Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros

Sección:Reglamento delegado
Emisor:Comisión de las Comunidades Europeas
 
EXTRACTO GRATUITO

13.3.2018 ES Diario Oficial de la Unión Europea L 69/23

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Vista la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se deroga la Directiva 2007/64/CE (1), y en particular su artículo 98, apartado 4,

Considerando lo siguiente:

(1) Los servicios de pago ofrecidos electrónicamente deben prestarse con la adecuada protección, gracias a la adopción de tecnologías que permitan garantizar una autenticación segura del usuario y minimizar el riesgo de fraude. El procedimiento de autenticación debe incluir, en general, mecanismos de supervisión de las operaciones para detectar los intentos de utilizar las credenciales de seguridad personalizadas del usuario de un servicio de pago que hayan sido objeto de extravío, robo o apropiación indebida, y debe también asegurar que quien hace uso del servicio de pago es el usuario legítimo y está por lo tanto dando consentimiento a la transferencia de fondos y acceso a su información de cuenta mediante un uso normal de sus credenciales de seguridad personalizadas. Por otra parte, es necesario precisar los requisitos de autenticación reforzada de clientes que deben aplicarse cada vez que un ordenante acceda a su cuenta de pago en línea, inicie una operación de pago electrónico o lleve a cabo mediante un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos; ha de exigirse la generación de un código de autenticación que no corra el riesgo de ser falsificado en su totalidad o mediante la revelación de cualquiera de los elementos sobre cuya base se haya generado.

(2) Como los métodos de fraude cambian constantemente, los requisitos de autenticación reforzada de clientes deben permitir la innovación en las soluciones técnicas con objeto de hacer frente a la aparición de nuevas amenazas a la seguridad de los pagos electrónicos. A fin de garantizar que los requisitos establecidos se cumplen de manera efectiva y continua, también procede exigir que las medidas de seguridad para la aplicación de la autenticación reforzada de clientes y sus exenciones, las medidas para proteger la confidencialidad y la integridad de las credenciales de seguridad personalizadas y las medidas que establecen estándares de comunicación abiertos comunes y seguros se documenten, se sometan a pruebas periódicas y se evalúen, además de ser auditadas por expertos en seguridad y pagos informáticos independientes desde el punto de vista operativo. La revisión de estas medidas debe ponerse a disposición de las autoridades competentes cuando así lo soliciten, de modo que dichas autoridades puedan supervisar la calidad de la revisión.

(3) Las operaciones remotas de pago electrónico están sujetas a un mayor riesgo de fraude, lo que hace necesario introducir requisitos adicionales para la autenticación reforzada de clientes en tales operaciones, que garanticen que los elementos vinculen dinámicamente la operación a un importe y un beneficiario especificados por el ordenante al iniciar la operación.

(4) La vinculación dinámica es posible gracias a la generación de códigos de autenticación sujetos a una serie de requisitos de seguridad estrictos. Con objeto de mantener la neutralidad tecnológica, no debe exigirse una tecnología específica para la puesta en funcionamiento de códigos de autenticación. En consecuencia, los códigos de autenticación deben basarse en soluciones como la generación y validación de contraseñas de un único uso, firmas digitales u otras declaraciones de validación de tipo criptográfico que se sirvan de claves o material criptográfico almacenado en los elementos de autenticación, siempre que se cumplan los requisitos de seguridad.

(5) Es necesario establecer requisitos específicos para los casos en que el importe final no se conozca en el momento en que el ordenante inicie una operación remota de pago electrónico, a fin de garantizar que la autenticación reforzada de clientes se adecua al importe máximo para el que el ordenante haya dado consentimiento, según se especifica en la Directiva (UE) 2015/2366.

(6) A fin de garantizar la aplicación de la autenticación reforzada de clientes, es también necesario exigir características de seguridad adecuadas para los elementos de autenticación reforzada de clientes categorizados como conocimiento (algo que solo conoce el usuario), como la duración o la complejidad, para los elementos categorizados como posesión (algo que solo posee el usuario), como especificaciones algorítmicas, longitud de la clave y entropía de la información, y para los dispositivos y programas informáticos que leen los elementos categorizados como inherencia (algo que es el usuario), como especificaciones algorítmicas, sensores biométricos o elementos de protección de plantilla, en particular para mitigar el riesgo de que dichos elementos sean revelados, divulgados a terceros no autorizados y utilizados por ellos. Del mismo modo, es necesario establecer requisitos para garantizar que estos elementos sean independientes, de modo que la vulneración de uno no comprometa la fiabilidad de los demás, en particular cuando cualquiera de estos elementos se utilice a través de un dispositivo multifuncional, es decir, un dispositivo (como una tableta o un teléfono móvil) que pueda utilizarse tanto para dar una instrucción de pago como en el proceso de autenticación.

(7) Los requisitos de autenticación reforzada de clientes se aplican a los pagos iniciados por el ordenante, con independencia de si este es una persona física o jurídica.

(8) Por su propia naturaleza, los pagos efectuados a través de la utilización de instrumentos de pago anónimos no están sujetos a la obligación de autenticación reforzada de clientes. Cuando se levanta el anonimato de esos instrumentos por motivos contractuales o legislativos, los pagos están sujetos a los requisitos de seguridad que se derivan de la Directiva (UE) 2015/2366 y de las presentes normas técnicas de regulación.

(9) De conformidad con la Directiva (UE) 2015/2366, las exenciones al principio de la autenticación reforzada de clientes se han definido sobre la base del nivel de riesgo, el importe, la frecuencia y el canal de pago empleado para la ejecución de la operación de pago.

(10) Las acciones que implican el acceso al saldo y las operaciones recientes de una cuenta de pago sin divulgar datos de pago sensibles, los pagos frecuentes a beneficiarios idénticos que hayan sido ordenados o confirmados por el ordenante a través del uso de la autenticación reforzada de clientes, y los pagos a la misma o de la misma persona física o jurídica con cuentas con el mismo proveedor de servicios de pago presentan un bajo nivel de riesgo y, por lo tanto, permiten que los proveedores de servicios de pago no apliquen la autenticación reforzada de clientes. Aparte de esto, de conformidad con los artículos 65, 66 y 67 de la Directiva (UE) 2015/2366, los proveedores de servicios de iniciación de pagos, los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas y los proveedores de servicios de información sobre cuentas deben solicitar y obtener del proveedor de servicios de pago gestor de cuenta únicamente la información necesaria y esencial para la prestación de un determinado servicio de pago, con el consentimiento del usuario de servicios de pago. Dicho consentimiento puede darse de forma individual para cada solicitud de información o para cada pago que vaya a iniciarse o, en el caso de los proveedores de servicios de información sobre cuentas, como un mandato para las cuentas de pago designadas y las operaciones de pago correspondientes, según lo establecido en el acuerdo contractual con el usuario de servicios de pago.

(11) Las exenciones para los pagos sin contacto de escasa cuantía en el punto de venta, que también tienen en cuenta un número máximo de operaciones consecutivas o un determinado valor máximo fijo de operaciones consecutivas a los que no se aplica la autenticación reforzada de clientes, permiten el desarrollo de servicios de pago de fácil utilización y bajo riesgo, y deben por lo tanto preverse. También es conveniente establecer una exención para el caso de las operaciones de pago electrónico iniciadas en terminales no atendidas en las que el uso de la autenticación reforzada de clientes puede no ser siempre fácil de aplicar por razones operativas (por ejemplo, para evitar las colas y los posibles accidentes en puestos de peaje o por otros riesgos para la seguridad física u operativa).

(12) De similar manera a lo que sucede con la exención para los pagos sin contacto de escasa cuantía en el punto de venta, es necesario alcanzar un equilibrio adecuado entre el interés en una mayor seguridad en los pagos remotos y las necesidades de facilidad de uso y accesibilidad de los pagos en el ámbito del comercio electrónico. En consonancia con dichos principios, los umbrales por debajo de los cuales no es necesario aplicar la autenticación reforzada de clientes deben fijarse de manera prudente, de tal forma que engloben solamente las compras en línea de escasa cuantía. Los umbrales para las compras en línea han de fijarse con mayor prudencia, teniendo en cuenta que el hecho de que la persona no esté físicamente presente al hacer la compra entraña un riesgo de seguridad ligeramente mayor.

(13) Los requisitos de autenticación reforzada de clientes se aplican a los pagos iniciados por el ordenante, con independencia de que sea una persona física o jurídica. Muchos pagos de empresas se inician mediante procedimientos o protocolos específicos que garantizan los altos niveles de seguridad en el pago que la Directiva (UE) 2015/2366 pretende alcanzar por medio de la autenticación reforzada de clientes. Cuando las...

Para continuar leyendo

SOLICITA TU PRUEBA