Articulo 25 Se complementa la Directiva (UE) 2015/2366 en lo relativo a normas para autenticación reforzada de clientes

1. Los proveedores de servicios de pago garantizarán que la entrega al usuario de servicios de pago de credenciales de seguridad personalizadas y de dispositivos y programas informáticos de autenticación se lleva a cabo de una forma segura que aborde los riesgos relacionados con su uso no autorizado debido a su extravío, robo o reproducción.

2. A efectos del apartado 1, los proveedores de servicios de pago aplicarán, como mínimo, todas las medidas siguientes:

a) mecanismos de entrega seguros y eficaces que garanticen que las credenciales de seguridad personalizadas y los dispositivos y programas informáticos de autenticación se entregan al legítimo usuario de servicios de pago;

b) mecanismos que permitan al proveedor de servicios de pago comprobar la autenticidad de los programas informáticos de autenticación entregados al usuario de servicios de pago a través de internet;

c) medidas que garanticen que, cuando la entrega de credenciales de seguridad personalizadas se ejecute fuera de los locales del proveedor de servicios de pago o a través de un canal remoto:

i) ningún tercero no autorizado pueda obtener más de una característica de las credenciales de seguridad personalizadas o los dispositivos o programas informáticos de autenticación cuando se entreguen a través del mismo canal,

ii) las credenciales de seguridad personalizadas o los dispositivos o programas informáticos de autenticación entregados requieran activación antes de su utilización;

d) medidas que garanticen que, en los casos en que las credenciales de seguridad personalizadas o los dispositivos o programas informáticos de autenticación deban activarse antes de su primera utilización, la activación tenga lugar en un entorno seguro de conformidad con los procedimientos de asociación a que se refiere el artículo 24.