Garrigues Digital_

Innovación legal en la economía 4.0

 

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

La DSP2 y el Reglamento NTR exigen medidas de autenticación reforzada en los pagos 'online'

El mundo de los pagos online en la Unión Europea va a verse próximamente afectado por un cambio muy relevante: la exigencia de medidas de autenticación reforzada de clientes derivadas de la entrada en vigor del Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017 (“Reglamento NTR”). El Reglamento NTR complementa, en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos, comunes y seguros, la Directiva (UE) 2015/2366 de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior (la conocida como “DSP2”).

El plazo para la transposición de la DSP2 a derecho interno en los estados miembros finalizó el pasado 13 de enero de 2018 (en España, el Anteproyecto de Ley para su transposición ha sido aprobado por el Gobierno el pasado 18 de mayo de 2018). Es sabido que entre los objetivos de la DSP2 están el conseguir unos pagos más seguros e incrementar la protección de los consumidores, además de promover la innovación y la competencia en un contexto de terreno de juego nivelado para todos los operadores.

En este entorno, para reducir el riesgo de fraude en las transacciones electrónicas y mejorar la protección de los datos de clientes, la DSP2 prevé el establecimiento de medidas de autenticación reforzada de clientes, basadas en al menos dos de tres elementos: conocimiento, posesión e inherencia; y la exigencia de requisitos adicionales para las operaciones remotas de pago electrónico (código de autenticación único con vinculación dinámica, generado para cada operación de pago y específico para cada importe y beneficiario).

A diferencia del resto de previsiones de la DSP2, las relativas a autenticación reforzada de clientes quedaron pendientes de la elaboración y publicación de las normas técnicas de regulación, lo que ha quedado completado con la publicación del Reglamento NTR. El inicio de su aplicación general se producirá el 14 de septiembre de 2019, con la salvedad de determinadas obligaciones para los operadores de servicios de pago gestores de cuentas, que entran en vigor con anterioridad a esa fecha. Y, por tratarse de un Reglamento, será obligatorio y directamente en todos los estados miembros a partir de esa fecha sin necesidad de una norma interna.

La inquietud acerca de estas exigencias no viene solo del lado de los proveedores de servicios de pago que estarán obligados a implantarlas: los propios operadores de comercio electrónico, que son los beneficiarios de los pagos, temen que un exceso de medidas de seguridad afecte a la usabilidad y a la experiencia de usuario en las transacciones online, y provoque un incremento significativo de las tasas de abandono de procesos de compra por los usuarios. 

En próximas entradas nos detendremos en los requisitos que Reglamento NTR establece para los elementos de autenticación reforzada de clientes: los categorizados como “conocimiento” (algo que solo conoce el usuario), los elementos categorizados como posesión  (algo que solo posee el usuario), y los dispositivos y programas informáticos que leen los elementos categorizados cono “inherencia” (algo que es el usuario es). También exploraremos a qué transacciones afecta y las distintas exenciones a la aplicación de medidas de autenticación  reforzada, en función del riesgo, la cuantía o la sujeción a procedimientos o protocolos específicos. Y analizaremos especialmente las exigencias  de código de autenticación único y su potencial incidencia en los procesos de pago de transacciones online