El DOUE de 5 de diciembre publica el Reglamento Delegado (UE) 2022/2360
de la Comisión, de 3 de agosto de 2022, por el que se modifican las normas
técnicas de regulación establecidas en el Reglamento Delegado (UE) 2018/389
en lo que respecta a la exención de 90 días para el acceso a las cuentas. Entra
en vigor a los veinte días de su publicación, siendo aplicable a partir del 25 de
julio de 2023.

El Reglamento Delegado 2018/389 de la Comisión, de 27 de noviembre de
2017, por el que se complementa la Directiva 2015/2366 del Parlamento
Europeo y del Consejo en lo relativo a las normas técnicas de regulación para
la autenticación reforzada de clientes y unos estándares de comunicación
abiertos comunes y seguros, establece una exención de la obligación de
aplicar la autenticación reforzada de clientes cuando un usuario de servicios de
pago acceda al saldo y a las operaciones recientes de una cuenta de pago sin
que se divulguen datos de pago sensibles. En ese caso, los proveedores de
servicios de pago están autorizados a no aplicar la autenticación reforzada de
clientes para acceder a la información de la cuenta, siempre que se haya
aplicado la autenticación reforzada de clientes cuando se accedió a la
información de la cuenta por primera vez, y al menos cada 90 días a
continuación.

El uso de esta exención ha dado lugar a prácticas muy divergentes en la
aplicación del Reglamento Delegado 2018/389: algunos proveedores de
servicios de pago gestores de cuenta solicitan la autenticación reforzada de
clientes cada 90 días, otros a intervalos más cortos y algunos no aplican la
exención y solicitan la autenticación reforzada de clientes para cada acceso a
la cuenta. Esta divergencia ha dado lugar a fricciones indeseables en la
experiencia del cliente al utilizar servicios de información sobre cuentas y a un
impacto negativo en los servicios de los proveedores de servicios de
información sobre cuentas.

A fin de garantizar un equilibrio adecuado entre los objetivos de mejorar la
seguridad, facilitar la innovación y aumentar la competencia en el mercado
interior, es necesario especificar con mayor detalle la aplicación de la exención
establecida en los casos en que se acceda a la información sobre cuentas a
través de un proveedor de servicios de información sobre cuentas. Por
consiguiente, en tal caso, no debe permitirse a los proveedores de servicios de
pago optar por aplicar o no la autenticación reforzada de clientes, y la exención
debe hacerse obligatoria, con sujeción a condiciones destinadas a garantizar el
cumplimiento de la seguridad y la protección de los datos de los usuarios de
servicios de pago.

La exención debe limitarse al acceso al saldo y a las transacciones recientes
de una cuenta de pago sin divulgación de datos de pago sensibles. La
exención solo debe aplicarse cuando los proveedores de servicios de pago ya
hayan aplicado la autenticación reforzada de clientes para el primer acceso a
través del respectivo proveedor de servicios de información sobre cuentas y
debe renovarse periódicamente.

A fin de garantizar la seguridad y la protección de los datos de los usuarios de
servicios de pago, los proveedores de servicios de pago deben estar
autorizados, en cualquier momento, a aplicar la autenticación reforzada de
clientes cuando tengan razones objetivamente justificadas y debidamente
documentadas en relación con un acceso no autorizado o fraudulento. Esto
podría ocurrir cuando los mecanismos de supervisión de las operaciones del
proveedor de servicios de pago gestor de cuenta detecten un riesgo elevado de
acceso no autorizado o fraudulento. A fin de garantizar una aplicación
coherente de la exención, los proveedores de servicios de pago gestores de
cuenta deben, en tal caso, documentar y justificar debidamente ante su
autoridad nacional competente, a petición de esta, las razones para aplicar la
autenticación reforzada de clientes.

Cuando el usuario de servicios de pago acceda directamente a la información
sobre cuentas, los proveedores de servicios de pago deben seguir estando
autorizados a elegir si aplican la autenticación reforzada de clientes. Esto se
debe a que, en tales casos, no se han observado problemas particulares que
requieran una modificación de la exención establecida, contrariamente al caso
del acceso a través de un proveedor de servicios de información sobre cuentas.

A fin de garantizar la igualdad de condiciones entre todos los proveedores de
servicios de pago, y en consonancia con los objetivos de permitir el desarrollo
de servicios innovadores y de fácil uso, es proporcionado establecer el mismo
plazo de 180 días para la renovación de la autenticación reforzada de clientes,
tanto para el acceso a la información sobre cuentas proporcionado
directamente por el proveedor de servicios de pago gestor de cuenta como
para el acceso a través de un proveedor de servicios de información sobre
cuentas. Renovar la autenticación reforzada de clientes con la frecuencia actual
podría provocar fricciones indeseables en la experiencia del cliente e impedir a
los proveedores de servicios de información sobre cuentas ofrecer sus
servicios y a los usuarios recibir dichos servicios.

Los proveedores de servicios de pago gestores de cuenta que ofrezcan una
interfaz específica y que hayan aplicado un mecanismo de contingencia no
deben estar obligados a aplicar la nueva exención obligatoria en sus interfaces
de clientes directas a efectos del mecanismo de contingencia, siempre que no
apliquen la exención establecida en sus interfaces de clientes directas. Sería
desproporcionado exigir a los proveedores de servicios de pago gestores de
cuenta que ofrezcan una interfaz específica en la que tengan que aplicar la
nueva exención obligatoria que apliquen igualmente la exención en sus
interfaces de clientes directas a efectos del mecanismo de contingencia.

A fin de garantizar que los proveedores de servicios de pago dispongan de
tiempo suficiente para introducir las modificaciones necesarias en sus
sistemas, los proveedores de servicios de pago gestores de cuenta deben
poner a disposición de los proveedores de servicios de pago las modificaciones
introducidas en las especificaciones técnicas de sus interfaces al menos dos
meses antes de que se apliquen dichas modificaciones.