Directiva de Servicios de Pago II: nuevos proveedores y autenticación reforzada de operaciones


Hubo un día, no muy alejado en el tiempo, en el que el dinero depositado en una cuenta bancaria a la vista permitía la obtención de una rentabilidad por su titular. En esta época de tipos de interés reducidos, e incluso negativos, en la que se discute si el cliente debe abonar un interés a la entidad depositaria en función de la cuantía del importe depositado, la cuenta a la vista cumple fundamentalmente dos fines: el de servir de enlace con otros instrumentos financieros y el de ordenar y recibir pagos.

Dada la proliferación de nuevos oferentes no bancarios de servicios financieros, no está de más recordar que solo pueden captar depósitos del público —y conceder créditos por cuenta propia— las entidades de crédito, esto es, los bancos, las cajas de ahorros y las cooperativas de crédito (artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito). Las entidades de pago, que prestan servicios de pago pero con un marco regulatorio y supervisor menos exigente y más flexible que el aplicable a las entidades de crédito, tienen prohibida legalmente la captación de depósitos (artículo 10.2 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera).

Desterradas, por tanto, la libreta y la cuenta corriente como productos de ahorro, limitada su utilidad práctica a la prestación de servicios de pago, entre los instrumentos asociados a aquellas podemos incluir los más tradicionales, como las letras de cambio, los cheques o los pagarés, en franco desuso, y los quizás más conocidos y habituales en la práctica bancaria actual, como son las tarjetas, en sus diversas modalidades, las transferencias y los adeudos directos o domiciliados.

Según datos del Banco de Inglaterra, que pueden ser orientativos para conocer la situación en otros países avanzados, el 31% de los pagos de las familias a las empresas se realiza en efectivo —para lo que no es necesaria, obviamente, la intervención de intermediarios—, el 52% con tarjetas de débito y crédito, el 14% a través de transferencias bancarias, el 1% con cheque y el 2% con otros medios como PayPal, ApplePay y Google Pay.

Los instrumentos y medios de pago directamente asociados a las cuentas bancarias carecen de una disposición normativa que los regule de forma sistemática. En la práctica, la determinación de los respectivos derechos y obligaciones de las entidades proveedoras de servicios de pago y de sus clientes se ha establecido en el clausulado de los contratos suscritos por las partes, con las limitaciones propias de las normas de ordenación bancaria y las reguladoras de las condiciones generales de la contratación y de protección de consumidores, en su caso.

La situación comenzó a cambiar con la aprobación de la Directiva 2007/64/CE, del Parlamento Europeo y del Consejo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior. Esta Directiva, transpuesta en España por medio de la Ley 16/2009, de 13 de noviembre, de Servicios de Pago, elevó a rango legal numerosas cláusulas empleadas habitualmente en la práctica bancaria (las ya desaparecidas fechas-valor, por ejemplo) o que respondían a meras recomendaciones sectoriales (como, por ejemplo, la célebre franquicia de 150 euros por operaciones con tarjeta no autorizadas por el titular), uniformando las reglas de actuación de las entidades y las expectativas de los consumidores y empresas.

Sin embargo, el carácter dinámico de los servicios de pago y la entrada de nuevos proveedores originaron la necesidad de revisar el marco jurídico establecido. La nueva norma de referencia es la Directiva (UE) 2015/2366, del Parlamento Europeo y del Consejo, de 25 de noviembre, transpuesta por el Real Decreto-ley 19/2018, de 23 de noviembre, anteriormente mencionado, que se aplica a las siguientes operaciones:

  • Los servicios que permiten el ingreso y la retirada de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  • La ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago —o una línea de crédito— en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago por medio de adeudos domiciliados, tarjetas y transferencias.
  • La emisión de instrumentos de pago o la adquisición de operaciones de pago.
  • El envío de dinero.
  • Los servicios de iniciación de pagos.
  • Los servicios de información sobre cuentas.

La Directiva de 2015 regula dos nuevos servicios de pago, que obligan a adaptar todo el marco de la prestación de los servicios de pago. Se trata de los citados servicios de iniciación de pagos y de información sobre cuentas.

El servicio de iniciación de pagos permite iniciar una orden de pago, a petición del usuario del servicio de pago, respecto de una cuenta de pago abierta con otro proveedor de servicios de pago.

El servicio de información sobre cuentas, por su parte, es un servicio en línea cuya finalidad consiste en facilitar información agregada sobre una o varias cuentas de pago de las que es titular el usuario del servicio de pago bien en otro proveedor de servicios de pago, bien en varios proveedores de servicios de pago.

Estos dos servicios, basados en buena medida en profundos desarrollos tecnológicos y en una nueva forma de relación entre las entidades y los clientes, que confiere a estos últimos un mayor dominio sobre su información asociada a los pagos, se pueden ofrecer por las entidades bancarias tradicionales, pero también por dos nuevos proveedores como son el «proveedor de servicios de pago gestor de cuenta» y el “proveedor de servicios de iniciación de pagos”.

Otro aspecto remarcable, por el impacto que tiene en los usuarios, de la Directiva de 2015 es el de la autenticación reforzada de las operaciones de pago, que se define legalmente como la “basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes –es decir, que la vulneración de uno no compromete la fiabilidad de los demás–, y concebida de manera que se proteja la confidencialidad de los datos de identificación”.

Por ejemplo, solo el usuario conoce la clave de su tarjeta, solo él porta un elemento como el teléfono móvil, al que se puede enviar por el proveedor una clave adicional para autorizar una operación de pago, y solo en el cliente concurren determinados aspectos no transferibles a terceros, como ciertos rasgos biométricos (iris, huella dactilar…). El correcto funcionamiento de este sistema minimizará las operaciones autorizadas por error y, sobre todo, las fraudulentas, facilitando la atribución de responsabilidad cuando corresponda.

El Reglamento Delegado (UE) 2018/389, de la Comisión, de 27 de noviembre de 2017, complementa la Directiva (UE) 2015/2366 en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros. Este Reglamento Delegado, que da una idea de la complejidad que alcanza hoy día la regulación bancaria en aspectos que impactan de manera directa en la clientela, es aplicable desde el 14 de septiembre de 2019.

Sin embargo, la Autoridad Bancaria Europea ha admitido formalmente la complejidad de los mercados de pago en la Unión Europea y la dificultad de que todos los actores involucrados estén adaptados a tiempo, por lo que, excepcionalmente, ha permitido que las autoridades nacionales concedan un plazo adicional limitado que facilite la adecuada acomodación a los nuevos estándares por todos los implicados (cámaras de compensación, bancos, entidades de pago, emisores de tarjetas, comercios…) y el de las infraestructuras a través de las que operan (banca a distancia, terminales de puntos de venta, cajeros automáticos, teléfonos móviles…).

En lo que afecta a nuestro país, el Banco de España ha anunciado la ampliación en varios meses del plazo para la efectiva aplicación de la autenticación reforzada de operaciones. Aún no se ha concretado el nuevo plazo pero, esta vez sí, transcurrido el mismo no cabrán nuevas moratorias.

Autoría de la imagen: freepik