top of page
blue trudexia Trans Background.png
Russell

BRIEFING: PSD2 Obligaciones con respecto a los proveedores de servicios externos y la externalización


PSD2 Obligations Regarding Third-Party Service Providers and Outsourcing

Introducción


La Payment Services Directive 2 (PSD2) es una legislación clave diseñada para modernizar el panorama de pagos de la Unión Europea. Más allá de promover la innovación y la competencia, introduce varios requisitos regulatorios destinados a mejorar la seguridad y la protección del consumidor en los servicios de pago. Uno de los cambios más significativos en la PSD2 es la regulación de los proveedores de servicios de terceros (TPPs) y la externalización de servicios por parte de entidades del sector de pagos.


Este artículo profundiza en las obligaciones de la PSD2 en relación con los TPP y los proveedores de servicios de externalización, proporcionando claridad sobre lo que las entidades deben hacer para garantizar el cumplimiento y mitigar los riesgos.


Visión general


La PSD2 altera significativamente el panorama regulatorio para los proveedores de servicios externos y la externalización dentro del sector de pagos. Las entidades bajo PSD2 tienen obligaciones claras cuando trabajan con TPPs, incluyendo la concesión de acceso a cuentas de pago en condiciones seguras, garantizar el cumplimiento de los estándares de seguridad y ser transparentes con los consumidores sobre sus derechos. Además, los acuerdos de externalización deben cumplir estrictos requisitos de diligencia debida y supervisión para garantizar que las funciones subcontratadas no comprometan la prestación de servicios o el cumplimiento normativo.


Para las instituciones financieras, es esencial comprender estas obligaciones con el fin de fomentar servicios de pago seguros, innovadores y que cumplan con las normas. Garantizar prácticas sólidas de externalización y terceros ayudará a mitigar los riesgos y mejorar la eficiencia operativa en línea con los objetivos de la PSD2 de mayor seguridad y protección de los consumidores en el mercado europeo de pagos.


Entendiendo los proveedores de servicios de terceros (TPP) en PSD2


Según la PSD2, los TPP se definen como entidades que prestan servicios de pago a consumidores o empresas, pero que no son en sí mismas las instituciones tenedoras de cuentas (bancos o entidades de crédito). Entre ellas se encuentran:


  • Proveedores de servicios de iniciación de pagos (PISP): Estos proveedores inician pagos en nombre de los usuarios, lo que les permite realizar pagos en línea desde sus cuentas bancarias.

  • Proveedores de servicios de información de cuentas (AISP): estos proveedores agregan y proporcionan acceso a la información de las cuentas de pago de los usuarios, lo que permite a los consumidores ver los saldos y el historial de transacciones en varias cuentas.


La PSD2 establece que los bancos (denominados Proveedores de Servicios de Pago de Mantenimiento de Cuentas o ASPSP) deben permitir a los TPP el acceso a la información de las cuentas de pago e iniciar pagos, siempre que los consumidores hayan dado su consentimiento.


Obligaciones con respecto a los proveedores de servicios externos


  • Acceso a las cuentas de pagoLos bancos y las instituciones financieras están obligados a conceder a los TPP acceso a la información de las cuentas de pago de los titulares de las cuentas, si el cliente da su consentimiento. Esta es la base del open banking bajo la PSD2. Los bancos deben asegurarse de que las interfaces que proporcionan para el acceso al TPP sean seguras, estandarizadas y fáciles de usar. También deben garantizar la integridad del acceso mediante el uso de medidas de seguridad adecuadas, como la autenticación reforzada de clientes (SCA).


  • Requisitos de seguridad y cumplimientoLos bancos están obligados a verificar que los TPP estén registrados o autorizados por las autoridades competentes antes de otorgarles acceso a las cuentas de los clientes. Los TPP deben cumplir con los estándares de seguridad de la PSD2, especialmente en relación con el consentimiento del cliente, la protección de datos y la prevención del fraude. Los bancos deben establecer procedimientos claros para responder y bloquear los intentos de acceso no autorizado o el uso indebido por parte de los TPP.


  • Responsabilidad y Protección al ConsumidorLa PSD2 estipula reglas claras sobre la protección del consumidor en el contexto de las transacciones TPP. Los bancos y los TPP son responsables de los pagos no autorizados o de las fallas en los servicios. Los TPP deben informar claramente a los usuarios sobre sus derechos y responsabilidades, y garantizar la total transparencia con respecto a cualquier tarifa o cargo.


Obligaciones de externalización en virtud de la PSD2

La PSD2 también introduce una importante normativa para los acuerdos de externalización dentro de las entidades reguladas por la directiva. Los proveedores de servicios de pago (PSP), incluidos los bancos, deben adherirse a normas específicas si externalizan funciones operativas críticas o importantes.


Principales obligaciones de externalización:


  • Evaluación de riesgos y diligencia debida

    Al externalizar servicios o funciones críticas, las entidades deben realizar una evaluación de riesgos exhaustiva y realizar la debida diligencia para garantizar que el proveedor de servicios pueda cumplir con los requisitos reglamentarios. Esto incluye evaluar la estabilidad financiera, la capacidad operativa y el cumplimiento de la PSD2 del proveedor.


  • Resiliencia operativa y supervisiónLas entidades deben asegurarse de que los acuerdos de externalización no comprometan su capacidad para cumplir con las obligaciones regulatorias. Esto incluye mantener el control sobre los servicios subcontratados y garantizar que el rendimiento del proveedor de servicios se supervise periódicamente. Los proveedores de servicios de pago (PSP) siguen siendo responsables de cumplir con la PSD2, incluso si la función se externaliza.


  • Transparencia y rendición de cuentasLa PSD2 exige que las entidades revelen cualquier acuerdo de externalización a las autoridades de supervisión pertinentes, especialmente cuando se externalizan actividades críticas como el procesamiento de pagos, la detección de fraudes o la gestión de datos de clientes. Los contratos de externalización también deben especificar los términos de la prestación de servicios, la presentación de informes y las auditorías para garantizar el cumplimiento.


  • Acceso regulatorio a los datosEn virtud de la PSD2, incluso si una función está externalizada, la institución financiera debe asegurarse de que las autoridades competentes (como los reguladores nacionales o el Banco Central Europeo) tengan acceso a cualquier información que necesiten para la supervisión. Esto significa que los proveedores de servicios de externalización deben permitir a los reguladores el acceso a los datos, registros y operaciones necesarios con fines de supervisión.


  • Estrategia de salida y planificación de continuidadLas entidades deben tener una estrategia de salida clara en caso de que necesiten poner fin a la relación de externalización. Esta estrategia debe incluir un plan para transferir los servicios de vuelta a la empresa o a otro proveedor sin interrumpir los servicios de pago. Además, deben asegurarse de que las funciones críticas puedan continuar durante y después de la transición.


¿Cómo puede ayudar Trudexia?


Trudexia apoya el cumplimiento de la PSD2 ofreciendo evaluaciones de riesgos exhaustivas y una debida diligencia continua para proveedores de servicios externos y acuerdos de externalización. Estas características ayudan a las organizaciones a garantizar que sus proveedores cumplan con los estrictos estándares de seguridad y cumplimiento de PSD2. Al identificar vulnerabilidades, monitorear continuamente los ecosistemas de proveedores y adaptar los planes de tratamiento de riesgos, Trudexia ayuda a reducir los riesgos asociados con las relaciones con terceros. Los informes automatizados de Trudexia simplifican la supervisión regulatoria, garantizan la transparencia y la rendición de cuentas, al tiempo que ayudan a las entidades a mantener la resiliencia operativa y el cumplimiento de los requisitos de PSD2.

1 visualización
bottom of page