben notificar a la Comisión las autoridades designadas, describiendo claramente las funciones.

(125)

Sin perjuicio del derecho de emprender acciones ante un tribunal para garantizar el cumplimiento del presente Reglamento, las autoridades competentes deben ejercer los poderes necesarios conferidos por este Reglamento, incluida la facultad de investigar presuntas infracciones e imponer sancionar y medidas administrativas, en caso de que el proveedor de servicios de pago no respete los derechos y obligaciones establecidos en dicho Reglamento, especialmente si hay riesgo de reincidencia u otras preocupaciones que puedan afectar a los intereses colectivos de los consumidores. Las autoridades competentes deben establecer mecanismos eficaces para fomentar la notificación de infracciones posibles o reales. Estos mecanismos deben entenderse sin perjuicio del derecho a la defensa de todo imputado.

(126)

Debe exigirse a los Estados miembros que establezcan sanciones y medidas administrativas efectivas, proporcionadas y disuasorias en relación con las infracciones de las disposiciones del presente Reglamento. Dichas sanciones administrativas, multas coercitivas y medidas administrativas deben cumplir determinados requisitos mínimos, incluidas las facultades mínimas que deben conferirse a las autoridades competentes para poder imponerlas, los criterios que las autoridades competentes deben tener en cuenta a la hora de aplicarlas, publicarlas y notificarlas. Los Estados miembros han de establecer normas específicas y mecanismos eficaces para la aplicación de las multas coercitivas.

(127)

Las autoridades competentes deben estar facultadas para imponer sanciones pecuniarias administrativas que sean suficientemente elevadas para contrarrestar los beneficios que puedan obtenerse y disuasorias incluso para grandes entidades.

(128)

A la hora de imponer sanciones y medidas administrativas, las autoridades competentes, al determinar el tipo de sanciones administrativas u otras medidas administrativas y la cuantía de las sanciones pecuniarias administrativas, deben tener en cuenta si anteriormente ya se había impuesto a la persona física o jurídica responsable alguna sanción penal por la misma infracción. El objetivo es garantizar que la severidad de las sanciones y otras medidas administrativas impuestas con fines punitivos en caso de acumulación de procedimientos administrativos y penales no exceda de lo necesario atendiendo a la gravedad de la infracción.

(129)

Un sistema de supervisión eficaz exige que los supervisores sean conscientes de las deficiencias en el cumplimiento por parte de los proveedores de servicios de pago de las normas del presente Reglamento. Por lo tanto, es importante que los supervisores puedan informarse mutuamente de las sanciones y medidas administrativas impuestas a los proveedores de servicios de pago, cuando dicha información también sea pertinente para otros supervisores.

(130)

La eficacia del marco de la Unión para los servicios de pago depende de la cooperación entre una amplia gama de autoridades competentes, incluidas las autoridades nacionales responsables de la fiscalidad, la protección de datos, la competencia, la protección de los consumidores, la auditoría, así como la policía y otras autoridades con funciones coercitivas. Los Estados miembros deben velar por que su marco jurídico permita y facilite la cooperación necesaria para alcanzar los objetivos del marco de la Unión para los servicios de pago, también mediante la correcta aplicación de sus normas. Dicha cooperación debe incluir el intercambio de información y la asistencia mutua para la ejecución efectiva de las sanciones administrativas, en particular en el cobro transfronterizo de sanciones pecuniarias.

(131)

Independientemente de su denominación con arreglo al Derecho nacional, en muchos Estados miembros pueden encontrarse ejemplos de procedimientos de ejecución acelerados o convenios transaccionales, que se utilizan como alternativa a los procedimientos formales para lograr más rápidamente que se dicte resolución por la que se imponga una sanción o medida administrativas o para poner fin a la presunta infracción y sus consecuencias antes de que se inicie un procedimiento sancionador formal. Si bien no parece conveniente tratar de armonizar a escala de la Unión esos métodos de ejecución que han introducido muchos Estados miembros, debido a la gran diversidad de enfoques jurídicos adoptados a nivel nacional, debe reconocerse que dichos métodos permiten a las autoridades competentes que pueden aplicarlos tramitar los casos de infracción de una manera más rápida, menos costosa y, en general, eficiente en determinadas circunstancias, por lo que deben fomentarse. No obstante, los Estados miembros no deben estar obligados a introducir dichos métodos de ejecución en su marco jurídico ni a obligar a las autoridades competentes a utilizarlos si no lo consideran oportuno.

(132)

Los Estados miembros han establecido y prevén actualmente una amplia gama de sanciones y medidas administrativas en caso de incumplimiento de las disposiciones clave que regulan la prestación de servicios de pago, así como los enfoques incoherentes para investigar y sancionar las infracciones de dichas disposiciones. Si no se establece con mayor claridad qué disposiciones básicas deben dar lugar a una aplicación suficientemente disuasoria en toda la Unión, se frustrará la realización del mercado único de servicios de pago y se correrá el riesgo de incentivar la búsqueda de un foro de conveniencia al estar las autoridades competentes mal equipadas para hacer cumplir rápidamente y con la misma disuasión estas infracciones en los Estados miembros.

(133)

Dado que la finalidad de las multas coercitivas es obligar a las personas físicas o jurídicas que han sido identificadas como responsables de una infracción en curso o están obligadas a cumplir una orden de la autoridad competente investigadora, a cumplir dicha orden o poner fin a la infracción en curso, la aplicación de multas coercitivas no debe impedir que las autoridades competentes impongan sanciones administrativas posteriores por la misma infracción.

(134)

Salvo disposición en contrario de los Estados miembros, las multas coercitivas deben calcularse diariamente.

(135)

Los Estados miembros deben facultar a las autoridades competentes para imponer sanciones y medidas administrativas a los proveedores de servicios de pago u otras personas físicas o jurídicas cuando proceda, a fin de remediar la situación en caso de infracción. El abanico de sanciones y medidas debe ser suficientemente amplio para permitir a los Estados miembros y a las autoridades competentes tener en cuenta las diferencias entre proveedores de servicios de pago, en particular entre las entidades de crédito y las entidades de pago, por lo que se refiere a su tamaño, sus características y la naturaleza de su actividad.

(136)

La publicación de una sanción o medida administrativa por infracción de las disposiciones del presente Reglamento puede tener un claro efecto disuasorio contra la repetición de dicha infracción. También informa a otras entidades de los riesgos asociados a los proveedores de servicios de pago antes de que entablen una relación de negocios y asiste a las autoridades competentes de otros Estados miembros en relación con los riesgos asociados a un proveedor se servicios de pago cuando opera en su Estado miembro con carácter transfronterizo. Por estos motivos, debe permitirse la publicación de las decisiones sobre sanciones y medidas administrativas siempre que se trate de personas jurídicas. Al adoptar la decisión de una sanción o medida administrativa, las autoridades competentes deben tener en cuenta la gravedad de la infracción y el efecto disuasorio que es probable que produzca la publicación. No obstante, cualquier publicación de este tipo que se refiera a personas físicas puede afectar de manera desproporcionada a sus derechos derivados de la Carta de los Derechos Fundamentales y de la legislación aplicable de la Unión en materia de protección de datos. Por consiguiente, la publicación debe producirse de forma anonimizada, salvo que la autoridad competente considere necesario publicar decisiones que contengan datos personales para la aplicación efectiva del presente Reglamento, también en el caso de declaraciones públicas o prohibiciones temporales. En tales casos, la autoridad competente debe justificar su decisión.

(137)

A fin de recopilar información más precisa sobre el nivel de cumplimiento de la legislación de la Unión sobre el terreno, al tiempo que se da más visibilidad a la actividad de ejecución de las autoridades competentes, es necesario ampliar el ámbito de aplicación y mejorar la calidad de los datos que las autoridades competentes comunican a la ABE. La información que debe comunicarse debe anonimizarse para cumplir las normas vigentes en materia de protección de datos y facilitarse de forma agregada para respetar el secreto profesional y las normas de confidencialidad en lo que respecta a los procedimientos. La ABE debe informar periódicamente a la Comisión sobre los avances de las medidas de ejecución en los Estados miembros.

(138)

Deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea con el fin de actualizar, para tener en cuenta la inflación, los importes por los que un ordenante puede verse obligado a soportar las pérdidas relacionadas con operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago perdido o robado o de la apropiación indebida de un instrumento de pago. Al preparar actos delegados, la Comisión debe garantizar que los documentos pertinentes se transmitan al Parlamento Europeo y al Consejo de manera simultánea, oportuna y adecuada.

(139)

Al objeto de garantizar una aplicación coherente del presente Reglamento, la Comisión debe poder confiar en los conocimientos y el apoyo de la ABE, que debe tener la responsabilidad de elaborar directrices y preparar proyectos de normas técnicas de regulación. La Comisión debe estar facultada para adoptar esos proyectos de normas técnicas de regulación. Cuando, de conformidad con el presente Reglamento y en virtud del Reglamento (UE) n.o 1093/2010, la ABE elabore directrices, proyectos de normas técnicas de regulación y proyectos de normas técnicas de ejecución, debe consultar a todas las partes interesadas, incluidas las del mercado de servicios de pago, a fin de reflejar todos los intereses involucrados.

(140)

De conformidad con el artículo 9, apartado 5, del Reglamento (UE) n.o 1093/2010, debe otorgarse a la ABE facultades de intervención de productos para poder prohibir o restringir temporalmente en la Unión determinado tipo o característica específica de un servicio de pago o servicios de dinero electrónico que se considere que puede causar daños a los consumidores y amenazar el funcionamiento ordenado y la integridad de los mercados financieros. Procede, por tanto, modificar el Reglamento (UE) n.o 1093/2010 en consecuencia. Antes de ejercer esas facultades, la ABE debe asegurarse de que, cuando proceda, ha consultado a los proveedores de servicios de pago o a terceros proveedores.

(140 bis)

La ABE debe disponer de todos los recursos necesarios, incluidos los recursos humanos, para cumplir su mandato en virtud del presente Reglamento.

(141)

El anexo del Reglamento (UE) 2017/2394 del Parlamento Europeo y del Consejo (33) debe modificarse para incluir una referencia al presente Reglamento, con el fin de facilitar la cooperación transfronteriza en la aplicación del presente Reglamento.

(142)

Dado que el objetivo del presente Reglamento, a saber, una mayor integración del mercado interior de servicios de pago, no puede ser alcanzado de manera suficiente por los Estados miembros, pues requiere la armonización de algunas normas diferentes del Derecho de la Unión y nacional, sino que, debido a su dimensión y efectos, puede lograrse mejor a escala de la Unión, esta última puede adoptar medidas de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en ese mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(143)

Dado que el presente Reglamento y la Directiva (UE) XXX (tercera Directiva sobre servicios de pago) establecen el marco jurídico que rige la prestación de servicios de pagos minoristas y de servicios de dinero electrónico en la Unión, a fin de garantizar la seguridad jurídica y la coherencia del marco jurídico de la Unión, el presente Reglamento debe aplicarse a partir de la misma fecha de aplicación de las disposiciones legales, reglamentarias y administrativas que los Estados miembros están obligados a adoptar para cumplir dicha Directiva. No obstante, las disposiciones que obligan a los proveedores de servicios de pago a verificar las discrepancias entre el nombre y el identificador único de un beneficiario en caso de transferencias y el régimen de responsabilidad correspondiente deben comenzar a aplicarse transcurridos veinticuatro meses desde la fecha de entrada en vigor del presente Reglamento, con lo que se concede a los proveedores de servicios de pago tiempo suficiente para adoptar las medidas necesarias para adaptar sus sistemas internos a fin de cumplir dichas obligaciones.

(144)

En consonancia con los principios de mejora de la legislación, el presente Reglamento debe revisarse en aras de su eficacia y eficiencia en la consecución de sus objetivos. La revisión debe tener lugar con tiempo suficiente a partir de la fecha de aplicación del presente Reglamento para que existan pruebas adecuadas en las que basarse. Cinco años se considera un período adecuado. Si bien la revisión debe tener en cuenta el presente Reglamento en su conjunto, debe prestarse especial atención a determinadas cuestiones, a saber, el funcionamiento de la banca abierta, el cobro de comisiones por servicios de pago y otras soluciones para luchar contra el fraude. No obstante, por lo que respecta al ámbito de aplicación del presente Reglamento, conviene que la revisión se lleve a cabo antes, tres años después de su entrada en vigor, dada la importancia que se concede a este asunto en el artículo 58, apartado 2, del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (34). La revisión del ámbito de aplicación debe considerar tanto la posible ampliación de la lista de servicios de pago cubiertos para incluir servicios como los prestados por sistemas de pago y regímenes de pago, como la posible inclusión en el ámbito de aplicación de algunos servicios técnicos actualmente excluidos.

(145)

El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea, en particular el derecho al respeto de la vida privada y familiar, a la protección de los datos de carácter personal, a la libertad de empresa, a la tutela judicial efectiva y a no ser acusado o condenado penalmente dos veces por el mismo delito. El presente Reglamento debe aplicarse respetando esos derechos y principios.

(146)

Las referencias a importes en euros han de interpretarse como referencias a los importes equivalentes en moneda nacional de los Estados miembros cuya moneda no es el euro.

(146 bis)

Los consumidores deben tener acceso a recursos proporcionados y efectivos, incluida la compensación por los daños sufridos. Dichos recursos deben entenderse sin perjuicio de la aplicación de otras medidas correctoras de que dispongan los consumidores en virtud del Derecho de la Unión o nacional.

(147)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (35), emitió su dictamen el [XX de XX de 2023] (36).

1)

«Estado miembro de origen»: uno de los siguientes:

2)

«Estado miembro de acogida»: el Estado miembro distinto del Estado miembro de origen en el cual el proveedor de servicios de pago tenga un agente, un distribuidor o una sucursal o preste servicios de pago;

3)

«servicio de pago»: cualquiera de las actividades empresariales de las enumeradas en el anexo I;

4)

«entidad de pago»: una persona jurídica a la cual se haya autorizado, de conformidad con el artículo 13 de la Directiva (UE) [tercera Directiva de servicios de pago], para prestar servicios de pago o servicios de dinero electrónico en toda la Unión;

5)

«operación de pago»: un ingreso, transferencia o retirada de fondos basados en una orden de pago cursada por el ordenante, o por cuenta de este, o por el beneficiario, o por cuenta de este, con independencia de cualesquiera obligaciones subyacentes entre el ordenante y el beneficiario;

6)

«iniciación de una operación de pago»: las medidas necesarias para preparar la ejecución de una operación de pago, incluida la emisión de la orden de pago y la finalización del proceso de autenticación;

7)

«iniciación remota de una operación de pago»: una operación de pago por la que se cursa una orden de pago a través de internet;

8)

«ejecución de una operación de pago»: el proceso que comienza una vez finalizada la iniciación de una operación de pago y acaba una vez que los fondos ingresados, retirados o transferidos están a disposición del beneficiario;

9)

«sistema de pago»: sistema de transferencia de fondos dotado de procedimientos formales y normalizados, así como de disposiciones comunes para el procesamiento, la compensación o liquidación de operaciones de pago;

10)

«operador de un sistema de pago»: la persona jurídica legalmente responsable del funcionamiento de un sistema de pago;

11)

«ordenante»: la persona física o jurídica titular de una cuenta de pago que autorice una orden de pago a partir de dicha cuenta, o, en caso de que no exista una cuenta de pago, la persona física o jurídica que curse una orden de pago;

12)

«beneficiario»: la persona física o jurídica que sea el destinatario previsto de los fondos que hayan sido objeto de una operación de pago;

13)

«usuario de servicios de pago»: la persona física o jurídica que utiliza un servicio de pago o un servicio de dinero electrónico, ya sea como ordenante, beneficiario o ambos;

14)

«proveedor de servicios de pago»: las entidades y organismos contemplados en el artículo 2, apartado 1, y las personas físicas o jurídicas que se acojan a las exenciones contempladas en los artículos 34, 36 y 38 de la Directiva (UE) [tercera Directiva de servicios de pago];

15)

«cuenta de pago»: cuenta abierta por un proveedor de servicios de pago a nombre de uno o varios usuarios de servicios de pago que se utiliza para ejecutar una o varias operaciones de pago y con la que se puede enviar fondos a terceros y recibir fondos de terceros;

16)

«orden de pago»: la instrucción cursada por un ordenante o un beneficiario a su proveedor de servicios de pago por la que se solicite la ejecución de una operación de pago;

17)

«orden»: manifestación de la autorización dada por el ordenante al beneficiario y (directa o indirectamente a través del beneficiario) al proveedor de servicios de pago del ordenante para que el beneficiario pueda iniciar la operación de pago con la que se efectuará un cargo en la cuenta de pago especificada por el ordenante y para que el proveedor de servicios de pago del ordenante pueda cumplir esas instrucciones;

18)

«instrumento de pago»: cualquier dispositivo o dispositivos individualizados y/o conjunto de procedimientos acordados entre el usuario de servicios de pago y el proveedor de servicios de pago para la iniciación de una operación de pago;

19)

«proveedor de servicios de pago gestor de cuenta»: un proveedor de servicios de pago que facilita a un ordenante una cuenta de pago y se encarga de su mantenimiento;

20)

«servicio de iniciación de pagos»: servicio que permite cursar una orden de pago, a petición del ordenante o del beneficiario, respecto de una cuenta de pago abierta con otro proveedor de servicios de pago;

21)

«servicio de información sobre cuentas»: servicio en línea consistente en recopilar, directamente o a través de un proveedor de servicios técnicos, y agregar la información sobre una o varias cuentas de pago de un usuario de servicios de pago en uno o varios proveedores de servicios de pago gestores de cuenta;

22)

«proveedor de servicios de iniciación de pagos»: un proveedor de servicios de pago que presta servicios de iniciación de pagos;

23)

«proveedor de servicios de información sobre cuentas»: un proveedor de servicios de pago que presta servicios de información sobre cuentas;

24)

«consumidor»: una persona física que, en los contratos de servicios de pago objeto del presente Reglamento, actúa con fines ajenos a su actividad comercial, empresarial o profesional;

25)

«contrato marco»: un contrato de servicio de pago que rige la ejecución futura de operaciones de pago individuales y sucesivas y que puede estipular la obligación de abrir una cuenta de pago y las correspondientes condiciones;

26)

«envío de dinero»: un servicio de pago que permite recibir fondos de un ordenante sin que se cree ninguna cuenta de pago en nombre del ordenante o del beneficiario, con el único fin de transferir una cantidad equivalente a un beneficiario o a otro proveedor de servicios de pago que actúe por cuenta del beneficiario, o recibir fondos por cuenta del beneficiario y ponerlos a disposición de este;

27)

«adeudo domiciliado»: el servicio de pago destinado a efectuar un cargo en la cuenta de pago del ordenante, cuando la operación de pago sea iniciada por el beneficiario sobre la base de la orden dada por el ordenante al beneficiario, al proveedor de servicios de pago del beneficiario o al proveedor de servicios de pago del ordenante;

28)

«transferencia»: servicio de pago, incluidas las transferencias inmediatas, prestado por el proveedor de servicios de pago que mantiene la cuenta de pago del ordenante o por el proveedor de servicios de pago que mantiene la cuenta de pago del beneficiario sobre la base de las instrucciones dadas por el ordenante, destinado a efectuar un abono en una cuenta de pago de un beneficiario mediante una operación de pago o una serie de operaciones de pago a partir de la cuenta de pago del ordenante;

29)

«transferencia inmediata»: una transferencia que se ejecuta inmediatamente, independientemente del día o la hora;

30)

«fondos»: el dinero del banco central en manos del público, el dinero escritural y el dinero electrónico;

31)

«fecha de valor»: momento utilizado por un proveedor de servicios de pago como referencia para el cálculo del interés sobre los fondos abonados o cargados a una cuenta de pago;

32)

«tipo de cambio de referencia»: tipo de cambio empleado como base para calcular el coste de conversión de divisas y que facilita el proveedor de servicios de pago o procede de una fuente accesible al público;

33)

«tipo de interés de referencia»: tipo de interés empleado como base para calcular los intereses que deban aplicarse y que procede de una fuente accesible al público que pueda ser verificada por las dos partes de un contrato de servicio de pago;

34)

«autenticación»: procedimiento que permite al proveedor de servicios de pago comprobar la identidad del usuario de un servicio de pago o la validez de la utilización de determinado instrumento de pago, incluida la utilización de credenciales de seguridad personalizadas del usuario;

34 bis)

«autorización»: permiso concedido en un procedimiento en el que el usuario de servicios de pago autentica una operación determinada libremente y con pleno conocimiento de todos los hechos pertinentes;

35)

«autenticación reforzada de cliente»: la autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario) que son independientes —es decir, que la vulneración de uno no compromete la fiabilidad de los demás— y concebida de manera que se proteja la confidencialidad de los datos de autenticación;

36)

«proveedor de servicios técnicos»: un proveedor de servicios que dan soporte a la prestación de servicios de pago, sin llegar a estar en ningún momento en posesión de los fondos que deban transferirse;

37)

«credenciales de seguridad personalizadas»: elementos personalizados que el proveedor de servicios de pago proporciona al usuario de servicios de pago a efectos de la autenticación;

38)

«datos de pago sensibles»: los datos que pueden utilizarse para cometer fraude, incluidas las credenciales de seguridad personalizadas;

39)

«identificador único»: una combinación de letras, números o signos especificados por el proveedor de servicios de pago al usuario de servicios de pago , o un proxy que esté asociado de manera única a esta combinación, y que el usuario de servicios de pago debe proporcionar a fin de identificar de forma inequívoca a otro usuario de servicios de pago o la cuenta de pago de ese otro usuario en una operación de pago;

40)

«técnica de comunicación a distancia»: todo medio que pueda utilizarse, sin la presencia física y simultánea del proveedor de servicios de pago y del usuario de servicios de pago, para la celebración de un contrato de servicios de pago;

41)

«soporte duradero»: todo instrumento que permita al usuario de servicios de pago almacenar la información dirigida a él personalmente, de modo que pueda acceder a ella posteriormente para consulta durante un período de tiempo adecuado para los fines a los que la información esté destinada, y que permita la reproducción sin cambios de la información almacenada;

42)

«microempresa»: empresa que, en la fecha de celebración del contrato de servicios de pago, sea una empresa tal como se define en el artículo 1 y el artículo 2, apartados 1 y 3, del anexo de la Recomendación 2003/361/CE;

43)

«día hábil»: un día de apertura comercial, a los efectos de la ejecución de una operación de pago, del proveedor de servicios de pago del ordenante o del beneficiario que interviene en la ejecución de la operación de pago;

44)

«agente»: una persona física o jurídica que presta servicios de pago por cuenta de una entidad de pago, excluidos los servicios de dinero electrónico;

45)

«sucursal»: un centro de actividad, distinto de la administración central, que constituye una parte de una entidad de pago, que está desprovisto de personalidad jurídica y que efectúa directamente todas o algunas de las operaciones inherentes a la actividad de la entidad de pago; todos los centros de actividad establecidos en un mismo Estado miembro por una entidad de pago cuya administración central esté en otro Estado miembro se considerarán una única sucursal;

46)

«grupo»: un grupo de empresas vinculadas entre sí en el sentido del artículo 22, apartados 1, 2 o 7, de la Directiva 2013/34/UE del Parlamento Europeo y del Consejo (40), o empresas de las contempladas en los artículos 4, 5, 6 y 7 del Reglamento Delegado (UE) n.o 241/2014 de la Comisión (41) que estén vinculadas entre sí en el sentido del artículo 10, apartado 1, o del artículo 113, apartado 6, párrafo primero, o apartado 7, párrafo primero, del Reglamento (UE) n.o 575/2013;

47)

«contenido digital»: bienes o servicios producidos y entregados o prestados en formato digital, cuya utilización o consumo depende del empleo de un dispositivo técnico y que no incluyen en modo alguno la utilización o consumo de bienes o servicios físicos;

48)

«adquisición de operación de pago»: un servicio de pago prestado por un proveedor de servicios de pago que ha suscrito un contrato con un beneficiario para la aceptación y el procesamiento de operaciones de pago que reporten una transferencia de fondos al beneficiario;

49)

«emisión de instrumentos de pago»: un servicio de pago prestado por un proveedor de servicios de pago que ha suscrito un contrato con el fin de proporcionar a un ordenante un instrumento de pago para la iniciación y el procesamiento de operaciones de pago del ordenante;

50)

«dinero electrónico»: todo valor monetario almacenado por medios electrónicos o magnéticos que representa un crédito sobre el emisor, que se emite al recibo de fondos con el propósito de efectuar operaciones de pago y que es aceptado por otras personas físicas o jurídicas distintas del emisor;

51)

«distribuidor»: una persona física o jurídica que distribuye o reembolsa dinero electrónico por cuenta de una entidad de pago;

52)

«servicios de dinero electrónico»: la emisión de dinero electrónico, el mantenimiento de cuentas de pago que almacenan unidades de dinero electrónico y la transferencia de unidades de dinero electrónico;

53)

«nombre comercial»: nombre utilizado comúnmente por el beneficiario en las operaciones comerciales y la promoción de su empresa para identificarse ante el ordenante;

54)

«proveedor de cajeros automáticos»: operador de cajeros automáticos que no mantiene cuentas de pago;

55)

«entidad de pago que presta servicios de dinero electrónico»: una entidad de pago que presta servicios de emisión de dinero electrónico, mantenimiento de cuentas de pago que almacenan unidades de dinero electrónico y transferencia de unidades de dinero electrónico, con independencia de si presta o no cualquiera de los servicios mencionados en el anexo I ;

55 bis)

«proveedor de servicios de comunicaciones electrónicas»: todo proveedor que entre en el ámbito de aplicación de:

a)

no obstante lo dispuesto en los artículos 19, 20 y 24, el proveedor de servicios de pago solo proporcionará al ordenante la información sobre las características principales del servicio de pago, incluida la forma de utilizar el instrumento de pago, la responsabilidad, las comisiones cobradas y demás información sustancial necesaria para tomar una decisión con conocimiento de causa, e indicará en qué lugar puede acceder fácilmente al resto de información y a las condiciones especificadas en el artículo 20;

b)

las partes del contrato marco podrán convenir que, no obstante lo dispuesto en el artículo 22, el proveedor de servicios de pago no tenga la obligación de proponer los cambios de las condiciones del contrato marco en la forma que establece el artículo 19, apartado 1;

c)

las partes del contrato marco podrán convenir que, no obstante lo dispuesto en los artículos 25 y 26, después de la ejecución de una operación de pago:

a)

confirmación de la correcta emisión de la orden de pago al proveedor de servicios de pago gestor de cuenta del ordenante;

b)

una referencia que permita al ordenante y al beneficiario identificar la operación de pago y, en su caso, al beneficiario identificar al ordenante, y cualquier información proporcionada junto con la operación de pago;

c)

el importe de la operación de pago;

d)

cuando proceda, el importe de las comisiones que deban abonarse por la operación al proveedor de servicios de iniciación de pagos y, en su caso, el correspondiente desglose de dichas comisiones.

a)

una referencia que permita al ordenante identificar la operación de pago, y la información necesaria para que el ordenante pueda identificar de forma inequívoca al beneficiario, incluido su nombre comercial;

b)

el importe de la operación de pago en la moneda utilizada en la orden de pago;

c)

el importe de las comisiones de la operación de pago que deba abonar el ordenante y, cuando proceda, el desglose de dichas comisiones;

d)

cuando proceda, el tipo de cambio utilizado en la operación de pago por el proveedor de servicios de pago del ordenante, o una referencia a aquel, cuando sea distinto del tipo proporcionado de conformidad con el artículo 13, apartado 1, letra e), y el importe de la operación de pago tras la conversión de divisa; y

e)

la fecha de recepción de la orden de pago.

a)

una referencia que permita al beneficiario identificar la operación de pago y, en su caso, al ordenante, y cualquier información proporcionada junto con la operación de pago;

b)

el importe de la operación de pago en la moneda en que los fondos se pongan a disposición del beneficiario;

c)

el importe de las comisiones de la operación de pago que deba abonar el beneficiario y, cuando proceda, el desglose de dichas comisiones;

d)

cuando proceda, el tipo de cambio utilizado en la operación de pago por el proveedor de servicios de pago del beneficiario y el importe de la operación de pago antes de la conversión de divisa;

e)

la fecha de valor del abono.

a)

sobre el proveedor de servicios de pago:

b)

sobre la utilización del servicio de pago:

c)

sobre las comisiones y los tipos de interés y de cambio:

d)

sobre la comunicación:

e)

sobre las medidas de salvaguardia y correctoras:

f)

sobre las modificaciones y la resolución del contrato marco:

g)

sobre la reparación:

a)

el plazo máximo de ejecución;

b)

las comisiones que debe abonar el ordenante expresadas en la moneda del pago y, en su caso, el margen porcentual sobre los tipos de cambio aplicables en comparación con un tipo de cambio de referencia que cumpla el Reglamento (UE) 2016/1011 ;

c)

cuando proceda, el desglose de las comisiones antes de que el ordenante ejecute el pago .

a)

comunicarse de forma segura con los proveedores de servicios de iniciación de pagos;

b)

inmediatamente después de la recepción de la orden de pago procedente de un proveedor de servicios de iniciación de pagos, proporcionar al proveedor de servicios de iniciación de pagos o poner a su disposición toda la información sobre la iniciación de la operación de pago y toda la información a la que tenga acceso el proveedor de servicios de pago gestor de cuenta relativa a la ejecución de la operación de pago al proveedor de servicios de iniciación de pagos;

c)

tratar las órdenes de pago transmitidas a través de los servicios de un proveedor de servicios de iniciación de pagos como si fueran órdenes de pago transmitidas directamente por el ordenante o el beneficiario, en particular en términos de plazos, prioridad o comisiones.

a)

utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago, que deberán ser objetivas, no discriminatorias y proporcionadas;

b)

en caso de extravío, robo o apropiación indebida del instrumento de pago o de sus credenciales de seguridad personalizadas pertinentes, o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.

a)

medidas técnicas para garantizar el respeto de los principios de limitación de la finalidad, minimización y limitación de la conversación de los datos, tal como se establecen en el Reglamento (UE) 2016/679, incluidas las limitaciones técnicas respecto de la reutilización de los datos y el uso de medidas de seguridad y protección de la privacidad de última generación, como la seudonimización o el cifrado;

b)

medidas organizativas, como la formación sobre el tratamiento de las categorías especiales de datos, la limitación del acceso a las categorías especiales de datos y el registro de dicho acceso.