El objetivo del PayTech (tecnología disruptiva de pagos) es la simplificación y usabilidad para mejorar la experiencia del usuario de los pagos y también la globalización de las soluciones. Aún existen entidades financieras tradicionales que operan con productos adaptados a cada país, pero en la UE y en España, el regulador está realizando un esfuerzo significativo en crear un entorno financiero más globalizado y uniforme, además de un pago sin papel moneda y sin contacto.
Carmen Rodríguez, en el centro, es Managing Partner de Fintech Venture Consulting.
La piedra angular de la regulación de pagos es la Directiva PSD (Directiva de los Servicios de Pago), que ha sido migrada a PSD2. La directiva fue transpuesta a nuestro Ordenamiento de forma prácticamente idéntica, tanto en contenido como en estructura, mediante el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (“RDL 19/2018), y esta trae consigo novedades legislativas que se concretan en tres aspectos: introducción de los nuevos proveedores de servicios de pago, introducción del requisito de autenticación reforzada de clientes y la apertura por parte de los proveedores de servicios de pago gestores de cuentas a terceras empresas (concepto Open Banking).
En el primer aspecto, mención especial merecen las entidades de crédito al consumo y las entidades de dinero electrónico, reguladas, la primera, en la ley 10/2014, del 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito “LOSSEC”; la segunda, en la Ley 21/2011 y el Real Decreto 778/2012, del 4 de mayo, del Régimen Jurídico de las entidades del dinero electrónico (“RD 778/2012).
Nos detendremos en el segundo y tercer aspectos.
Autenticación reforzada
La autenticación reforzada se basa en tres conceptos:
- Conocimiento: algo que sólo conoce el usuario.
- Posesión: algo que sólo posee el usuario. Por ejemplo, generación de contraseñas de un solo uso, tokens, mensajes de texto o notificaciones de aceptación.
- Inherencia: algo instrínseco al usuario; ejemplo, el reconocimiento facial, escaneo de la retina o iris, huella dactilar…
En cuanto a la segunda, el concepto Open Banking se basa en la transferencia de los datos financieros del banco al propio cliente, que tiene como consecuencia que este pueda prestar su consentimiento para que terceras entidades hagan uso de su información financiera.
El Reglamento 2018/389 establece la obligación de los proveedores de servicios de pago gestores de cuentas de ofrecer una interfaz de acceso dedicada en forma de API (Application Programming Interface) u otro tipo de interfaz basada en web.
Se trata de derechos no dispositivos, es decir, no renunciables, ni transferibles para los consumidores y microempresas.
Dado que existe una visión de globalización en cuanto a la regulación del PayTech, es interesante observar el Derecho comparado con otros países de nuestro entorno; parece ser que ninguna entidad que implique regulación del PayTech ha tenido que detener su actividad en aras de conseguir una autorización por parte del Regulador, cosa que sí parece ocurrir en nuestro país, donde se requiere una aplicación más ágil de la normativa actual.
En otro orden de regulación, existe una normativa transversal para el PayTech; estamos hablando del Reglamento de la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y Financiación del Terrorismo (“RD 304/2014). Para llevar a cabo la identificación del cliente, existen una serie de requisitos que deberán cumplir todos aquellos que establezcan relaciones de negocio de forma no presencial, es decir, todos los casos de uso de PayTech.
La misma transversabilidad aplica a la normativa de Protección de Datos, en el que cabe destacar que el consentimiento del usuario ha de ser libre, específico, informado e inequívoco.
Y cabe mencionar recomendaciones extraídas de Derecho comparado, en este caso, también Reino Unido, que a través del organismo de supervisión FCA facilita la entrada de nuevos proyectos disruptivos en el ecosistema PayTech a través de la mejora de los canales de comunicación entre dicho organismo supervisor y organismo de vigilancia de la implantación de la normativa del Protección de Datos.
Los principales benefactores de dichas mejoras serían entidades como los Neobancos, que son entidades que están autorizadas a realizar todo tipo de operaciones financieras, a excepción de las operaciones de seguros, si bien pueden comercializarlos.
María del Carmen Rodríguez Bartolomé
Lawyer and Managing Partner en Fintech Venture Consulting, S.L.
