En la mañana de este pasado jueves, presentado por Jesús Pindado, tesorero de la Junta Directiva de ASCOM y responsable del grupo de trabajo de compliance officer del sector financiero, Ricardo Plasencia socio de DLA PIPER abordó la problemática que surge de la nueva Directiva de Pagos PSD2 que entró en vigor este pasado 14 de septiembre.
Plasencia es un experto en regulación financiera, pagos o directiva MIFID dentro de este despacho internacional. Su intervención ofreció una interesante aportación respecto al desconocimiento técnico de esta normativa y como se está implantando en nuestro país “Es una norma muy técnica con mucha letra pequeña que hay que estudiar bien”, apunta tras dicho encuentro.
La principal finalidad de esta directiva es reconocer desde el punto de vista jurídico realidades existentes “introduce dos figuras nuevas en los servicios de pagos que son los iniciadores de los servicios de pagos y los servicios de información de cuentas, también conocidos como agregadores. Estos dos tipos de entidades están más centradas en los datos”.
Para Plasencia, uno de los elementos a considerar es que estos actores acceden a datos de cuentas de clientes “y se puede ver como una oportunidad para que estas empresas irrumpan en el sector financiero. Aquí podrían citarse las empresas Fintech puras y duras tipo startups hasta las empresas tecnológicas o empresas de telecomunicaciones u otras que se dedican al scoring o solvencia de créditos”.
Esta apertura de entrar en los servicios financieros“ se hace, en primer lugar con la condición que estas empresas estén reguladas y que al mismo tiempo las comunicaciones para obtener esa información sean seguras. Se trata de evitar el fraude e incidentes de ciberseguridad como las suplantaciones de identidad de los usuarios de estos servicios de pagos”, aclara este jurista.
Esta compleja normativa que entró en vigor el pasado 14 de septiembre ha generado una moratoria, pendiente en España que el propio Banco de España dé su conformidad “la Autoridad Europea Bancaria ha señalado para la Autentificación Reforzada del Cliente, SCA, tanto para las entidades financieras y comercios online tendrán de plazo hasta el 31 de diciembre del 2020 para implementarla”.
Este mecanismo de SCA ya se va adaptando a las empresas del sector financiero, en muchas cuentas bancarias se pide al usuario que introduzca un código que le ha llegado al móvil como Autentificación Reforzada “sin embargo, a nivel de compra online todavía no está implementado en todos los comercios”.
Este experto en medios de pagos explica que a día de hoy solo hay dos empresas registradas nuevas que prestan nuevos servicios “A día de hoy hay muchas entidades que han solicitado este registro para dar los servicios de iniciación de pagos como de agregación de cuentas y que no lo pueden hacer porque al no tener la autorización del Banco de España no pueden prestar este servicio y lo han tenido que suspender”.
El papel del compliance officer
En este encuentro con los socios de ASCOM, el socio de mercantil de DLA Piper explicó de que forma debe estar involucrado el compliance officer en la gestión de esta nueva responsabilidad “Es un tema del área tecnológica (IT) y al mismo tiempo de compliance porque hay que procurar cumplir la norma, salvo excepciones, en cuanto a la petición de la citada Autentificación Reforzada”, apunta.
Otra cuestión jurídica importante tiene que ver con la problemática de los consentimientos porque los clientes darán ese consentimiento de forma directa o indirecta a terceros “El papel del compliance officer es importante porque la entidad financiera tendrá que cumplir la norma”. Al final una política de formación específica ayudará a conocer este tipo de normativa y que los procesos de la empresa cumplen con ella”.
Para este experto, salvo el tema de las autorizaciones del Banco de España o la autorización de contratos “hablamos de una norma que en el día a día tampoco nos da mucho trabajo. Muchas entidades financieras han creado sus grupos de trabajo sobre PSD2 donde trabajan conjuntamente profesionales del área legal, compliance y IT para poder responder a lo que norma exige”.
Otro de los objetivos de la mencionada directiva es incrementar la seguridad de las transacciones online. “Las empresas tendrán que informar al Banco de España de episodios de fraude o de problemas de seguridad. A nivel de compliance deberán tener la capacidad de detectar ese fallo e informar al supervisor”, subraya.
Por otro lado, en cuanto a lo temas de suplantaciones de identidades por pagos a través del móvil o vía remota “lo que trata la Autentificación Reforzada es actuar como un doble filtro de seguridad, como código de uso único, para evitar este tipo de situaciones y que nadie utilice tus datos para entrar en la propia cuenta. Habrá que ver como reaccionan los hackers a este nuevo modelo de seguridad”.
Al hilo de esta directiva de Medios de Pagos el propio Banco de España creó un equipo interno para gestionar toda la información que le llegase de entidades implicadas en el cumplimiento de la norma. Esto también ha supuesto que reforzase su área tecnológica para supervisar el cumplimiento que hagan las empresas afectadas por PSD2 a todos los niveles.
Como consejo que ofrece a los compliance officer especialmente del sector financiero que tengan que lidiar con esta normativa, Ricardo Plasencia alude a “que lo primero es estudiar bien la norma para poder detectar si hay algún problema en el seno de su empresa que les pueda involucrar”.