Acerca de operadores lógicos
Articulo 30 Se complementa la Directiva (UE) 2015/2366 en lo relativo a normas para autenticación reforzada de clientes
Artículo 30. Obligaciones generales para las interfaces de acceso
1. Los proveedores de servicios de pago gestores de cuenta que ofrezcan a un ordenante una cuenta de pago accesible en línea deberán contar con al menos una interfaz que cumpla todos los requisitos siguientes:
a) que los proveedores de servicios de información sobre cuentas, los proveedores de servicios de iniciación de pagos y los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas puedan identificarse ante el proveedor de servicios de pago gestor de cuenta;
b) que los proveedores de servicios de información sobre cuentas puedan comunicarse de forma segura para solicitar y recibir información sobre una o más cuentas de pago designadas y las operaciones de pago asociadas a ellas;
c) que los proveedores de servicios de iniciación de pagos puedan comunicarse de forma segura para iniciar una orden de pago a partir de la cuenta de pago del ordenante y recibir toda la información sobre la iniciación de la operación de pago y toda la información accesible a los proveedores de servicios de pago gestores de cuenta relativa a la ejecución de la operación de pago.
2. A efectos de la autenticación del usuario de servicios de pago, la interfaz a que se refiere el apartado 1 debe permitir a los proveedores de servicios de información sobre cuentas y los proveedores de servicios de iniciación de pagos servirse de todos los procedimientos de autenticación facilitados al usuario del servicio de pago por el proveedor de servicios de pago gestor de cuenta.
La interfaz deberá cumplir como mínimo todos los requisitos siguientes:
a) que un proveedor de servicios de iniciación de pagos o un proveedor de servicios de información sobre cuentas pueda dar instrucciones al proveedor de servicios de pago gestor de cuenta para iniciar una autenticación basada en el consentimiento del usuario de servicios de pago;
b) que las sesiones de comunicación entre el proveedor de servicios de pago gestor de cuenta, el proveedor de servicios de información sobre cuentas, el proveedor de servicios de iniciación de pagos y cualquier usuario de servicios de pago de que se trate se establezcan y mantengan durante todo el proceso de autenticación;
c) que la integridad y la confidencialidad de las credenciales de seguridad personalizadas y de los códigos de autenticación transmitidos por el proveedor de servicios de iniciación de pagos o el proveedor de servicios de información sobre cuentas, o a través de ellos, estén garantizadas.
3. Los proveedores de servicios de pago gestores de cuenta garantizarán que sus interfaces sigan estándares de comunicación emitidos por organizaciones de normalización internacionales o europeas.
Los proveedores de servicios de pago gestores de cuenta se asegurarán también de que las especificaciones técnicas de cualquiera de las interfaces se documentan especificando un conjunto de rutinas, protocolos y herramientas que necesitan los proveedores de servicios de iniciación de pagos, los proveedores de servicios de información sobre cuentas y los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas para permitir la interoperabilidad de sus programas informáticos y aplicaciones con los sistemas de los proveedores de servicios de pago gestores de cuenta.
No menos de seis meses antes de la fecha de aplicación a que se refiere el artículo 38, apartado 2, o antes de la fecha prevista para la aparición en el mercado de la interfaz de acceso cuando dicha aparición tenga lugar después de la fecha indicada en el artículo 38, apartado 2, los proveedores de servicios de pago gestores de cuenta deberán, como mínimo, previa solicitud de los proveedores autorizados de servicios de iniciación de pagos, de servicios de información sobre cuentas y de servicios de pago que emitan instrumentos de pago basados en tarjetas, o de los proveedores de servicios de pago que hayan presentado a sus autoridades competentes la solicitud de autorización pertinente, poner la documentación a disposición de estos de forma gratuita y dar acceso público en su sitio web a un resumen de esa documentación.
4. Además de lo dispuesto en el apartado 3, los proveedores de servicios de pago gestores de cuenta se asegurarán de que, salvo en situaciones de emergencia, cualquier modificación de las especificaciones técnicas de su interfaz se ponga a disposición de los proveedores autorizados de servicios de iniciación de pagos, de servicios de información sobre cuentas y de servicios de pago que emitan instrumentos de pago basados en tarjetas, o de los proveedores de servicios de pago que hayan presentado a sus autoridades competentes una solicitud de autorización pertinente, tan pronto como sea posible y en un plazo no inferior a tres meses antes de que se aplique la modificación.
Los proveedores de servicios de pago documentarán las situaciones de emergencia en las que se hayan introducido modificaciones y pondrán la documentación a disposición de las autoridades competentes previa solicitud.
4 bis. No obstante lo dispuesto en el apartado 4, los proveedores de servicios de pago gestores de cuenta pondrán a disposición de los proveedores de servicios de pago a que se refiere el presente artículo las modificaciones introducidas en las especificaciones técnicas de sus interfaces a fin de cumplir lo dispuesto en el artículo 10 bis al menos dos meses antes de que se apliquen dichas modificaciones.
5. Los proveedores de servicios de pago gestores de cuenta pondrán una instalación de prueba para pruebas funcionales y de conexión, que incluya asistencia, a disposición de los proveedores autorizados de servicios de iniciación de pagos, de servicios de pago que emitan instrumentos de pago basados en tarjetas o de servicios de información sobre cuentas, o de los proveedores de servicios de pago que hayan solicitado la autorización pertinente, con objeto de permitirles poner a prueba los programas informáticos y aplicaciones utilizados para ofrecer servicios de pago a los usuarios. Esta instalación de prueba debe estar disponible a más tardar seis meses antes de la fecha de aplicación a que se refiere el artículo 38, apartado 2, o antes de la fecha prevista para la aparición en el mercado de la interfaz de acceso cuando esta tenga lugar después de la fecha a que se hace referencia en el artículo 38, apartado 2.
Sin embargo, no se compartirá información sensible a través de la instalación de prueba.
6. Las autoridades competentes velarán por que los proveedores de servicios de pago gestores de cuenta cumplan en todo momento las obligaciones previstas en estos estándares en lo que respecta a la interfaz o las interfaces que pongan en marcha. En caso de que un proveedor de servicios de pago gestor de cuenta no cumpla con los requisitos fijados para las interfaces en los presentes estándares, las autoridades competentes velarán por que la prestación de servicios de iniciación de pagos y servicios de información sobre cuentas no se impida o distorsione en la medida en que los proveedores respectivos de esos servicios cumplan las condiciones establecidas en el artículo 33, apartado 5.
- Artículo modificado por REGLAMENTO DELEGADO (UE) 2022/2360 DE LA COMISIÓN de 3 de agosto de 2022 por el que se modifican las normas técnicas de regulación establecidas en el Reglamento Delegado (UE) 2018/389 en lo que respecta a la exención de 90 días para el acceso a las cuentas (Texto pertinente a efectos del EEE)
(DC de 05-12-2022) en vigor desde 25-12-2022