Los bancos tendrán hasta finales de 2020 para aplicar toda la norma europea de pagos
24 de octubre de 2019
Los bancos tendrán hasta finales de 2020 para aplicar toda la norma europea de pagos
Bancos, comercios y proveedores de servicios de pagos en España tendrán de plazo hasta el 31 de diciembre de 2020, como máximo, para adaptar sus sistemas a los nuevos requerimientos de seguridad y autenticación impuestos por la directiva europea de pagos, conocida como PSD2.
La Autoridad Bancaria Europea (EBA, por sus siglas en inglés), publicó ayer una opinión respecto a una prórroga para dar tiempo a las distintas partes implicadas a migrar sus sistemas hacia tecnologías seguras que cumplan con la directiva PSD2. Dicha opinión, no vinculante, sitúa en el 1 de enero de 2021 la fecha de inicio más recomendable para el nuevo marco legal de los servicios de pago a nivel europeo.
Fuentes próximas al Banco de España señalan que dan por bueno el plazo extra propuesto por la EBA y que será por tanto el que se aplique para bancos, comercios y demás partes implicadas nacionales. El pasado mes, el supervisor bancario español había confirmado su intención de permitir una prórroga, si bien no se había establecido un calendario firme (precisamente porque se optó por esperar al dictamen del regulador presidido por José Manuel Campa). Este periodo de gracia de algo más de 15 meses se queda por debajo de las aspiraciones de la banca, que recientemente se reunió con las autoridades para reclamar un paréntesis legal de 18 meses.
El punto más complejo a la hora de poner en práctica la nueva directiva, según reconoce la propia EBA, es la implementación de tecnologías que cumplan con los nuevos requisitos de seguridad en la autenticación reforzada de los usuarios. La PSD2 exige que cualquier proveedor de pagos haya identificado de forma inequívoca a un usuario dando respuesta positiva en al menos dos de tres cuestiones: algo que el usuario conoce (por ejemplo, el nombre de una mascota), algo que tiene (una clave recibida en un mensaje móvil) y algo que es (reconocimiento por voz o huella).
Aunque los bancos españoles y europeos llevan meses desarrollando estas tecnologías, la EBA ha constatado que otras partes implicadas (pequeños comercios, por ejemplo) andan mucho más retrasadas en la adopción de estas tecnologías, por lo que en la práctica el nuevo marco europeo de servicios de pago, que entró en vigor legalmente el pasado 14 de septiembre, no está todavía plenamente operativo.
Deberes para los rezagados
El periodo de gracia fijado por la EBA no será incondicional, según explica en su opinión. Las entidades españolas que proporcionan servicios de pagos deberán remitir al Banco de España sus planes de migración para cumplir con la PSD2 antes de final de año. Una vez enviados estos documentos, y si los mismos reciben el visto bueno del regulador, estas firmas contarán con el plazo prorrogado hasta el 31 de diciembre de 2020 para poner en marcha sus planes.
En concreto, las entidades emisoras de tecnologías de pago deberán enviar antes de final de 2019 las opciones elegidas para cumplir con los requisitos de autenticación. Deberán detallar tanto las alternativas que ya cumplan con los requerimientos como aquellas que todavía no lo hagan. Además, remitirán antes de esa fecha sus planes de migración desarrollados (con fechas de implementación, fase de pruebas...).
Además, el Banco de España deberá controlar a las entidades que presten servicios de negocio de adquirencia (aquellas que trabajan directamente con comercios y negocios, proporcionándoles tecnologías de pagos) para que antes del 31 de diciembre de 2019 hayan identificado las soluciones técnicas que planean emplear para la autenticación de clientes, así como también especificado sus respectivos planes de migración.
Con el fin de documentar el éxito o fracaso de la puesta en marcha de la PSD2, y en concreto de la autenticación reforzada, la EBA prevé realizar un informe de seguimiento durante el primer trimestre de 2021 a partir de la información recogida de las distintas autoridades nacionales (por ejemplo, el Banco de España).