Wednesday, 02 October 2019

Open Banking y la autenticación reforzada

VolverComo consecuencia de los riesgos de seguridad que implicaban los pagos electrónicos, el Parlamento Europeo y el Consejo vio la necesidad de establecer nuevas disposiciones que colmasen las lagunas legales que aportasen más claridad jurídica y garantizasen una aplicación uniforme del marco regulador en la Unión Europea. La inseguridad jurídica, los posibles riesgos de seguridad en la cadena de pago y desprotección de los consumidores en determinados terrenos, así como la dificultad de los proveedores de servicios de pago para lanzar servicios de pago digitales innovadores, eran, entre otras, las principales causas que dieron lugar a la derogación y sustitución de la Directiva 2007/64/CE por la Directiva 2015/2366, de 25 de noviembre de 2015.

El 23 de noviembre de 2018 se publicaba el Real Decreto-ley 19/2018, de servicios de pago y otras medidas urgentes en materia financiera, de nuevo con retraso como ha pasado en otras ocasiones con otras normas. Este Real Decreto transpone la Directiva 2015/2366 y tiene como principales objetivos facilitar y mejorar la seguridad en el uso de sistemas de pago a través de internet, reforzar el nivel de protección al usuario contra fraudes y abusos potenciales, así como promover la innovación de los servicios de pago a través del móvil y de internet.

Como resultado de esta nueva Directiva PSD2 y su transposición en el Reino de España con el Real Decreto-ley, objeto del presente breve análisis, aparte de dotar de mayor seguridad jurídica los avances tecnológicos y la promoción de la innovación de los servicios de pago, lleva consigo algunos cambios novedosos con respecto a la antigua Ley de servicios de pago, como son la prohibición de que el beneficiario de la operación de pago exija al ordenante el pago de gastos o cuotas adicionales por la utilización de cualesquiera instrumentos de pago. Es decir, la prohibición de aplicar recargos.

Otro cambio que se introduce es la limitación de la responsabilidad del ordenante en caso de operaciones de pago no autorizadas. Con este nuevo Real Decreto-ley, el ordenante podrá quedar obligado a soportar hasta un máximo de 50 euros las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero. En la antigua Ley el límite de la responsabilidad llegaba hasta los 150 euros.

Pese a lo anterior, las más significativas y novedosas medidas de seguridad entraban en vigor el pasado 14 de septiembre, relativas al “open banking” (entidades reguladas y sometidas a la supervisión del Banco de España) y el nuevo sistema de autenticación reforzada, englobados en los artículos 37, 38, 39 y 68 del Real Decreto-ley, que a continuación explicaremos.

Los artículos 37-39 vienen a regular dos nuevos servicios de pago: la iniciación de pagos y la información sobre cuentas. Ambos servicios suponen el acceso de terceros a las cuentas de los usuarios de servicios de pago. Los servicios de iniciación de pagos permiten al proveedor, previo consentimiento del ordenante del pago, dar al beneficiario de la orden de pago la seguridad de que el pago se ha iniciado. La finalidad de esta operativa es dotar de confianza al beneficiario para que entregue el bien o preste el servicio sin dilación desde el momento en el que se da la orden de pago para el supuesto de pagos que se realicen sin tarjeta. Es decir, para aquéllos casos en los que, por ejemplo, se realice un pago sin tarjeta a través de Internet, pagando el producto desde una pasarela de pago como puede ser PayPal.

Por otra parte, los servicios de información sobre cuentas proporcionan al usuario del servicio de pago información agregada en línea sobre una o varias cuentas de pago mantenidas en sus proveedores de servicios de pago, permitiendo de esta manera al usuario del servicio de pago tener en todo momento una información global e inmediata de su situación financiera. Este tipo de servicio de pago se puede ofrecer a través de Apps.

El artículo 68 se refiere a los procedimientos de autenticación reforzada de clientes, por lo que los proveedores de servicios de pago deberán de aplicar este procedimiento cuando el ordenante: (i) acceda a su cuenta de pago en línea; (ii) inicie una operación de pago electrónico; o (iii) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos. Para ello, los proveedores de servicios de pago contarán con medidas de seguridad adecuadas para proteger la confidencialidad y la integridad de las credenciales de seguridad personalizadas de los usuarios de los servicios de pago. Este tipo de autenticación se viene aplicando actualmente por numerosos proveedores de servicios de pago, debiendo introducir una clave conocida por el usuario al realizar una compra online y debiendo de introducir adicionalmente otra clave enviada al teléfono móvil del ordenante –One Time Password- (OTP).

Desde el Departamento de Derecho Digital de Belzuz Abogados, S.L.P., y gracias a nuestra extensa experiencia en el asesoramiento a proveedores de servicios de pago y entidades de crédito, consideramos la importancia de adaptar nuestra regulación nacional a los nuevos cambios tecnológicos permitiendo a los usuarios disponer de forma segura y fiable de nuevos servicios de pago, como es el caso del open banking o el sistema de autenticación reforzada.

Digital Law department | Madrid (Spain)

 

Belzuz Abogados SLP

This publication contains general information not constitute a professional opinion or legal advice. © Belzuz SLP, all rights are reserved. Exploitation, reproduction, distribution, public communication and transformation all or part of this work, without written permission is prohibited Belzuz, SLP.

Madrid

Belzuz Abogados - Madrid office

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

This email address is being protected from spambots. You need JavaScript enabled to view it.

Lisbon

Belzuz Abogados - Lisbon office

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisbon

+351 21 324 05 30

+351 21 347 84 52

This email address is being protected from spambots. You need JavaScript enabled to view it.

Oporto

Belzuz Abogados - Oporto office

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

This email address is being protected from spambots. You need JavaScript enabled to view it.

Associations

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa