Las normas técnicas de regulación han sido elaboradas por la Autoridad Bancaria Europea en estrecha colaboración con el Banco Central Europeo, y detallan la forma en que debe aplicarse todo sistema de autenticación fuerte de cliente.

En la mayoría de los casos, el mero hecho de introducir una contraseña o comunicar los datos que figuran en una tarjeta de crédito, no bastará para poder efectuar un pago. En determinados casos, será necesario un código que solo sea válido para una operación determinada junto con los otros dos elementos independientes. El objetivo es reducir significativamente los niveles de fraude actuales en todos los métodos de pago, en especial los pagos en línea, y proteger la confidencialidad de los datos financieros de los usuarios.

No obstante, las normas también reconocen que, en ciertos casos, pueden alcanzarse unos niveles aceptables de seguridad en los pagos a través de medios distintos de la utilización de los dos elementos independientes requeridos por un sistema de autenticación fuerte de cliente. Por ejemplo, los proveedores de servicios de pago pueden quedar exentos de este sistema si han desarrollado métodos de evaluación de los riesgos de las transacciones y pueden detectar las transacciones fraudulentas. También existen exenciones para los pagos sin contacto y las transacciones por importes pequeños, y para determinados tipos de pagos, tales como las tarifas del transporte urbano o las tasas de estacionamiento. Gracias a estas exenciones, los prestadores de servicios de pago pueden mantener la comodidad de los pagos sin poner en peligro la seguridad de los mismos.

Las normas también especifican la obligación de aplicar soluciones de pago innovadoras y herramientas de información sobre cuentas impuesta a los bancos y a los proveedores. Los consumidores que deseen utilizar estos nuevos servicios no pueden verse impedidos de hacerlo por su banco. Cualquier banco que ofrezca un acceso en línea a las cuentas también debe cooperar con las compañías de tecnología financiera o con otros bancos que presten estos nuevos servicios. A tal fin, los bancos deberán establecer canales de comunicación seguros para la transmisión de datos y el inicio de los pagos.

Los consumidores se beneficiarán de una oferta y una competencia mayores a la hora de pagar bienes y servicios adquiridos en línea. También podrán gestionar sus finanzas personales con más eficacia, a través de aplicaciones que agregan la información de sus cuentas mantenidas en bancos distintos.

Captura de foto vía http://www.frbsf.org/

Estas normas aplican la Segunda Directiva sobre servicios de pago (DSP2), recientemente revisada, que está encaminada a modernizar los servicios de pago europeos para que sigan el ritmo de este mercado en rápida evolución y a fomentar la expansión del mercado europeo del comercio electrónico. Las normas permitirán a los consumidores utilizar los servicios innovadores ofrecidos por proveedores terceros, conocidos como «empresas de tecnología financiera» (FinTech), manteniendo al mismo tiempo unas condiciones rigurosas de protección de datos y seguridad para los consumidores y empresas de la UE. Estos servicios incluyen soluciones de pago e instrumentos de gestión de las finanzas personales mediante la agregación de información procedente de diversas cuentas.

El vicepresidente Valdis Dombrovskis, responsable de Estabilidad Financiera, Servicios Financieros y Unión de los Mercados de Capitales, ha declarado: «Estas nuevas normas guiarán a todos los agentes del mercado, antiguos y nuevos, permitiéndoles ofrecer mejores servicios de pago a los consumidores, al mismo tiempo que garantizan su seguridad».

Un objetivo fundamental de la DSP2 es aumentar el nivel de seguridad y fiabilidad del pago electrónico. En particular, la DSP2 exige a los proveedores de servicios de pago diseñar un sistema de autenticación fuerte de cliente. Por consiguiente, las normas adoptadas hoy integran disposiciones estrictas en materia de seguridad para reducir de forma significativa los niveles de fraude en los pagos y proteger la confidencialidad de los datos financieros de los usuarios, y ello especialmente en lo que se refiere a los pagos en línea. Las normas requieren una combinación de al menos dos elementos independientes antes de que se pueda efectuar un pago, que podrían ser un elemento físico —tarjeta o teléfono móvil — combinado con una contraseña o una característica biométrica, como las huellas dactilares.

La DSP2 establece asimismo un marco para los nuevos servicios asociados a las cuentas de pago de los consumidores, como los denominados servicios de iniciación de pago y los de información sobre cuentas. Estos servicios innovadores ya se ofrecen en muchos países de la UE, pero gracias a la DSP2 estarán disponibles para los consumidores en toda la UE, con sujeción a estrictos requisitos de seguridad. Las normas especifican los requisitos para garantizar unas normas de comunicación comunes y seguras entre los bancos y las empresas de tecnología financiera.

Tras la adopción de las normas técnicas de regulación por la Comisión, el Parlamento Europeo y el Consejo disponen de tres meses para examinarlas. Sin perjuicio del periodo de examen, las nuevas normas se publicarán en el Diario Oficial de la Unión Europea. Los bancos y otros proveedores de servicios de pago dispondrán de un plazo de 18 meses para implantar las medidas de seguridad y los instrumentos de comunicación pertinentes.