PSD3 y PSR: impacto sobre las entidades de pago y de dinero electrónico
Publicado el 27th septiembre 2024
La nueva normativa sobre servicios de pago introduce requisitos adicionales para las entidades de pago con el fin de fortalecer el marco jurídico ya establecido por la PSD2 y adaptarse a las necesidades presentes y futuras del sector de los pagos
Coexistencia de una Directiva y un Reglamento sobre servicios de pago
El marco jurídico de los servicios de pago en la UE estará compuesto por las normas que resulten de dos propuestas: la PSD3 y el Reglamento de Servicios de Pago (PSR), en conjunto la "Propuesta".
Por un lado, la PSD3 se ocupa de los procedimientos para otorgar autorizaciones a los operadores que vayan a actuar como entidades de pago, y requiere que los Estados miembros transpongan sus disposiciones al ordenamiento jurídico nacional, permitiendo a su vez algunas excepciones. Por otro lado, el PSR establece un marco normativo armonizado y una serie de requisitos técnicos directamente aplicables a los Proveedores de Servicios de Pago (PSP), lo que incluye protocolos de autenticación estrictos y medidas avanzadas de prevención del fraude.
La Comisión Europea ha decidido que el Reglamento es el instrumento adecuado para abordar los problemas identificados durante la evaluación de la PSD2. Aunque la PSD2 ha logrado gran parte de sus objetivos de transparencia y ha definido los derechos y obligaciones de los usuarios y proveedores de servicios de pago, como directiva, su implementación en los Estados miembros ha dado lugar a inconsistencias. Estas discrepancias, a menudo consecuencia de diferentes interpretaciones, han dado como resultado una fragmentación del marco legal que ha dificultado la materialización de los objetivos del mercado interno de la PSD2 en el contexto de la creación de un Mercado Único Digital. A pesar de que la Autoridad Bancaria Europea (EBA) ha esclarecido algunas de las dudas derivadas de dichas inconsistencias a través de secciones de preguntas y respuestas y/o directrices, las ambigüedades fundamentales en los conceptos y exenciones de la PSD2 han dado lugar a un terreno de juego desigual y han fomentado la búsqueda de jurisdicciones más favorables (forum shopping).
Además, los rápidos avances tecnológicos y los cambios en el mercado requieren que las disposiciones que dirigidas a regular la prestación de servicios de pago se mantengan lo más alineadas posible con el objetivo general de promover una industria de servicios de pago sólida y eficiente.
Armonización de la legislación sobre servicios de pago y dinero electrónico
La Propuesta no solo tiene por objetivo derogar la PSD2, sino también la Segunda Directiva de Dinero Electrónico (EMD2), integrando efectivamente la oferta de ambos servicios bajo un solo marco regulatorio. De acuerdo con la Propuesta, las entidades podrán solicitar una autorización para operar como Entidades de Pago (PIs, por sus siglas en inglés) y ofrecer servicios de pago, que podrán incluir (o no) la oferta de dinero electrónico. A pesar de esta integración, la Propuesta prevé requisitos más estrictos para las PIs que ofrezcan servicios de dinero electrónico con el fin de mantener ciertos aspectos de la EMD2 que no se solapaban con la PSD2, como serían los requisitos de capital inicial más elevados que se exigen a las PIs que ofrecen servicios de dinero electrónico. El mantenimiento de requisitos específicos de la regulación del dinero electrónico garantiza que los aspectos únicos de este tipo de servicios se aborden de manera adecuada, al mismo tiempo que el régimen unificado simplifica el cumplimiento y la supervisión para las entidades que operan en varias jurisdicciones.
En virtud de la Propuesta, las PIs existentes (así como las entidades actualmente autorizadas como Entidades de Dinero Electrónico o EMIs, por sus siglas en inglés) deberán solicitar nuevas autorizaciones en un plazo de 24 meses tras la entrada en vigor de la directiva. Este requisito garantiza que todas las entidades cumplan con los estándares regulatorios actualizados establecidos en la Propuesta. La Comisión Europea, que se refiere a este régimen transitorio como “grandfathering”, permite de esta manera que las entidades continúen sus operaciones mientras se adaptan al nuevo marco regulatorio. En consecuencia, regularizar sus respectivas autorizaciones será la principal tarea que las entidades que actualmente operan como PIs o EMIs han de completar para adaptarse a la Propuesta, lo cual incluye, por ejemplo, seguir los procedimientos necesarios para obtener un "pasaporte" que les permita operar en diferentes países de la UE bajo el régimen de libre prestación de servicios.
Otros desafíos y oportunidades para los PSP
Más allá de la necesidad de solicitar nuevas autorizaciones, la trasposición de la Propuesta presenta una serie de desafíos y oportunidades específicos para los PSP. Uno de los desafíos más significativos es la necesidad de cumplir con los nuevos requisitos para la Autenticación Reforzada del Cliente (SCA, por sus siglas en inglés). La Propuesta exige que los PSP implementen mecanismos de monitorización de operaciones que respalden la aplicación de la SCA y mejoren la prevención y detección de fraudes. Esto no solo implica la implementación de nuevas tecnologías, sino también la adaptación de los procesos internos para asegurar que todas las operaciones sean monitorizadas y autenticadas de manera efectiva. Además, los PSP deben asegurarse de que los mecanismos de SCA sean accesibles para todos los clientes.
Además, en relación con el concepto de "accesibilidad", es importante señalar que la prestación de servicios de pago está incluida en el ámbito de aplicación de la trasposición de la Directiva Europea sobre Accesibilidad en la legislación española y que los PSP deberán revisar sus servicios para garantizar que sean universalmente accesibles. Esto puede requerir una revisión y actualización significativas de sus sistemas de autenticación para cumplir con estos estándares de inclusividad.
Otro gran desafío es la responsabilidad por operaciones no autorizadas. En virtud de la Propuesta, los PSP deben notificar a los ordenantes cualquier discrepancia entre el identificador único y el nombre del beneficiario, lo que aumenta sus obligaciones y responsabilidades en relación con la ejecución de una operación de pago cuando hay una discrepancia entre los identificadores únicos respecto al régimen de la PSD2. El incumplimiento de esta obligación puede suponer que los PSP sean responsables de operaciones no autorizadas. Además, los PSP solo pueden denegar reembolsos en casos de sospecha razonable de fraude. Esta responsabilidad adicional obligará a los PSP a implementar sistemas robustos de verificación y notificación para minimizar el riesgo de errores.
Sin embargo, la Propuesta también ofrece oportunidades significativas para los PSP, especialmente para aquellos involucrados en la facilitación del open banking, como los proveedores de servicios de pago gestor de cuenta. Una de las oportunidades más notables es el requisito de proporcionar una única interfaz dedicada al acceso a datos, aunque las posibilidades de acceso a datos de contingencia (respaldo o fallback) podrían permitirse en circunstancias específicas. Esto puede simplificar las operaciones y reducir los costes a largo plazo, lo que permite a los PSP centrarse en desarrollar servicios más innovadores y personalizados. La eliminación de la interfaz de respaldo también puede reducir la complejidad técnica y operativa, lo que permite una mayor eficiencia en la prestación de servicios.
Además, la introducción del "panel de permisos" bajo la Propuesta permitirá a los usuarios gestionar sus permisos de acceso de manera más efectiva. Estos paneles proporcionan a los usuarios una mayor transparencia y control sobre quién tiene acceso a sus datos financieros, lo que puede aumentar la confianza del cliente en los servicios de open banking. Al ofrecer a los usuarios herramientas para gestionar sus permisos de acceso, los PSP pueden fomentar una mayor adopción de los servicios de open banking y mejorar la satisfacción del cliente.
La Propuesta también permite la colaboración entre los PSP y otras entidades financieras con el propósito de prevenir fraudes mediante el intercambio de datos personales de sus usuarios. Aunque estas actividades de intercambio de datos pueden dar lugar a alianzas estratégicas que amplíen la oferta de servicios y mejoren la competitividad en el mercado, será necesario que las entidades financieras involucradas se comprometan a acuerdos de intercambio de información en plena observancia de la legislación en materia de protección de datos. Además, los PSP deberán realizar una evaluación de impacto relativa a la protección de datos (DPIA, por sus siglas en inglés) para verificar si estas actividades de intercambio de datos conllevan un alto riesgo para los derechos y libertades de sus usuarios.
Comentario de Osborne Clarke
Aunque no anticipamos que las PIs y EMIs que actualmente prestan servicios en estricto cumplimiento de la PSD2 y la EMD2 deban realizar cambios importantes en sus operaciones en virtud de la Propuesta, es aconsejable que estos operadores comiencen a diseñar sus planes de adaptación. También es importante tener en cuenta que es probable que los PSP tengan que llevar a cabo acciones adicionales una vez se adapten a la Propuesta, como revisar y, si es necesario, ajustar las prácticas de AML en relación con la monitorización de operaciones y/o sus procedimientos de incorporación de usuarios de servicios de pago como clientes.
