La Autoridad Bancaria Europea (“EBA” por sus siglas en inglés) publicó el pasado 4 de junio de 2020 la Opinión EBA/OP/2020/10, sobre los obstáculos a los que se refiere el artículo 32.3 del Reglamento Delegado (UE) 2018/389 de la Comisión, a través de la cual se aborda la necesidad por parte de los bancos de permitir a las Fintech prestar servicios de información sobre cuentas y/o de iniciación de pagos a aquellos usuarios que deseen autenticarse mediante procesos que sólo están disponibles en la aplicación de móvil del banco, y que habitualmente consisten en el uso de información biométrica del usuario (reconocimiento facial, huella dactilar, etc.)
Hablamos, sin duda, de una de las opiniones más esperadas por los prestadores de servicios de terceros (“TPP”, por sus siglas en inglés), que se clasifican en prestadores de servicios de información sobre cuentas (“AISP”, por sus siglas en inglés) y prestadores de servicios de iniciación de pagos (“PISP”, por sus siglas en inglés), quienes llevaban tiempo reclamando que la mayor parte de los prestadores de servicios gestores de cuenta (los bancos, o los “ASPSP”, por sus siglas en inglés) no habían tomado todas las medidas a las que obliga el artículo 32.3 del Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos, comunes y seguros (en adelante, “RTS-SCA”, por sus siglas en inglés), al no permitir a los clientes de los TPP todos los medios de autenticación de los que les proveen cuando acceden a los servicios del ASPSP de forma directa, es decir, sin la intermediación de un TPP.
En particular, el artículo 32.2 del RTS-SCA establece:
Los proveedores de servicios de pago gestores de cuenta que hayan establecido una interfaz específica se asegurarán de que esta no cree obstáculos a la prestación de servicios de iniciación de pagos y servicios de información sobre cuentas. Estos obstáculos pueden incluir, entre otras cosas, impedir el uso por los proveedores de servicios de pago a que se refiere el artículo 30, apartado 1, de las credenciales expedidas por los proveedores de servicios de pago gestores de cuenta a sus clientes; imponer la redirección hacia la autenticación u otras funciones del proveedor de servicios de pago gestor de cuenta; exigir autorizaciones y registros adicionales, además de los previstos en los artículos 11, 14 y 15 de la Directiva (UE) 2015/2366; o exigir controles adicionales del consentimiento dado por los usuarios de los servicios de pago a los proveedores de servicios de iniciación de pagos y servicios de información sobre cuentas.
Adicionalmente, hay que tener en cuenta que la EBA ya se había pronunciado sobre el citado artículo en su Opinión EBA-Op-2018-04, de 13 de junio de 2018:
- When determining which method(s) to use for the purpose of carrying out the authentication procedure, in line with Article 97(5) PSD2 and Article 30(2) of the RTS, all methods of SCA provided to the PSU need to be supported when an AISP or PISP is used. If they were not, this would constitute an obstacle.Therefore, which method, or combination of methods, any particular ASPSP needs to use will depend on the authentication procedures it offers to its own PSUs.
Sin embargo, los TPP entendieron que este pronunciamiento de la EBA no había sido implementado con el suficiente rigor por la mayor parte de los ASPSP que, hasta la fecha, permitían al usuario acceder a los servicios del TPP utilizando su clave de acceso y, en ocasiones, cualquier otro medio de autenticación puesto a disposición de sus clientes en su entorno web, mediante el procedimiento conocido como el app-to-web, mediante el cual el usuario que desea optar por otra forma de autenticación es redirigido a la web del ASPSP, en la cual selecciona uno de los métodos de autenticación allí disponibles. Una vez autenticado en el entorno de la web del ASPSP, el usuario es de nuevo redirigido a la app del TPP.
No obstante, el uso del método app-to-web no permite al usuario seleccionar aquellas opciones de autenticación que únicamente están disponibles en la app del ASPSP, razón por la cual los TPP presionaban a la EBA para que reconociera que el artículo 32.3 del RTS-SCA obligaba a los ASPSP a permitir a los clientes del TPP la autenticación mediante aquellos procesos que únicamente estuvieran disponibles en la app del ASPSP.
El proceso conocido como app-to-app hace técnicamente posible el reclamo de los TPP, basándose su funcionamiento en los mismos principios que el app-to-web. Si el usuario tiene instalada en su dispositivo móvil la app del ASPSP, podrá optar por ser redirigido a dicha app para autenticarse utilizando cualquier otro proceso habilitado por el ASPSP en este entorno, siendo después redirigido a la app del TPP.
La sociedad británica Open Banking Limited explica el proceso del app-to-app en el sitio web www.standards.openbanking.org.uk, con el siguiente gráfico:
Una vez analizados los precedentes de la Opinión EBA/OP/2020/10, examinemos qué ha dicho exactamente la EBA con respecto al app-to-app:
- […] ASPSPs that enable their PSUs to authenticate using biometrics when directly accessing their payment accounts or initiating a payment, and that require the PSU to authenticate with the ASPSP to use AISPs/PISPs’ services, should also enable their PSUs to use biometrics to authenticate with the ASPSP in a PIS or AIS journey. Given that biometrics are not transmittable credentials, this means that these ASPSPs should enable their PSUs to authenticate with the ASPSP in an AISP or PISP journey using biometrics, by supporting decoupled authentication or app-to-app redirection to the ASPSP’s authentication app, and secure transmission of the ASPSP’s app authentication status to the ASPSP (e.g. using a signed proof that the biometric validation has been performed successfully).
Atendiendo al texto citado, queda claro que la EBA entiende que cualquier ASPSP que permita a sus usuarios la autenticación reforzada mediante el uso de información biométrica está obligado a permitir a dichos usuarios el uso de esta opción cuando deseen acceder a los servicios de los TPP. Para ello, el ASPSP deberá poner a disposición de los TPP una conexión app-to-app.
Sin perjuicio de lo anterior, es importante recordar que las opiniones de la EBA no son fuente de derecho en nuestro ordenamiento jurídico, no obstante, la opinión de una autoridad europea especializada en la interpretación de las normas bancarias comunitarias debe ser debe ser tenida en alta consideración por cualquier entidad financiera a la hora de crear un marco de cumplimiento normativo y de buenas prácticas.
Javier Carrascal de la Pisa. Asociado IT & Privacy ECIJA
