Desde el 14 de septiembre, los proveedores de servicios de pago electrónicos deben garantizar la autenticación reforzada del cliente, una medida para la que el Banco de España ha concedido una prórroga.
El pasado 14 de septiembre de 2019 entró en vigor el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros, uno de cuyos objetivos es mejorar la seguridad de los pagos y reducir el fraude en el proceso de autenticación al hilo de la nueva Directiva de Servicios de Pago (PSD2).
A partir de la citada fecha, los proveedores de servicios de pago (PSPs) tienen que aplicar la autenticación reforzada del cliente (SCA) en los pagos electrónicos, que en adelante debe basarse en dos de los siguientes tres elementos:
- Factor de Conocimiento: algo que el cliente sabe: por ejemplo, una contraseña personal.
- Factor de Posesión: algo que el cliente posee, por ejemplo, su dispositivo móvil.
- Factor de Inherencia: algo que el cliente es, por ejemplo, su huella dactilar.
No obstante, tal y como ha reconocido la European Banking Authority (EBA) en su Opinión de 21 de junio de 2019 en respuesta a las continuas demandas del sector, los mercados de pagos en la UE presentan complejidades relevantes y desafíos derivados de los cambios –principalmente tecnológicos– que se requieren, en particular, por parte de actores que no son PSP (tales como comercios electrónicos) y que, por tanto, no están directamente sujetos a PSD2 y las guías técnicas publicadas por la EBA. Esta circunstancia, desde el punto de vista de la EBA, hacía aconsejable una prórroga en la efectiva aplicación de los requisitos SCA.
En este contexto, el Banco de España, como supervisor competente en la materia en nuestro país, ha adoptado junto con otros supervisores nacionales y supranacionales la resolución de aplicar una moratoria por tiempo limitado en la aplicación de los nuevos requisitos de SCA derivados de dicho Reglamento. Todo ello con el fin de evitar posibles efectos negativos para algunos usuarios de servicios de pagos tras el 14 de septiembre.
Así, en su Nota informativa de 11 de septiembre de 2019 el Banco de España ha comunicado al sector que la EBA acepta de manera excepcional que los PSPs y otras partes interesadas –incluyendo consumidores y comercios–, elaboren, acuerden con el supervisor y ejecuten de forma urgente planes para la efectiva migración hacia soluciones que cumplan con los requisitos de la SCA. El Banco de España no ha concretado un plazo específico para la presentación de estos planes.