Articulo 4 Se complementa la Directiva (UE) 2015/2366 en lo relativo a normas para autenticación reforzada de clientes

1. Cuando los proveedores de servicios de pago apliquen la autenticación reforzada de clientes, de conformidad con el artículo 97, apartado 1, de la Directiva (UE) 2015/2366, la autenticación se basará en dos o más elementos categorizados como conocimiento, posesión e inherencia y tendrá como resultado la generación de un código de autenticación.

El código de autenticación únicamente será aceptado por el proveedor de servicios de pago una sola vez cuando el ordenante lo use para acceder a su cuenta de pago en línea, para iniciar una operación de pago electrónico o para llevar a cabo cualquier acción a través de un canal remoto que pueda entrañar un riesgo de fraude en el pago u otros abusos.

2. A efectos del apartado 1, los proveedores de servicios de pago adoptarán medidas de seguridad que garanticen el cumplimiento de todos los requisitos siguientes:

a) que la divulgación del código de autenticación no permita derivar información alguna sobre ninguno de los elementos a que se refiere el apartado 1;

b) que no sea posible crear un nuevo código de autenticación basado en el conocimiento de cualquier otro código de autenticación generado anteriormente;

c) que el código de autenticación no pueda ser falsificado.

3. Los proveedores de servicios de pago garantizarán que la autenticación mediante la generación de un código de autenticación implique todas las medidas siguientes:

a) cuando la autenticación para el acceso remoto, los pagos remotos electrónicos y cualesquiera otras acciones a través de un canal remoto que puedan entrañar un riesgo de fraude en el pago u otros abusos no haya logrado generar un código de autenticación a efectos de lo dispuesto en el apartado 1, no será posible determinar cuál de los elementos mencionados en dicho apartado era incorrecto;

b) el número de intentos fallidos de autenticación que pueden tener lugar consecutivamente, alcanzado el cual las acciones a que se hace referencia en el artículo 97, apartado 1, de la Directiva (UE) 2015/2366 se bloquearán temporal o permanentemente, no excederá de cinco dentro de un período de tiempo determinado;

c) las sesiones de comunicación estarán protegidas contra la captación de los datos de autenticación transmitidos durante esta y contra la manipulación por personas no autorizadas, de conformidad con los requisitos establecidos en el capítulo V;

d) el tiempo máximo sin actividad del ordenante después de que este haya procedido a su autenticación para acceder a su cuenta de pago en línea no excederá de cinco minutos.

4. En caso de que el bloqueo a que se refiere el apartado 3, letra b), sea temporal, la duración de dicho bloqueo y el número de reintentos se determinarán en función de las características del servicio prestado al ordenante y de todos los riesgos pertinentes conexos, teniendo en cuenta, como mínimo, los factores a que se refiere el artículo 2, apartado 2.

Deberá alertarse al ordenante antes de hacer permanente el bloqueo.

En caso de que el bloqueo se haya hecho permanente, deberá establecerse un procedimiento seguro que permita al ordenante recuperar el uso de los instrumentos de pago electrónico bloqueados.