Fintech: la Autoridad Bancaria Europea se pronuncia sobre el app-to-app

La Autoridad Bancaria Europea (“EBA” por sus siglas en inglés) publicó el pasado 4 de junio de 2020 la Opinión EBA/OP/2020/10, sobre los obstáculos a los que se refiere el artículo 32.3 del Reglamento Delegado (UE) 2018/389 de la Comisión, a través de la cual se aborda la necesidad por parte de los bancos de permitir a las Fintech prestar servicios de información sobre cuentas y/o de iniciación de pagos a aquellos usuarios que deseen autenticarse mediante procesos que sólo están disponibles en la aplicación de móvil del banco, y que habitualmente consisten en el uso de información biométrica del usuario (reconocimiento facial, huella dactilar, etc.)

Hablamos, sin duda, de una de las opiniones más esperadas por los prestadores de servicios de terceros (“TPP”, por sus siglas en inglés), que se clasifican en prestadores de servicios de información sobre cuentas (“AISP”, por sus siglas en inglés) y prestadores de servicios de iniciación de pagos (“PISP”, por sus siglas en inglés), quienes llevaban tiempo reclamando que la mayor parte de los prestadores de servicios gestores de cuenta (los bancos, o los “ASPSP”, por sus siglas en inglés) no habían tomado todas las medidas a las que obliga el artículo 32.3 del Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos, comunes y seguros (en adelante, “RTS-SCA”, por sus siglas en inglés), al no permitir a los clientes de los TPP todos los medios de autenticación de los que les proveen cuando acceden a los servicios del ASPSP de forma directa, es decir, sin la intermediación de un TPP.

En particular, el artículo 32.2 del RTS-SCA establece:

Los proveedores de servicios de pago gestores de cuenta que hayan establecido una interfaz específica se asegurarán de que esta no cree obstáculos a la prestación de servicios de iniciación de pagos y servicios de información sobre cuentas. Estos obstáculos pueden incluir, entre otras cosas, impedir el uso por los proveedores de servicios de pago a que se refiere el artículo 30, apartado 1, de las credenciales expedidas por los proveedores de servicios de pago gestores de cuenta a sus clientes; imponer la redirección hacia la autenticación u otras funciones del proveedor de servicios de pago gestor de cuenta; exigir autorizaciones y registros adicionales, además de los previstos en los artículos 11, 14 y 15 de la Directiva (UE) 2015/2366; o exigir controles adicionales del consentimiento dado por los usuarios de los servicios de pago a los proveedores de servicios de iniciación de pagos y servicios de información sobre cuentas.