Los despachos especializados ayudan a las entidades bancarias a adaptarse al impacto de la directiva PSD2 para pagos

Mejorar la seguridad de las operaciones de pago y extender la presencia de proveedores tecnológicos junto a las entidades bancarias en un nuevo entorno de «open banking» (banca abierta) son dos de las claves de la normativa PSD2, cuyo último hito temporal acaba de entrar en vigor.

Un nicho de mercado que emerge para los abogados especializados en el sector financiero a nivel de asesoramiento jurídico.

José María Olivares, socio del despacho finReg, especializado en ofrecer asesoramiento legal a entidades financieras señala que “PSD2 es una normativa compleja que cambia el modelo de negocio de entidades bancarias y proveedores tecnológicos, porque surgen nuevos actores como los iniciadores de pagos y los agregadores de información, y los bancos tienen que facilitar el acceso a las cuentas de sus clientes a estos nuevos actores. Surgen nuevos derechos y obligaciones para estas entidades y también para los clientes”.

Recuerda que su entrada en vigor fue escalonada y que el último hito fue el pasado 14 de septiembre, «fecha en la que se cumplen dieciocho meses de la entrada en vigor de los estándares técnicos de PSD2 sobre autenticación reforzada de clientes y estándares de comunicación, que se recogen en el reglamento comunitario que complementan la directiva PSD2. En ese reglamento se marca como fecha de su aplicación el 14 de septiembre de 2019 en toda la UE», aclara este jurista.

La PSD2 en España no se tramitó en el Parlamento sino que se publicó por medio de uno de los famosos Reales Decretos Ley de Pedro Sánchez el otoño pasado “y estamos a la espera de conocer el Real Decreto que desarrollará esta norma en nuestro país, pero por encima nos viene dado este reglamento del que hablamos y su entrada en vigor en Europa”.

Esta normativa, uno de cuyos objetivos es mejorar la protección al cliente en sus transacciones online, “afecta a varias cuestiones. La primera es la autentificación del cliente que realiza operaciones de pago o que efectúa otras actuaciones relacionadas con pagos (por ejemplo, acceder a su banca online, o iniciar operaciones de pago electrónico).  Se han reforzado los requisitos necesarios para realizar estas las operaciones o actuaciones y se habla de autenticación reforzada como nuevo paradigma”.

Esto significa, por ejemplo, que, para autorizar cualquier operación de pago, deben cumplirse varios elementos “que deben ser independientes entre sí, esto es, que si uno de ellos se quebranta, no comprometa la fiabilidad de los demás. De estos tres factores deben cumplirse al menos dos: algo que solo el cliente sabe (que puede ser una contraseña o un pin), algo que solo el cliente tiene (por ejemplo, un móvil o un ordenador) y, por último, algo que solo el cliente es (este último es el requisito de inherencia)”, explica Olivares.

Ha habido mucho revuelo en el mercado especulando sobre la posibilidad de que se pudiera retrasar la aplicación de estas últimas reglas de PSD2, concediendo un plazo adicional de adaptación a las entidades.

No obstante, finalmente es solo en lo relativo a la iniciación de pagos electrónicos donde el Banco de España concederá más tiempo a los proveedores de servicios de pago para que se adapten a los requerimientos de autenticación reforzada que entraron en vigor el 14 de septiembre, y que, entre otras cosas, exigen a los usuarios una autenticación de su identidad a través de dos de los tres factores señalados.

José María Olivares, socio del despacho finReg, especializado en ofrecer asesoramiento legal a entidades financieras.

Una normativa que mejora la seguridad de los pagos

Uno de los objetivos del Reglamento Delegado (UE) 2018/389 es «mejorar la seguridad de los pagos y reducir el fraude en el proceso de autenticación», recuerda el Banco de España en una nota remitida este miércoles.

Aunque todos los proveedores de servicios de pago deberían cumplir con los nuevos requisitos antes del 14 de septiembre, la Autoridad Bancaria Europea (EBA) reconoce la complejidad de los mercados de pagos y la necesidad de hacer cambios que permitan a los emisores aplicar esa autenticación reforzada.

En particular, añade la nota, aquellos que afectan a actores involucrados que no tienen la condición de proveedores de servicios de pago (PSPs), como los comercios electrónicos.

Por eso, la EBA acepta que «de manera excepcional» las autoridades nacionales competentes puedan trabajar con los PSPs y otras partes interesadas, incluyendo consumidores y comercios, para conceder un tiempo adicional «limitado» que permita a los emisores de instrumentos de pago y a los adquirentes de operaciones migrar hacia soluciones que cumplan con los requisitos de autenticación.

Esta flexibilidad supervisora -cuya extensión no se menciona en ningún momento- se condiciona a que los proveedores de servicios de pago acuerden con sus respectivas autoridades nacionales competentes los correspondientes planes de migración y los ejecuten «de forma urgente».

El Banco de España, en el marco de esa flexibilidad, está trabajando con las autoridades europeas para asegurar «el debido cumplimiento de la Directiva», añade la entidad, que revisará los planes de migración que presenten los proveedores de servicios de pago.

No obstante, el Banco de España no se ha pronunciado sobre otros requisitos de PSD2 cuya aplicación comenzó el pasado 14 de septiembre, por lo que hay que entender que no se ha concedido plazo adicional para cumplirlos.

Por ejemplo, el requisito de que todos los proveedores de servicios de iniciación de pagos (iniciadores), así como los proveedores de servicios de información sobre cuentas (agregadores), cuenten con la debida autorización o registro del Banco de España para prestar los servicios.

Acaba para ellos el período transitorio previsto en PSD2 durante el cual podían continuar realizando su actividad sin cumplir dichos requisitos.

Por otra parte, desde el 14 de septiembre las interfaces que deben tener disponibles los bancos (denominadas “APIs” en el argot) para facilitar el acceso a iniciadores y agregadores a las cuentas de los clientes deben cumplir con las especificaciones de PSD2.

Otro elemento importante es que entidades financieras y proveedores tecnológicos tendrán que desarrollar políticas específicas de prevención del fraude.

En este contexto será el compliance officer el encargado de la gestión de dicha política y de evitar nuevos riesgos y realizar comunicaciones al Banco de España de forma periódica,

Sobre las sanciones por no cumplir esta normativa  se ha creado un régimen sancionador similar al que se aplica a las entidades de crédito, con lo cual ante incumplimientos de la normativa dicha sanciones son gravosas, desde un plano administrativo

De esta forma podría   haber sanciones para la persona jurídica, entidad bancaria o de pago o sus altos directivos y administradores, siempre que tengan responsabilidad en el incumplimiento. Junto con las multas puede haber sanciones de destitución o suspensión de los administradores, se trata como puede verse de un régimen similar al bancario que ya existe.

Noticias Relacionadas:

El Consejo General de Procuradores convoca elecciones a su Comité Ejecutivo para el 25 de octubre

El Tribunal Constitucional reconoce el derecho a la vivienda y desestima quejas contra la Ley 12/2023

Scarlett Johansson denuncia que ChatGPT usó su voz sin su consentimiento y la compañía dice que «por deferencia» la ha retirado de «Sky»

Cinco UTEs presentan sus ofertas para diseñar y construir la Ciudad de la Justicia en Madrid

Renfe nombra a Joaquim Hortalà nuevo secretario general y director de la Asesoría Jurídica

Llamar «cuervos togados» a los jueces no es delito: el Alto Tribunal ampara la libertad de expresión de Puigdemont