Autenticación reforzada en España: plazo adicional para implementar los requisitos establecidos en la PSD2

Written on 23 Oct 2019

A pesar de que los proveedores de servicios de pago tenían la obligación de haber implementado mecanismos para la autenticación reforzada de clientes en la prestación de sus servicios desde el 14 de septiembre de este año, una gran cantidad de proveedores no estaban preparados para aplicar los requisitos de SCA para dicha fecha. Por ello, el Banco de España concedió un plazo adicional limitado para la implementación, de forma excepcional, y a fin de evitar efectos negativos para los usuarios de los servicios de pagos.

La Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) 1093/2010 y se deroga la Directiva 2007/64/CE; (en adelante, "PSD2" o "segunda directiva de pagos") introdujo el concepto de la autenticación reforzada de clientes (SCA, por las siglas en inglés de strong customer authentication). La implementación de la SCA permitirá reforzar la seguridad de los usuarios de los servicios de pago, y reducir el riesgo de fraude en las transacciones por medios electrónicos. No obstante, la PSD2 no define detalladamente las obligaciones que implica la implementación de la SCA en los servicios de pago, y se limita a establecer obligaciones generales para que los Estados Miembros adopten las medidas necesarias para garantizar la seguridad de los pagos electrónicos.

Por ello, y como medida fundamental para la consolidación del Mercado Único Digital, la Comisión Europea ha armonizado las medidas concretas que deben aplicar los proveedores de servicios de pago en la implementación de la SCA mediante el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (“Reglamento NTR”, conforme a las siglas de Normas Técnicas de Regulación). El propio Reglamento NTR establecía que la mayoría de sus disposiciones serían exigibles a partir del 14 de septiembre de 2019.

Así, el Reglamento NTR desarrolla las obligaciones exigibles a los proveedores de servicios de pago, las cuales deben permitir verificar que las transacciones electrónicas se efectúan por el usuario legítimo de los servicios, y que deben servir para adaptarse a la creciente aparición de nuevas amenazas en la seguridad de los pagos electrónicos. Los requisitos de la SCA deberán aplicarse (salvo en determinados supuestos que se encuentran exentos) cuando el ordenante de un pago: (i) acceda a su cuenta de pago en línea; (ii) inicie una operación de pago electrónico; (iii) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos. A pesar de la imperiosa necesidad de que los pagos electrónicos sean todo lo seguros que deben ser, una implementación de los requisitos de SCA de forma desacompasada, prematura y no unificada puede implicar un rechazo indiscriminado de ciertos pagos, surtiendo graves efectos sobre usuarios y comercios españoles.

Por ello, el Banco de España ha emitido una nota informativa concediendo una moratoria en la implementación de la SCA, en la forma de una revisión de los planes de migración previstos conforme a una "flexibilidad condicionada", la cual pretende evitar las potenciales consecuencias negativas que para el comercio electrónico tendría exigir los requisitos de esta a los diferentes operadores, sin estar preparados para ello. El posicionamiento del Banco de España se alinea con la Opinión de la Autoridad Bancaria Europea (ABE) –autoridad encargada de supervisar la coherencia de la implementación de SCA en toda la UE– publicada el 21 junio de 2019: permitir que las autoridades competentes nacionales concedan un plazo adicional, que facilite a los proveedores migrar hacia soluciones de autenticación que cumplan con SCA.

En este escenario, una de las principales iniciativas para la implementación paulatina de las obligaciones de SCA la han planteado las principales asociaciones de banca de España, que publicaron en julio de 2019 el borrador del "Plan de acción para la aplicación de la autenticación reforzada sobre el pago con tarjeta" (el "Plan de Acción"), el cual analiza las principales implicaciones de la aplicación del Reglamento NTR en el comercio electrónico, y propone los pasos a seguir para la plena adopción de los elementos del SCA de forma paulatina y en un plazo razonable de tiempo. De esta manera, se pretende minimizar el potencial impacto de la aplicación del SCA, sin tener que comprometer la seguridad en los pagos.

El Plan de Acción adecúa los plazos de tiempo que los diferentes actores económicos necesitan para adaptar sus respectivas plataformas a las nuevas exigencias, sin perjudicar desproporcionadamente la experiencia de los usuarios de servicios de pago. De conformidad con lo establecido en el Plan de Acción, los comercios deberán haber implementado los nuevos estándares de seguridad en los pagos de sus clientes antes de noviembre de 2020, alcanzando así un equilibrio adecuado entre seguridad de los pagos electrónicos, accesibilidad y facilidad de uso. El Plan de Acción toma como referencia las especificaciones de seguridad del protocolo 3D Secure 2.2 (estándar de mayor seguridad en la actualidad), pero durante el período transitorio mantendría la combinación del número de tarjeta junto el CVV y la fecha de caducidad de la tarjeta como elemento de identificación, mientras se introducen de manera escalonada nuevos sistemas de autenticación reforzada.

Por su parte, la ABE ha publicado el pasado 16 de octubre de 2019 otra Opinión en la que establece el 31 de diciembre de 2020 como fecha límite para la implementación de la autenticación reforzada del cliente por parte de los proveedores de servicios de pago. Esta Opinión ha sido acogida por parte del Banco de España mediante una segunda nota informativa publicada dos días después, en la que anuncia que adaptará sus revisiones de los planes de migración de los proveedores al nuevo plazo fijado. Conforme a este escenario, si las entidades adheridas a las mencionadas asociaciones de banca siguen adecuadamente lo dispuesto en el Plan de Acción, puede augurarse que una mayoría de proveedores de servicios de pago en España cumplirá con las obligaciones de SCA en los plazos establecidos.