Acreditación nuevos Servicios Cualificados de Confianza
18 marzo 2021
Firma de Contratos a distancia: Ahorra tiempo y dinero, gana en eficiencia
7 septiembre 2021
Los Proveedores de Servicios de Pago juegan un papel clave en la aplicación de la PSD2. La situación generada por la pandemia, con restricciones en la movilidad y apertura física de comercios, ha comportado un incremento del 23% del e-commerce1 . El hábito, cada vez más frecuente, de comprar en internet requiere que la seguridad de la transacción se equipare a la compra en tiendas físicas y, precisamente de esa necesidad nació la Segunda Directiva de Servicios de Pago (PSD2)2.
En esta entrada analizaremos qué consecuencias se pueden producir de no cumplir correctamente con lo que dispone la PSD2 en el comercio online, y qué certificados exige esta Directiva.
Proveedores de Servicios de Pago (PSP)
Los PSP son habitualmente los intermediarios entre los comercios online, el usuario que realiza la compra y la entidad bancaria a través de la cual este pagará el importe. Para ser PSP se deben cumplir dos requisitos principales, en primer lugar, obtener la debida licencia para poder actuar como PSP y, en segundo lugar, incorporar las medidas de autenticación reforzada que impone la PSD2.
PSD2 abre enormes oportunidades, tanto para nuevas entidades y organizaciones que quieran entrar a participar en el Sector Bancario y de las FINTECH.
La PSD2 permite el desarrollo y la consolidación de los servicios de iniciación de pago en cuenta de otra entidad (PIS) y de agregación de información sobre los saldos y operaciones de cuentas de pago en diversas entidades (AIS), en un marco que proporciona al consumidor una protección idónea tanto de sus pagos como de la información asociada a sus cuentas.
¿A qué obliga la PSD2?
Como hemos comentado, los Proveedores de Servicios de Pago juegan un papel clave en la aplicación de la PSD2, tanto es así que la Directiva les impone la utilización de estándares de comunicación abiertos, comunes y seguros en la identificación de entidades, la autenticación de clientes y la notificación de información, así como en la implementación de las medidas de seguridad para asegurar la integridad de los fondos, la confidencialidad de la información y la protección de las credenciales de seguridad personalizadas de los usuarios.
Los certificados electrónicos PSD2, además de utilizarse para identificar bancos y Proveedores de Servicios de Pago (PSP) sirven también para verificar las funciones para las que tienen licencia, para cifrar comunicaciones y, en algunos casos, para proporcionar sellos a prueba de manipulaciones en datos o transacciones.
En los Estándares Técnicos de Regulación (RTS) sobre la autenticación reforzada del cliente y las comunicaciones comunes seguras - a los que la Directiva PSD2 hace referencia - se establece como obligatorio el uso de certificados cualificados conforme a eIDAS para que todos aquellos Proveedores de Servicios de Pago (PIS y AIS) se identifiquen cada vez que accedan a las cuentas de pago de un cliente.
El RTS exige el uso de Certificados Cualificados de Sello Electrónico (QC eSeal) y Certificados Cualificados de Autenticación de sitio web (QWAC) emitidos de acuerdo con la norma ETSI TS 119 495.en línea.
Consecuencias de incumplir con lo que dispone la PSD2:
Las sanciones se encuentran recogidas en el Título IV del Real Decreto 736/2019, de 20 de diciembre, no obstante, el artículo 27 relativo al régimen sancionador remite a la aplicación de las sanciones previstas en el Título IV de la Ley 10/2014 de ordenación, supervisión y solvencia de entidades de crédito y al Real Decreto 2119/1993 sobre procedimiento sancionador aplicable a los sujetos que actúan en los mercados financieros.
Las infracciones y sanciones aparejadas se dividen en tres categorías: leves, graves y muy graves. Centrándonos en las infracciones muy graves (art. 92) por ser las que entrañan mayor una sanción, debemos hablar de dos tipologías de sanción, por un lado una multa que puede oscilar, entre el triple y el quíntuplo del importe de los beneficios derivados de la infracción y el 10% del volumen de negocios neto anual total o de los recursos propios de la entidad en el ejercicio anterior y por otro lado, la revocación de la autorización de la entidad. También se prevén sanciones accesorias a las mencionadas.
En 2021, el Banco de España, como autoridad competente en vía administrativa para dilucidad estos asuntos, ha publicado 8 sanciones impuestas en 2020 por infracciones consideradas muy graves por:
1. Encontrarse los recursos propios por debajo del umbral del 80% mínimo establecido durante un periodo de al menos 6 meses:
Tres sanciones a AUSTROGIROS ENTIDAD DE PAGO, S.A., una con multa de 200.000 euros a la mercantil y otras dos al administrador de hecho, multa de 25.000 euros además de su inhabilitación por plazo de 1 año.
2. No suministrar la información solicitada por el Banco de España en el marco de una inspección cuyo objetivo era comprobar si la sociedad estaba realizando actividades reservadas a entidades de crédito sin contar con autorización para ello:
Dos sanciones a CRACK 10 ASTURIAS, S.L., multa de 70.000 euros y como medida accesoria una amonestación pública con publicación en el BOE.
3. Llevar una contabilidad con irregularidades esenciales que impidan conocer la situación patrimonial o financiera:
Tres sanciones a AUSTOGIROS ENTIDAD DE PAGO S.A., multa de 350.000 a la mercantil y de 50.000 al administrador de hecho además de la sanción de inhabilitación por plazo de 2 años para el administrador de hecho.
Prevenir mejor que lamentar
Los Proveedores de Servicios de Pago juegan un papel clave en la aplicación de la PSD2 y para sortear la imposición de una sanción como las que hemos visto, la forma más eficiente de evitarla es implementar acciones preventivas.
Los certificados de tipo PSD2 de ANF Autoridad de Certificación cumplen de forma íntegra con los RTS y con el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpone la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior (PSD2).
ANF AC, Prestador Cualificado de Servicios de Confianza y primera CA Española acreditada para emitir certificados cualificados PSD2 como se especifica en las Regulatory Technical Standards (RTS) de PSD2 para una autenticación sólida del cliente y estándares de comunicación abiertos comunes y seguros. Además, ANF Autoridad de Certificación es el único QTSP que ha logrado la acreditación oficial del 100% de los servicios eIDAS.
Clases de certificados cualificados existentes:
- Securización de los datos a nivel aplicación.
- Identifica de forma unívoca quién ha accedido a la API. No repudio.
- Permite identificar al Proveedor de Servicios de Pago, a nivel empresa y aplicativo.
- Protege los datos firmados contra modificaciones. Integridad.
- Garantiza la comunicación entre bancos y proveedores externos en la transmisión de datos.
- Cifrado de las comunicaciones entre banco y proveedor, conexión TLS.
- Autenticación web.
Para saber más sobre este servicio y sobre nuestros precios haga click aquí.
Fuentes:
- CIS. BARÓMETRO DE MAYO 2020. Página. 8. Enlace: es3281mar.pdf (cis.es)
- PSD2.
- Real Decreto 736/2019.
1Así lo puso de manifiesto el CIS en una encuesta publicada en mayo de 2020
2En España, esta Directiva se aplica desde el 14 de septiembre de 2019.
