Search

Autenticación reforzada de cliente (SCA) en los pagos online

2019-09-16 Artículos de opiniónEspañaEuropaNewslettersPropiedad Intelectual e Industrial

El pasado día 11 conocimos la decisión del Banco de España de ampliar el plazo que finalizaba el pasado día 14 para que se cumplieran con las obligaciones del Reglamento delegado 2018/389[1]. El Banco de España (BdE) hace así uso de la facultad, que de forma extraordinaria, concedió la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) a las autoridades nacionales para que puedan conceder un tiempo adicional limitado y trabajar con los Proveedores de Servicios de Pago (PSP) en la aplicación de la Autenticación Reforzada de Cliente (SCA, por sus siglas en inglés) en los pagos electrónicos. El BdE no ha fijado una fecha fin o un plazo de duración para ese tiempo adicional y se centrará en revisar los planes que presenten los PSP.

La Directiva 2015/2366[2] sobre servicios de pago del mercado interior, más comúnmente conocida como PSD2, pretende fomentar la competencia y la innovación, proteger a los consumidores y fortalecer los requisitos de seguridad de los pagos online. La Directiva se complementa con el Reglamento delegado en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes (SCA) y unos estándares de comunicación abiertos comunes y seguros (CSC, por sus siglas en inglés).

La SCA es un protocolo de autenticación de seguridad de doble verificación que la EBA estableció como parte de los Estándares Técnicos Regulatorios (RTS, por sus siglas en inglés) que desarrollan la PSD2 (que dieron lugar al Reglamento delegado). Este protocolo se ha convertido en el principal escollo para la implementación de la PSD2. Se considera que SCA es un elemento fundamental para el desarrollo del conocido como Open Banking.

La PSD2 actualiza la normativa establecida con la PSD1 e introduce una regulación de los servicios de pago que se venían prestando en el mercado pero que realmente quedaban fuera del ámbito de la PDS1, como son el servicio de iniciación de pago (PIS, por sus siglas en inglés) y el servicio de información de cuentas (AIS, por sus siglas en inglés), prestados por los conocidos como Third Party Providers (TPP).

Hasta la entrada en vigor de la PSD2 y el Reglamento delegado, la prestación de estos servicios implicaba hacer uso, mediante la técnica conocida como screen scraping, de las mismas credenciales de acceso a los servicios del propio titular de la cuenta de pago, lo que supone un riesgo elevado de seguridad.

Atendiendo al mandato de la PDS2, la EBA comenzó a trabajar en la definición de unos Estándares Técnicos Regulatorios (RTS, por sus siglas en inglés), en colaboración con el BCE, aplicables a los proveedores de servicios PIS y AIS. Las definición de estos estándares ha sido compleja y se ha centrado en la definición del SCA y el CSC. El resultado final ha sido el Reglamento delegado. La PSD2 y la autenticación reforzada de cliente significan por tanto nuevas reglas que vienen a modificar la manera en la que los proveedores de servicios de pago identifican a sus clientes.

Los procesos de autenticación reforzada de cliente sirven para determinar que un cliente es quien dice ser. SCA requerirá que los prestadores de servicios de pago verifiquen esa identidad empleando como mínimo dos datos independientes uno del otro, son los conocidos como factores de autenticación. Estos factores se han clasificado en tres grupos:

  • Conocimiento: algo que solo el cliente conoce.
  • Posesión: algo que solo el cliente tiene.
  • Inherencia: algo que el cliente es.

 

La autenticación reforzada del cliente en la PSD2

 

Fuente: Banco de España

 

Otro aspecto a considerar de la normativa es la obligación de que los Proveedores de Servicios de Pago desarrollen interfaces de programación abiertas (API, por sus siglas en inglés) para que los TPP que presten cualquier tipo de servicio, PIS o AIS, puedan comunicarse con ellos.

Todas estas cuestiones son las reguladas en el Real Decreto-ley Real Decreto-ley 19/2018[1] que transpone de forma parcial al ordenamiento español la PSD2.

Por último, no debemos olvidar otras normativas a tener en cuenta, como el Reglamento (EU) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, pues de lo que se trata es de datos personales por lo que podría ser necesarios acuerdos con los usuarios de los servicios de pago.

Habrá que estar atentos al plazo concreto que el BdE otorgue, pero en todo caso hay que trabajar para cumplir los requerimientos lo antes posible.

Autor: Sergio Muñoz

SUSCRÍBETE A NUESTRAS NEWSLETTERS

Sanciones Internacionales, Arbitraje, Litigios, Penal, Competencia ¡Y MUCHO MÁS!

Suscríbete aquí

Autor

  • Autenticación reforzada de cliente (SCA) en los pagos online
    Mercedes Olmedo Couceiro

    Civil, Mercantil, Procesal

    • previous
    Convenio Doble Imposición EE.UU.-España
    next
    Inmobiliario Dubai

    Noticias Relacionadas

    Las sanciones al uranio ruso: posible impacto y perspectivas globales
    Las sanciones al uranio ruso: posible impacto y perspectivas globales

    Tabla de contenidos1 Impacto económico de las sanciones al uranio ruso2 Impacto en la economía rusa y nuevas perspectivas3 Conclusión La industria del uranio es un pilar crucial para la economía mundial, debido a su papel esencial en la generación de energía nuclear. En el contexto geopolítico actual, varios países occidentales, incluidos los Estados Unidos,…

    Fátima Rodríguez - Abogacía Española
    Fátima Rodríguez ante el Tribunal de Justicia de la UE

    Fátima Rodríguez, responsable de las áreas Penal, Cumplimiento Normativo, Comercio Internacional y Sanciones Internacionales en LILF, escribe en Abogacía Española sobre su experiencia ante la Gran Sala del Tribunal de Justicia de la UE en una vista reciente sobre la prohibición de asesorar jurídicamente a empresas rusas.   El edificio del TJUE transmite grandeza y…

    La UE anuncia 14º paquete de sanciones contra Rusia
    La UE anuncia 14º paquete de sanciones contra Rusia

    Tabla de contenidos1 NUEVAS DESIGNACIONES2 MEDIDAS ENERGÉTICAS3 MEDIDAS CONTRA LA ELUSIÓN4 FINANZAS5 FINANCIACIÓN DE PARTIDOS POLÍTICOS Y OTRAS ORGANIZACIONES6 TRANSPORTE7 CONTROLES DE IMPORTACIÓN Y EXPORTACIÓN8 PROTECCIÓN DE LOS OPERADORES DE LA UE9 RESTRICCIONES DE LOS DERECHOS DE PROPIEDAD INTELECTUAL10 ACLARACIONES Y MODIFICACIONES SOBRE LA PROHIBICIÓN DE DIAMANTES La Unión Europea ha adoptado su decimocuarto paquete de…

    Esta página web usa cookies

    Las cookies de este sitio web se usan para personalizar el contenido y analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de análisis web, quienes pueden combinarla con otra información que les haya proporcionado o que hayan recopilado a partir del uso que haya hecho de sus servicios.

    Aceptar todas las cookies Rechazar todas las cookies
    Close Popup
    ¡Configuración de cookies guardada!
    Configuración de Privacidad

    A continuación, puedes elegir qué tipo de cookies permite en este sitio web. Podrá revocar este consentimiento, obtener más información e informarse de sus derechos en la Política de cookies. *Para guardar tu configuración acepta o rechaza las cookies que desees y haz clic en el botón cerrar.

    Funcionales Analíticas y Publicidad Comportamental
    Funcionales
    • wp-wpml_current_language
    • bm_sz
    • _abck
    • ak_bmsc
    • __cf_bm
    • wordpress_gdpr_cookies_allowed
    • wordpress_gdpr_cookies_declined
    • wordpress_gdpr_allowed_services
    • MCPopupClosed
    Rechazar todos los servicios
    Save
    Acepto todos los servicios