Puntos críticos en la aplicación de la nueva Directiva sobre servicios de pago (DSP 2): externalización de servicios de pago y comunicación de datos de la clientela

 

 La aplicación de la Segunda Directiva sobre servicios de pago (DSP 2) desde el 13 de enero de 2018

En la entrada de este blog del pasado 22 de enero del año en curso dábamos cuenta de la aplicación de la nueva Directiva sobre servicios de pago (Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior) (DSP 2 o, en acrónimo inglés, PSD 2) desde el 13 de enero de 2018 conforme a lo dispuesto en su art.115 que dice: “a más tardar el 13 de enero de 2018, los Estados miembros adoptarán y publicarán las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva” y “aplicarán dichas disposiciones a partir del 13 de enero de 2018”. Dábamos cuenta, también, de cómo la Comisión Europea – en un comunicado de 12 de enero de 2018-  instaba a los Estados miembros que aún no han transpuesto la DSP 2  –entre los que se encuentra España- a  “que lo hagan con carácter urgente”.

Constatábamos también la importancia y el impacto directo de esta DSP 2 en el tráfico bancario cotidiano se verifica al ver que, durante las últimas semanas del año 2017, los bancos españoles realizaron campañas de comunicación masivas para informar a su clientela de los principales impactos de la aplicación de la DSP 2.

Pues bien, dentro del amplísimo ámbito de impacto de esta DSP 2 sobre la industria bancaria, la prensa económica ha destacado, durante este mes de agosto, dos puntos críticos que presentan el denominador común de referirse principalmente a la banca y a los servicios de pago digitales. Se trata de la externalización de servicios de pago por las entidades de crédito y el acceso forzoso y la comunicación de datos a las nuevas entidades fintech que preocupan, respectivamente, a los supervisores y a los bancos.

 

La externalización de servicios de pago por las entidades de crédito

El nuevo escenario financiero en el que los bancos tradicionales se ven obligados a competir, integrado por el efecto combinado de la transformación digital, la necesidad de recortar costes y la mayor carga regulatoria han llevado a estos bancos a incrementar la externalización de servicios, actividades y funciones de pago en terceros proveedores. Lo que ha llevado a los supervisores bancarios a tomar iniciativas para garantizar que este proceso de externalización no repercuta en un descenso de la calidad de los servicios de pago ni en una transferencia y elusión de responsabilidades frente a su clientela por parte de los bancos que externalizan sus servicios, actividades y funciones de pago.

El marco regulatorio básico de este proceso de externalización se establece en el art.19 de la DSP 2 que, al establecer los requisitos de acceso y ejercicio de su actividad que son exigibles a los proveedores de servicios de pago y, especialmente, a las entidades de pago regula el “recurso a agentes, sucursales o a entidades a las que se externalicen actividades” diferenciando tres hipótesis (adviértase que las dos primeras no implican externalización de servicios en pago en sentido estricto):

 

a) Sucursales

Si una entidad de pago desea prestar servicios de pago en otro Estado miembro mediante el establecimiento de una sucursal, deberá seguir los procedimientos establecidos para el ejercicio del derecho de establecimiento en el artículo 28 de La DSP 2 y se asegurará de que la sucursal que actúe en su nombre informe de ello a los usuarios de servicios de pago.

 

b) Agentes

Las entidades de pago que tengan el propósito de prestar servicios de pago a través de un agente estarán obligadas a comunicar a las autoridades competentes de su Estado miembro de origen determinada información (nombre y domicilio del agente, descripción de los mecanismos de control interno que vaya a utilizar el agente con respecto al blanqueo de capitales y a la financiación del terrorismo, identidad de los administradores y personas responsables de la gestión del agente, etc.). En un plazo de dos meses a partir desde la recepción de dicha información, la autoridad competente comunicará a la entidad de pago si el agente ha sido incluido o no en el registro público pertinente, momento desde el cual los agentes podrán comenzar a prestar servicios de pago. Si, por el contrario, la autoridad competente considera que la información que se les ha facilitado es incorrecta, tomará las disposiciones adicionales oportunas para verificarla antes de inscribir al agente en el registro.

Si la entidad de pago desea prestar servicios de pago en otro Estado miembro mediante la contratación de un agente, deberá seguir los procedimientos establecidos para el ejercicio del derecho de establecimiento en el artículo 28 de La DSP 2 y se asegurará de que el agente  que actúe en su nombre informe de ello a los usuarios de servicios de pago.

 

c) Externalización de funciones

Cuando una entidad de pago pretenda externalizar funciones operativas relacionadas con los servicios de pago, deberá cumplir los requisitos siguientes:

 

c.1) En general, informar de ello a las autoridades competentes de su Estado miembro de origen.

c.2) En particular, si se trata de funciones operativas importantes, incluidos los sistemas informáticos (considerándose como tales aquellas “funciones en las que una anomalía o deficiencia en su ejecución puede afectar de manera sustancial a la capacidad de la entidad de pago para cumplir permanentemente las condiciones que se derivan de su autorización o sus demás obligaciones o afectar a los resultados financieros, a la solidez o a la continuidad de sus servicios de pago”), la entidad de pago deberá cumplir dos tipos de condiciones:

c.2.1) Generales, que consisten en que la externalización “no afecte significativamente ni a la calidad del control interno de la entidad de pago ni a la capacidad de las autoridades competentes para controlar y hacer un seguimiento a posteriori del cumplimiento por la entidad de pago de todas las obligaciones” que establece la DSP 2.

c.2.2)  Especiales, que consisten en que la externalización no de lugar a la delegación de responsabilidad por parte de la alta dirección, ni altere las relaciones y obligaciones de la entidad de pago con respecto a sus usuarios, ni vaya en menoscabo de las condiciones que debe cumplir la entidad de pago para recibir la autorización y conservarla de conformidad con el presente título, ni de lugar a la supresión o modificación de ninguna de las restantes condiciones a las que se haya supeditado la autorización de la entidad de pago.

 

d) Responsabilidad y conservación de la información

Como factores comunes a las hipótesis indicadas, la DSP 2 establece dos deberes a cargo de las entidades de pago cuando recurran a terceros para la realización de funciones operativas que consisten en:

d.1) Retener la plena responsabilidad de los actos de sus empleados y de cualesquiera agentes, sucursales o instituciones a las que se hayan externalizado sus actividades (art.20).

d.2) Conservar todos los documentos necesarios para cumplir los deberes impuestos por la DSP 2.

 

El acceso y la comunicación de datos de la clientela por los bancos a las nuevas entidades fintech

La DSP 2 obliga a los bancos tradicionales -en su condición de gestores de las cuentas de pago de su clientela- a permitir el acceso de los proveedores de servicios de iniciación de pagos y de servicios de información sobre cuentas de pago (que son, en su mayoría, entidades fintech) a las cuentas de pago de sus clientes, con el consiguiente acceso al centro neurálgico de su negocio bancario. Es por ello por lo que las condiciones técnicas en las que se realice este acceso preocupa notablemente a los bancos.

El marco regulatorio básico de este acceso se contiene en los arts.66, 67 y 68 de la DSP 2 que, al establecer en su Título IV los “derechos y obligaciones en relación con la prestación y utilización de servicios de pago” y, en particular, las condiciones de autorización de operaciones de pago, dispone tres tipos de condiciones del aquel acceso a la información sobre las cuentas de pago.

 

a) Presupuestos comunes para el acceso a las cuentas de pago

Para que una entidad que preste servicios de iniciación o información sobre cuentas de pago (por regla general, una entidad fintech) pueda acceder a una cuenta de pago o a la información sobre dichas cuentas, en poder de un proveedor de servicios de pago gestor de cuenta (por regla general, un banco) deben darse dos tipos de presupuestos:

a.1) Positivo, porque el cliente ordenante del pago o el usuario deberán dar su consentimiento expreso.

a.2) Negativo, porque ni la prestación de servicios de iniciación de pagos ni de información sobre cuentas se supeditará a la existencia de una relación contractual a tal fin entre los proveedores de aquellos servicios de iniciación o información sobre cuentas y los proveedores de servicios de pago gestores de cuentas.

 

b) Acceso a la cuenta de pago en caso de servicios de iniciación de pagos

Esta primera hipótesis se configura como un derecho de todo ordenante de recurrir a un proveedor de servicios de iniciación de pagos. Derecho que no se aplicará si no se puede acceder en línea a la correspondiente cuenta de pago.

Para hacer factible en la práctica aquel derecho, si el ordenante da su consentimiento expreso para que se efectúe un pago, los dos proveedores de servicios de pago implicados estarán obligados a adoptar las siguientes medidas para garantizar que el ordenante pueda ejercer su derecho a utilizar el servicio de iniciación de pagos:

b.1) El proveedor de servicios de iniciación de pagos (por regla general, una entidad fintech) estará sujeto a una serie de deberes positivos o de acción (garantizará que las credenciales de seguridad personalizadas del usuario de servicios de pago no sean accesibles a terceros, con excepción del usuario y del emisor de las credenciales de seguridad personalizadas, y que las transmite a través de canales seguros y eficientes, que cualquier otra información sobre el usuario de servicios de pago obtenida al prestar servicios de iniciación de pagos se facilita exclusivamente al beneficiario y únicamente con el consentimiento expreso del usuario de servicios de pago, que cada vez que se inicie un pago, se identifique ante el proveedor de servicios de pago gestor de cuenta del titular de la cuenta y se comunique de manera segura con el proveedor de servicios de pago gestor de cuenta, el ordenante y el beneficiario,) y negativos o de omisión (en ningún momento entrará en poder de los fondos del ordenante en relación con la prestación del servicio de iniciación de pagos, no almacenará datos de pago sensibles del usuario de servicios de pago, no solicitará al usuario de servicios de pago ningún dato distinto de los necesarios para prestar el servicio de iniciación del pago, etc.).

b.2) El proveedor de servicios de pago gestor de cuenta (por regla general, un banco), estará sujeto a una serie de deberes, tales como establecer una comunicación segura con los proveedores de servicios de iniciación de pagos; facilitar a estos toda la información sobre el inicio de la operación de pago y toda la información a la que tenga acceso con relación a la ejecución de la operación de pago, inmediatamente después de la recepción de la orden de pago, tratar las órdenes de pago transmitidas a través de los servicios de un proveedor de servicios de iniciación de pagos sin discriminación alguna con respecto a las órdenes de pago transmitidas directamente por el ordenante, salvo por causas objetivas (en particular en lo que se refiere a los plazos, la prioridad o los gastos aplicables.

 

c) Acceso a la información sobre cuentas de pago y uso de dicha información en caso de servicios de información sobre cuentas

Esta segunda hipótesis se configura como un derecho de todo usuario de servicios de pago a recurrir a servicios que permitan acceder a la información sobre cuentas. Derecho que no se aplicará si no se puede acceder en línea a la correspondiente cuenta de pago.

Para hacer factible en la práctica aquel derecho, si el usuario da su consentimiento explícito, los dos proveedores de servicios de pago implicados estarán obligados a adoptar las siguientes medidas:

c.1) El proveedor de servicios de información sobre cuentas (por regla general, una entidad fintech) estará sujeto a una serie de deberes positivos o de acción (garantizará que las credenciales de seguridad personalizadas del usuario de servicios de pago no sean accesibles a terceros, con excepción del usuario y del emisor de las credenciales de seguridad personalizadas, y que, cuando las transmita el proveedor de servicios de información sobre cuentas, la transmisión se realice a través de canales seguros y eficientes; en cada comunicación, se identificará ante el proveedor o proveedores de servicios de pago gestores de cuenta del usuario de servicios de pago y se comunicará de manera segura con el proveedor o proveedores de servicios de pago gestores de cuenta y el usuario del servicio de pago; accederá únicamente a la información de las cuentas de pago designadas y las operaciones de pago correspondientes; etc.) y negativos o de omisión (no solicitará datos de pago sensibles vinculados a las cuentas de pago, no utilizará, almacenará o accederá a ningún dato, para fines distintos de la prestación del servicio de información sobre cuentas expresamente solicitado por el usuario del servicio de pago, de conformidad con las normas sobre protección de datos; etc.).

c.2) El proveedor de servicios de pago gestor de cuenta (por regla general, un banco), estará sujeto a una serie de deberes tales como establecer una comunicación segura con los proveedores de servicios de información sobre cuentas y tratar las peticiones de datos transmitidas a través de los servicios de un proveedor de servicios de información sobre cuentas sin discriminación alguna, salvo por causas objetivas.