La Comisión Europea publica los estándares técnicos regulatorios (RTS) en relación con la directiva PSD2

Los proveedores de servicios de pago deben tener en cuenta, para su adaptación a la nueva PSD2, los RTS publicados por la Comisión Europea el pasado 27 de noviembre.

Estos RTS están alineados con los objetivos de dicha Directiva, es decir, reforzar la protección del consumidor y mejorar la competencia y la igualdad de condiciones en un entorno en constante cambio.

Lo anterior es posible a través del fortalecimiento en la seguridad de los pagos electrónicos, por ello los RTS publicados desarrollan medidas de seguridad para reforzar la autenticación del cliente, introduciendo requisitos a los proveedores de servicios de pago tanto en procesos de pago como en la prestación de servicios accesorios.

Qué novedades introducen

Al convertir la autenticación del cliente en la base del acceso y operativa sobre cuentas de pago, los RTS ya establecen que la identificación de los usuarios deberá realizarse a través de al menos dos de los siguientes elementos:

  • Una contraseña o un código PIN.
  • Una tarjeta o un móvil.
  • Un control biométrico, como la aportación de la huella dactilar o un escáner de retina.

Asimismo se establece, para pagos online, el uso de una clave de un solo uso, que evite reutilizar la información para iniciar una transacción si se accediera a la misma de forma no autorizada.

Por tanto, los bancos y otros proveedores de servicios de pago deberán implementar la infraestructura y procedimientos necesarios para una adecuada identificación de sus clientes, así como mecanismos para la gestión del fraude. Además su implementación, evaluación y auditoría tendrá que comprobarse, para evitar la responsabilidad de las entidades en caso de pagos fraudulentos.

Otra de las novedades más relevantes de los RTS es su aplicación a los casos en que los pagos se inician a través de proveedores de servicios de iniciación de pagos (PISP) o cuando los titulares de cuentas solicitan información a través de un proveedor de servicios de información de cuentas (AISP).

También recogen los RTS novedades relativas a las órdenes de pago realizadas en grupos o lotes, que es el mecanismo en el que suelen operar las empresas (en lugar de realizar dichas órdenes de manera individualizada).

Cuándo entran en vigor

Las medidas de seguridad que exige la PSD2 y que desarrollan los RTS serán de aplicación una vez transcurridos 18 meses desde su entrada en vigor y publicación en el Diario Oficial de la UE.

Debido a que están sujetas a la posterior aprobación del Consejo y del Parlamento Europeo, se estima que empiecen a aplicarse a partir de septiembre de 2019.

Accede a la página de la Comisión Europea donde se han publicado las RTS y al Informe “Waiting until the Eleventh Hour” elaborado por PwC, sobre la reacción de las entidades bancarias europeas ante la inminente entrada en vigor de la PSD2.

Periscopio: