Modificación de las normas técnicas de regulación para la autenticación reforzada de clientes: a propósito del Reglamento Delegado (UE) 2022/2360

Por su parte, de conformidad con lo dispuesto en el artículo 98 de la PSD2, el Reglamento Delegado (UE) 2018/389, de 27 de noviembre, relativo a las normas técnicas de regulación de autenticación reforzada de clientes (“RTS”) desarrolla, entre otros aspectos, las exenciones a la aplicación de la SCA.

En este sentido, la redacción actual del artículo 10 de los RTS recoge una exención voluntaria, estableciendo la posibilidad de que los PSP no apliquen la SCA siempre que se cumplan los siguientes requisitos: (i) que el acceso se limite a información sobre saldo de cuentas y/o a operaciones de pago efectuadas en los últimos 90 días; (ii) que no se divulguen datos de pago sensibles; (iii) que se haya aplicado la SCA cuando se accedió a la información en línea por primera vez; y (iv) que la misma se renueve como mínimo cada 90 días desde la última vez que el usuario accedió a la información.

La aplicación de esta exención ha sido muy dispar por parte de los PSPs y ha generado un impacto negativo en los servicios de proveedores de servicios de información sobre cuentas (“AISP”). Ello se debe a que, cuando los usuarios de servicios de pago (“PSU”) utilizan servicios de información sobre cuentas, algunos proveedores de servicios de pago gestores de cuenta (“ASPSP”) solicitan la SCA cada 90 días, otros a intervalos más cortos y otros no aplican la exención y solicitan la misma para cada acceso a la cuenta. Por ello, la Comisión Europea ha especificado y concretado a través del Reglamento Delegado (UE) 2022/2360 la aplicación de la misma.

En particular, se modifica el citado artículo 10 para limitar la aplicación de la exención voluntaria únicamente a los supuestos en que el acceso a la información sobre cuentas de pago es proporcionado por un PSP que actúa como gestor de cuenta y, por tanto, el cliente accede directamente a la información.

Adicionalmente, las nuevas normas técnicas incorporan un artículo 10 bis que regula la aplicación de la exención en los supuestos en que el PSU accede a su cuenta en línea a través de un AISP. Concretamente, se introduce una exención obligatoria del deber de aplicar la SCA, es decir, los PSPs no están autorizados a elegir si aplican la SCA o no, sino que están obligados a no aplicarla.

En síntesis, cuando el PSU acceda directamente a la información sobre cuentas, los PSPs podrán elegir si aplican o no la SCA. Sin embargo, si el PSU accede a través de un AISP, los PSP no aplicarán la SCA (sin posibilidad de elegir).

Sin perjuicio de lo anterior, en el supuesto de un acceso no autorizado ofraudulento, los PSPs sí están autorizados a aplicar la SCA, siempre que tengan razones objetivamente justificadas y debidamente documentadas.

En cualquier caso, para la aplicación de la exención, ya sea voluntaria u obligatoria, siempre han de cumplirse los requisitos mencionados al inicio, a excepción del plazo de renovación de la SCA de 90 días, que se modifica y amplía a 180 días.

El Reglamento Delegado (UE) 2022/2360 entró en vigor el 25 de diciembre de 2022 y su aplicación será obligatoria a partir del 25 de julio de 2023. Con el fin de facilitar la transición hacia los nuevos RTS, se prevé que los PSPs que se hayan acogido o se acojan la exención del actual artículo 10 antes del 25 de julio de 2023, puedan seguir aplicando la misma a las solicitudes de acceso recibidas a través de un AISP hasta la expiración del periodo cubierto por esa exención (90 días a partir del último momento en que se haya aplicado la SCA).

No obstante, si se solicita una nueva SCA a través de un AISP antes de que expire el período cubierto por la exención, resultará de aplicación lo establecido en el nuevo artículo 10 bis.