Articulo 18 Se complementa la Directiva (UE) 2015/2366 en lo relativo a normas para autenticación reforzada de clientes

1. Los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de clientes cuando el ordenante inicie una operación remota de pago electrónico cuyo nivel de riesgo el proveedor de servicios de pago haya identificado como bajo según los mecanismos de supervisión de las operaciones a que se hace referencia en el artículo 2 y en el apartado 2, letra c), del presente artículo.

2. Se considerará que el nivel de riesgo de las operaciones de pago electrónico mencionadas en el apartado 1 es bajo cuando se cumplan todas las condiciones siguientes:

a) que el índice de fraude para ese tipo de operaciones, señalado por el proveedor de servicios de pago y calculado con arreglo al artículo 19, sea equivalente o inferior al índice de fraude de referencia especificado en el cuadro que figura en el anexo para los «pagos remotos electrónicos con tarjeta» y las «transferencias de créditos remotas electrónicas», respectivamente;

b) que el importe de la operación no supere el valor umbral de exención (en lo sucesivo, «VUE») pertinente, que se especifica en el cuadro que figura en el anexo;

c) que los proveedores de servicios de pago no hayan detectado, como consecuencia de la realización de un análisis del riesgo en tiempo real, ninguno de los elementos siguientes:

i) gastos o pautas de comportamiento anormales en el ordenante,

ii) información inusual sobre el dispositivo o programa informático de acceso del ordenante,

iii) infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación,

iv) supuestos conocidos de fraude en la prestación de servicios de pago,

v) una ubicación anormal del ordenante,

vi) una ubicación de alto riesgo del beneficiario.

3. Los proveedores de servicios de pago que tengan intención de eximir operaciones remotas de pago electrónico de la autenticación reforzada de clientes por entender que implican un bajo nivel de riesgo deberán tener en cuenta, como mínimo, los siguientes factores basados en el riesgo:

a) las pautas de gasto anteriores del usuario de servicios de pago en concreto;

b) el historial de operaciones de pago de cada usuario de servicios de pago del proveedor de que se trate;

c) la ubicación del ordenante y del beneficiario en el momento de la operación de pago en los casos en que el dispositivo o el programa informático de acceso sea facilitado por el proveedor de servicios de pago;

d) la identificación de pautas de pago anormales del usuario de servicios de pago en relación con su historial de operaciones de pago.

La evaluación realizada por el proveedor de servicios de pago combinará todos los citados factores basados en el riesgo en una puntuación de riesgo para cada operación específica, con el fin de determinar si un pago concreto debe permitirse sin la autenticación reforzada de clientes.