Archivo de la categoría: Compliance

Sistemas de identificación digital de otros países utilizables en España


Hace tres meses expliqué los pasos hacia el reconocimiento mutuo de los esquemas de identificación electrónica en Europa que están dando los países europeos, en el marco del Reglamento UE No 910/2014 (EIDAS), y que prevé el calendario de adopción siguiente:

eIDAS_timeline

Básicamente se trataba de difundir los sistemas de identificación (tarjetas chip semejantes al DNIe) que diferentes países habían notificado o estaban en proceso de notificar  a la Unión Europea como primer paso para su admisión en el resto de países para trámites de administración electrónica.

Los sistemas de identificación electrónica que han sido notificados deben ser reconocidos por los servicios públicos en el plazo de 12 meses desde la fecha de su publicación en el Diario Oficial de la UE (o el 29 de Septiembre de 2018 si el plazo es anterior).

En estos momentos solo hay un país cuyo sistema de identificación esté en estado “notificado“, mientras que varios otros en estado “pre-notificado“.

País: Alemania
Nombre del sistema: Sistema alemán de identificación electrónica basado en el control de acceso ampliado
Medios eID del sistema notificado:
–> Documento Nacional de Identidad
–> Permiso de residencia electrónico
Nivel de seguridad: Alto
Fecha de publicación de la notificación: 26 Septiembre 2017
Fecha de obligatorio reconocimiento: 29 Septiembre 2018
Publicación: 2017/C 319/03(Abre en nueva ventana)

Además de los atributos obligatorios (Identificador, Nombre, Apellido y Fecha de nacimiento) este esquema podría enviar los siguientes atributos opcionales:

  • Lugar de nacimiento,
  • Nombre y apellido al nacer,
  • Dirección actual.

Por tanto ya es admisible en España el  Sistema alemán de identificación electrónica.

Hay, además, 7 países (Italia, España, Luxemburgo, Estonia, Croacia, Bélgica y Portugal) que están en estado de “pre-notificado”, es decir, han iniciado el proceso de notificación para que el resto de países puedan evaluar sus Sistemas de identificación electrónica.

Por lo que en breve los sistemas de identificación de 6 países (Italia, Luxemburgo, Estonia, Croacia, Bélgica y Portugal) serán también admisibles en España.

Y en el mismo sentido, el DNI electrónico español será admisible en toda Europa

Desde la fecha de pre-notificación, deben pasar al menos 6 meses hasta que se efectúe la notificación.

Sistemas de identificación electrónica pre-notificados
País Nombre del Sistema Medios de eID del Sistema Atributos opcionales Fecha prenotificación
Italia SPID – Public System of Digital Identity. (Sistema Público de Identidad Digital) SPID Lugar de nacimiento, Dirección actual, Género 29 Nov 2017
España Documento Nacional de Identidad electrónico (DNIe) Documento Nacional de Identidad 20 Feb 2018
Luxemburgo Luxembourg national identity card (eID card). (Documento Nacional de Identidad de Luxemburgo) National Identity Card (Documento Nacional de Identidad) Lugar de nacimiento, Dirección actual, Género 26 Feb 2018
Estonia Estonian eID scheme (Esquema de eID de Estonia) ID card
RP card
Digi-ID
e-Residency Digi-ID
Mobiil-ID
Diplomatic identity card
27 Feb 2018
Croacia National Identification and Authentication System (NIAS). (Sistema Nacional de identificación y autenticación) Croatian personal identity card (eOI) (Documento de identidad personal croata) Lugar de nacimiento, Dirección actual, Género 28 Feb 2018
Bélgica Belgian eID Scheme FAS / eCards (Esquema eID de Bélgica) National Electronic Identity Card (Citizen eCard) Electronic Resident Card (Foreigner eCard) (Documento Nacional de Identidad electrónico y documento electrónico de residente extranjero) Lugar de nacimiento, Género 28 May 2018
Portugal Cartão de Cidadão
(Documento del ciudadano)
Portuguese national identity card (eID card)
(Documento Nacional de Identidad portugués)
Dirección actual, Género 30 May 2018
Chave Móvel Digital
(Clave móvil digital )
Digital Mobile Key
(Clave móvil digital)
Dirección actual, Género
Sistema de Certificação de Atributos Profissionais
(Sistema de Certificación de Atributos Profesionales)
Professional Attributes Certification System
(Sistema de Certificación de Atributos Profesionales)
Dirección actual, Género

 

Este artículo se basa en la noticia publicada en el Portal de Administración Electrónica “Sistemas de identificación electrónica notificados

Más pasos hacia el reconocimiento mutuo de los esquemas de identificación electrónica en Europa


En los últimos meses se observa un progreso notable hacia el reconocimiento mutuo de los esquemas de identificación electrónica en toda la Unión Europea. Cuatro países han realizado la notificación previa de sus esquemas de identificación electrónica: España, Luxemburgo, Estonia y Croacia, tras la la notificación previa de Italia en noviembre de 2017.

La notificación previa es el primero de tres pasos introducidos por el Reglamento (UE) n.º 910/2014 (EIDAS) sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interno con el objetivo de generar confianza entre los Estados miembros y garantizar la interoperabilidad y la seguridad de los esquemas de identificación electrónica notificados.

Seis meses antes de la fecha en la que se pretende realizar la  notificación, los Estados miembros comparten información relacionada con sus esquemas de identificación electrónica, que incluyen: una descripción de la solución, información sobre el proveedor de identidad y el nivel estimado de aseguramiento de identidad, explicación sobre el régimen de responsabilidad atribuible a las autoridades en los potenciales incidentes, descripción del procedimiento para obtener y revocar una identificación electrónica y una descripción del proceso de autenticación en línea.

La información compartida por los Estados miembros contribuirá al proceso de revisión inter pares, permitiendo que el esquema de identificación electrónica se evalúe según los requisitos de calidad y seguridad establecidos por el Reglamento eIDAS.

El 20 de febrero de 2018, España realizó la notificación previa de su tarjeta de identificación electrónica para ciudadanos (DNI Electrónico) que presenta, en su última versión (3.0), un nuevo sistema operativo y un chip de doble interfaz. Esto permite que se realice la firma electrónica con dispositivo seguro de creación de firma (el chip) tanto usando un lector de tarjeta chip (mediante los contactos del chip) como mediante lectores NFC (por ejemplo los incluidos en los teléfonos móviles) en modo sin contacto. El DNIe es obligatorio para todos los ciudadanos españoles mayores de 14 años que residan en el país. La aceptación del e-DNI como medio de identificación es obligatoria para todos los servicios públicos electrónicos en España, ya sean nacionales, regionales y autonómicos o locales y también se puede utilizar para acceder a servicios privados en línea tales como operadores bancarios, de telecomunicaciones, etc.

eId1-anverso_DNI-e

El 26 de febrero de 2018, Luxemburgo realizó la notificación previa de su tarjeta de identificación electrónica para ciudadanos de Luxemburgo, que consiste en una tarjeta inteligente sin contacto. La tarjeta de identificación de Luxemburgo es obligatoria para todos los ciudadanos luxemburgueses mayores de 15 años que residan en el país. La activación de los certificados en la tarjeta de identificación nacional debe solicitarse específicamente cuando se obtenga. Los ciudadanos pueden usar este medio de identificación como una forma de acceder a los servicios en línea públicos y privados en Luxemburgo.

eId2-CNI_reference

El 27 de febrero de 2018, Estonia realizó la notificación previa de seis tipos de identificación electrónica estonia: la tarjeta de identificación, la tarjeta RP, la tarjeta de identidad diplomática, Digi-ID, e-Residency Digi-ID y Mobiil-ID. Los primeros tres medios son tanto documentos de identificación física como identidades digitales, mientras que los tres últimos son solo para identificación en línea. La tarjeta de identificación nacional es obligatoria para estonios mayores de 15 años. La identificación móvil es voluntaria, pero solo puede ser activada por los propietarios de una tarjeta nacional de dentificación electrónica. La solución móvil ha sido muy bien recibida por los ciudadanos, con una tasa de 12,2% de votantes que usan Mobile-ID.

eId3-Estonian_identity_card,_2007

El 28 de febrero de 2018, Croacia realizó la notificación previa de de su esquema de identificación electrónica, el Sistema Nacional de Identificación y Autenticación (NIAS,  National Identification and Authentication System) utilizando como identificación el documento de identidad personal croata (eOI). Los datos de identificación personal se imprimen en la tarjeta y se almacenan electrónicamente en el chip. El NIAS es parte del sistema de información del estado llamado e-Citizens que incluye el sistema del Portal del Gobierno Central (Gov.hr) que reúne todos los servicios públicos disponibles y el sistema de Carpeta de Usuario Personal (OKP).

eid4-Osobna_iskaznica_2015_-_prednja_strana

Por tanto, cinco países (si se incluye Italia) han iniciado recientemente un proceso de revisión por pares de tres meses, realizado de forma voluntaria por los Estados miembros que participan en la Red de Cooperación, al que seguirá la notificación formal. Se espera que en total seis esquemas de identificación electrónica (contando con la notificación de Alemania en septiembre de 2017) quedarán notificados en el marco del reglamento eIDAS antes del 29 de septiembre de 2018.

A partir de esta fecha,  todos los Estados miembros de la UE deberán reconocer los Sistemas de Identificación Electrónica (eID) notificados de otros Estados miembros para permitir el acceso al público de servicios en línea gubernamentales (administración electrónica) que ya admitan mecanismos de  identificación electrónica desplegados por el propio país.

Este artículo está basado en el publicado por la Unión Europea: Progress made towards mutual recognition of eID schemes in Europe

 

Modificación del domicilio social de una sociedad


En España, la Ley de sociedades de capital (LSC) recoge desde 2015 (con la modificación introducida por la Ley 9/2015, de 25 de mayo, de medidas urgentes en materia concursal) la posibilidad de que el Consejo de Administración de una sociedad pueda tomar la decisión de cambiar el domicilio social dentro del territorio nacional. Ya existía con anterioridad la posibilidad de cambiarlo dentro del municipio.

Sin embargo, un criterio extendido entre los Registradores Mercantiles, y que afectaba a los estatutos que rutinariamente incluían entre las potestades de la Junta de Accionistas la de decidir el cambio de domicilio, (o del órgano de administración de decidir el cambio dentro de la misma localidad) contemplada en la legislación anterior, dificultaba la aplicación de esta previsión recogida en el artículo 285.2. Este problema requirió diferentes resoluciones de la Dirección General de Registros y de Notariado en el marco de los recursos gubernativos planeados por las discrepancias de interpretación entre notarios y registradores. En concreto pueden citarse la  Resolución de la DGRN de 3 de febrero de 2016 y  la Resolución de la DGRN de 30 de marzo de 2016.

En el BOE de ayer se publica una modificación que pretende acabar con las discrepancias interpretativas de ese artículo de la LSC:

Artículo único. Modificación del texto refundido de la Ley de Sociedades de Capital, aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio.

El artículo 285.2 del texto refundido de la Ley de Sociedades de Capital, aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio, queda redactado como sigue:

«2. Por excepción a lo establecido en el apartado anterior el órgano de administración será competente para cambiar el domicilio social dentro del territorio nacional, salvo disposición contraria de los estatutos. Se considerará que hay disposición contraria de los estatutos solo cuando los mismos establezcan expresamente que el órgano de administración no ostenta esta competencia.»

Disposición transitoria única. Régimen de los estatutos aprobados antes de la entrada en vigor de este real decreto-ley.

A los efectos previstos en el artículo 285.2 del texto refundido de la Ley de Sociedades de Capital, en la redacción dada por este real decreto-ley, se entenderá que hay disposición contraria de los estatutos solo cuando con posterioridad a la entrada en vigor de este real decreto-ley se hubiera aprobado una modificación estatutaria que expresamente declare que el órgano de administración no ostenta la competencia para cambiar el domicilio social dentro del territorio nacional.

Aunque el lugar en el que esté establecido el domicilio de la sociedad tiene ciertos efectos jurídicos, en la actualidad no está acompañado de uno muy relevante que tuvo en el pasado: la posibilidad de tener identificado de forma transparente (accediendo al registro mercantil)  el lugar al que dirigirse para  acceder al interlocutor jurídico de la sociedad (para reclamaciones, demandas, notificaciones,…).

En la actualidad, la sede electrónica (la página web de la sociedad) definida en el artículo 11 bis de la LSC es más importante a los efectos de transparencia de las sociedades con sus accionistas o partícipes y con sus clientes (para los que están previstas las menciones obligatorias recogidas en el artículo 10 de la LSSI-CE).

Uno de los elementos que se deberían haber modificado en la norma publicada ayer es la definición de domicilio social para que fuera más acorde con los nuevos tiempos de la digitalización.

El artículo 9 de la LSC establece que:

1. Las sociedades de capital fijarán su domicilio dentro del territorio español en el lugar en que se halle el centro de su efectiva administración y dirección, o en el que radique su principal establecimiento o explotación.

2. Las sociedades de capital cuyo principal establecimiento o explotación radique dentro del territorio español deberán tener su domicilio en España.

Definición que se ha quedado desfasada y que genera fricciones a la posibilidad del cambio de domicilio con cierta libertad.

 

Tendría sentido que en el centro de administración se custodie la documentación societaria de la empresa y se celebren los consejos de administración.

La ubicación del domicilio social determina el Registro Mercantil donde corresponde inscribir la sociedad; los Juzgados competentes para asuntos legales; la Delegación Tributaria que atiende los asuntos discales y tributarios de la sociedad y la normativa local o autonómica aplicable.

También hay que considerar en relación con las sociedades de capital el domicilio fiscal, que se define en el artículo 48 de la Ley General Tributaria

1. El domicilio fiscal es el lugar de localización del obligado tributario en sus relaciones con la Administración tributaria.

2. El domicilio fiscal será:

a) Para las personas físicas, el lugar donde tengan su residencia habitual. No obstante, para las personas físicas que desarrollen principalmente actividades económicas, en los términos que reglamentariamente se determinen, la Administración tributaria podrá considerar como domicilio fiscal el lugar donde esté efectivamente centralizada la gestión administrativa y la dirección de las actividades desarrolladas. Si no pudiera establecerse dicho lugar, prevalecerá aquel donde radique el mayor valor del inmovilizado en el que se realicen las actividades económicas.

b) Para las personas jurídicas, su domicilio social, siempre que en él esté efectivamente centralizada su gestión administrativa y la dirección de sus negocios. En otro caso, se atenderá al lugar en el que se lleve a cabo dicha gestión o dirección.

Cuando no pueda determinarse el lugar del domicilio fiscal de acuerdo con los criterios anteriores prevalecerá aquel donde radique el mayor valor del inmovilizado.

c) Para las entidades a las que se refiere el apartado 4 del artículo 35 de esta ley, el que resulte de aplicar las reglas establecidas en el párrafo b) anterior.

d) Para las personas o entidades no residentes en España, el domicilio fiscal se determinará según lo establecido en la normativa reguladora de cada tributo.

En defecto de regulación, el domicilio será el del representante al que se refiere el artículo 47 de esta ley. No obstante, cuando la persona o entidad no residente en España opere mediante establecimiento permanente, el domicilio será el que resulte de aplicar a dicho establecimiento permanente las reglas establecidas en los párrafos a) y b) de este apartado.

3. Los obligados tributarios deberán comunicar su domicilio fiscal y el cambio del mismo a la Administración tributaria que corresponda, en la forma y en los términos que se establezcan reglamentariamente. El cambio de domicilio fiscal no producirá efectos frente a la Administración tributaria hasta que se cumpla con dicho deber de comunicación, pero ello no impedirá que, conforme a lo establecido reglamentariamente, los procedimientos que se hayan iniciado de oficio antes de la comunicación de dicho cambio, puedan continuar tramitándose por el órgano correspondiente al domicilio inicial, siempre que las notificaciones derivadas de dichos procedimientos se realicen de acuerdo con lo previsto en el artículo 110 de esta ley.

4. Cada Administración podrá comprobar y rectificar el domicilio fiscal declarado por los obligados tributarios en relación con los tributos cuya gestión le competa con arreglo al procedimiento que se fije reglamentariamente.

El domicilio fiscal determina la adscripción de la sociedad a una oficina tributaria determinada. Ese domicilio será vinculante para el obligado tributario a efectos de procedimientos administrativos y del control fiscal.

Un aspecto que puede ser relevante es que el domicilio fiscal no figura en escritura y que las sociedades que realicen el cambio de sede social deberán ser consecuentes y realizar las gestiones adecuadas respecto a la comunicación de la sede fiscal a las autoridades tributarias y de la seguridad social.

En relación con la AEAT, el domicilio fiscal se modifica a través del modelo censal 036 y en relación con la Seguridad Social, a través de una gestión telemática de variación de datos.

Desde la entrada en vigor del Real Decreto-Ley 13/2010, de 3 de diciembre, las operaciones de cambio de domicilio social quedan exentas del Impuesto de Operaciones Societarias. No obstante, es necesario acudir a la Oficina Liquidadora correspondiente y cumplimentar el modelo 600, indicando que la operación  está exenta.

La modificación del domicilio social se realiza elevando a público la certificación del acta del órgano de administración que aprueba el cambio de los estatutos en lo referente a sede social y procediendo a la inscripción en el Registro Mercantil competente a la nueva dirección social. En el Registro es necesario aportar la Escritura y el modelo 600.

Como digitalizar documentos y destruir los originales


El reto de la digitalización de las entidades públicas y privadas tropieza en la necesidad de conservar los documentos en papel por si fuera preciso recurrir a su valor probatorio.

¿Es posible destruir documentos en papel tras digitalizarlos?

destruir-documentosLa respuesta corta es que, en bastantes casos, si.

Sin embargo hay que matizar que es conveniente realizar un análisis de riesgos regulatorios en función del sector de actividad al que pertenezca la entidad, ya que ciertos documentos no pueden ser destruidos, tras la digitalización.

En particular, los documentos que contengan firmas manuscritas que pudieran tener valor como tales firmas en un proceso litigioso deben conservarse por si se precisara realizar sobre ellos un informe pericial caligráfico.

¿Qué normativa legal existe para la conservación y destrucción de documentos?

Respecto a la conservación de los documentos, una de las normas de referencia más relevantes es el Código de Comercio. En su artículo 30 dispone:

1. Los empresarios conservarán los libros, correspondencia, documentación y justificantes concernientes a su negocio, debidamente ordenados, durante seis años, a partir del último asiento realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales.

2. El cese del empresario en el ejercicio de sus actividades no le exime del deber a que se refiere el párrafo anterior y si hubiese fallecido recaerá sobre sus herederos. En caso de disolución de sociedades, serán sus liquidadores los obligados a cumplir lo prevenido en dicho párrafo.

Los sujetos obligados por la Ley 10/2010 deben conservar durante un período mínimo de diez años la documentación en que se formalice el cumplimiento de las obligaciones establecidas en dicha Ley.

En ciertos casos, podrá realizarse la conservación mediante el uso de tecnologías de la información. Por jemplo, la citada Ley 10/2010 señala en su artículo 25:

(…) los sujetos obligados conservarán (…) las copias de los documentos de identificación a que se refiere el artículo 3.2 en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización.

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo no entra en más detalles sobre la forma de cumplir los requisitos.

Sin embargo, existen diferentes normas sobre digitalizacón certificada a las que hacer referencia según los casos:

  • Para la digitalización certificada de facturas recibidas en papel, la Orden EHA 962/2007 y la RESOLUCIÓN de 24 de octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de digitalización contemplado en la Orden EHA/962/2007, de 10 de abril de 2007.
  • Para la digitalización garantizada en el ámbito de las administraciones públicas, el Esquema Nacional de Interoperabilidad y algunas Normas Técnicas de Interoperabilidad, como la de digitalización, la de copiado auténtico, la de documento electrónico administrativo y la de política de firma electrónica.
  • Para la digitalización certificada en el ámbito de la administración de justicia, el RD 1065/2015, y diferentes normas del CTEAJE, como las Bases del EJIS, la política de certificados y firma electrónica y la GIS de digitalización certificada.

¿Qué requisitos debe cumplir el software de digitalización?

El software debera cumplir lo indicado en las normas anteriores.

Si se orienta al ámbito tributario, deberá homologarse por la Agencia Tributaria o por los organismos designados por la normativa tributaria foral equivalente, para lo que será necesario acompañar la solicitud con un informe de audtoría.

El resto de normas no define un organismo de homologación, pero un informe de auditoría puede certificar el cumplimento de los requisitos aplicables.

¿Quien puede realizar informes de auditoría de Digitalización Certificada?

La normativa tributaria se refiere a entidades  de auditoría informática independiente con solvencia técnica acreditada en el ámbito del análisis y la evaluación de la actividad desarrollada. Una de esas entidades es EADTrust con más de 50 auditorás realizadas. Se puede contactar con EADTrust llamando al 917160555,

¿Es posible encontrar más información sobre Digitalización Certificada y Garantizada?

Si.

En los siguientes enlaces puede encontrar información de interés:

CAB Forum summary of Insurance requirements for EV Trust Service Providers


Each CA SHALL maintain the following insurance related to their respective performance and obligations under these Guidelines:

(A) Commercial General Liability insurance (occurrence form) with policy limits of at least two million US dollars in coverage; and

(B) Professional Liability/Errors and Omissions insurance, with policy limits of at least five million US dollars in coverage, and including coverage for

(i) claims for damages arising out of an act, error, or omission, unintentional breach of contract, or neglect in issuing or maintaining EV Certificates, and

(ii) claims for damages arising out of infringement of the proprietary rights of any third party (excluding copyright, and trademark infringement), and invasion of privacy and advertising injury.

Such insurance MUST be with a company rated no less than A- as to Policy Holder’s Rating in the current edition of Best’s Insurance Guide (or with an association of companies each of the members of which are so rated).

A CA MAY self-insure for liabilities that arise from such party’s performance and obligations under these Guidelines provided that it has at least five hundred million US dollars in liquid assets based on audited financial statements in the past twelve months, and a quick ratio (ratio of liquid assets to current liabilities) of not less than 1.0.

Segunda directiva de servicios de pago (PSD2) y Regulatory Technical Standards


La DIRECTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE se publicó el Diario Oficial de la Unión Europea el 23 de diciembre de 2015. Deberá ser recogida por las leyes nacionales de los paises miembros de la UE a más tardar el 13 de enero de 2018.

Independiza la gestión de los servicios de pago de la titularidad de la cuenta, de forma que el cliente de varias entidades financieras podría utilizar un proveedor único para consolidar la información de todas sus cuentas bancarias y para iniciar operaciones, por ejemplo transferencias.

Estos proveedores especiales que acceden a las cuentas para obtener información y para realizar transferencias se denominan prestadores o proveedores de servicios de pago y deben adoptar prudentes medidas de seguridad, en especial para garantizar la debida autenticación de los usuarios. Además, deben contar con un adecuado mecanismo de notificación de incidentes de seguridad a a los supervisores  y a los usuarios.

Los servicios de pago previstos son:

  1. Servicios que permiten el depósito de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  2. Servicios que permiten la retirada de efectivo de una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  3. Ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  4. Ejecución de operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  5. Emisión de instrumentos de pago y/o adquisición de operaciones de pago.
  6. Envío de dinero.
  7. Servicios de iniciación de pagos.
  8. Servicios de información sobre cuentas.

Las entidades que se constituyan para prestar servicios de pagos deberán cumplir ciertos requisitos de capital en su constitución:  si la entidad de pago solo pretende prestar el servicio de pago del punto 6,  su capital  inicial deberá ser mayor de 20.000 EUR; si la entidad de pago solo pretende prestar el servicio de pago del punto 7, su capital inicial  deberá ser mayor de 50.000 EUR; si la entidad de pago pretende prestar cualquiera de los servicios de pago a que se refieren los puntos 1 a 5, su capital inicial deberá ser mayor de 125.000 EUR. Solo la prestación de Servicios de información sobre cuentas no impone requisitos especiales de capital inicial a las entidades que los presten.

Sin embargo, más importante que el importe de capital inicial son los fondos propios. Uno de los métodos de cálculo de fondos propios mínimos indicados en la directiva para las entidades de pago exige que superen el 10 % de sus gastos generales del año anterior o de los previstos en su plan de negocios, en caso de que no superen el año de actividad.

Para que la actividad de los nuevos prestadores de servicios de pago pueda desarrollarse sin fricciones de interoperabilidad es necesario que se estabilicen las normas técnicas impulsadas por la Autoridad Bancaria Europea (EBA European Banking Authority) “Regulatory Technical Standards“, en particular sobre los aspectos de “strong customer authentication” y “secure communication”

Sin embargo, los borradores publicados por la EBA se han visto como restrictivos con la competencia, en particular respecto a los nuevos modelos de negocio que pretende impulsar la Directiva 2015/2366.

En noviembre de 2016 los eurodiputados a cargo de la negociación con la EBA expresaron su preocupación por el hecho de que los proyectos de normas presentados por la Autoridad Bancaria Europea (EBA) para apoyar la innovación en el mercado de pagos serían restrictivos a los nuevos modelos de negocio.

En agosto de 2016, la EBA propuso los borradores de nuevas normas técnicas de reglamentación (RTS, Regulatory Technical Standards) sobre la autenticación fuerte de los clientes como parte de su mandato de establecer tales normas bajo la nueva Directiva de Servicios de Pagos (PSD2).

Estos RTS incluyen la “autenticación fuerte del cliente” que se deberán usar cuando sea necesario acceder a cuentas de pago en línea, o iniciar una operación de pago electrónico o “realizar cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos”.

También se aplican a los casos en que los pagos se inician a través de proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers) o cuando los titulares de cuentas solicitan información sobre sus cuentas a través de un proveedor de servicios de información de cuentas (AISP, account information service provider ).

En el borrador de la norma, la EBA establece que los PSP deberían tener la libertad de decidir si se habilitan los pagos o el acceso a la cuenta a través de una “interfaz dedicada”, que sería una interfaz común para el uso de la industria en su totalidad o a través de su propia interfaz de banca electrónica, lo cual implicará que los agregadores de información y los iniciadores de pagos tendrían que ir una por una adaptando las interficies a los requisitos de cada entidad financiera (desvirtuando el propósito de los RTS).

Sin embargo, en una carta a la EBA en nombre del Parlamento Europeo, los eurodiputados Markus Ferber y Antonio Tajani le transmitieron que “el equipo de negociación del Prlamento Europeo apoya el acceso directo por parte de los proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers ) y de los de servicios de información de cuenta (AISP, account information service providers) a la cuenta del ordenante, sin que el proveedor de servicios de pago de cuentas (ASPSP, account servicing payment service provider) exija que utilice un modelo de negocio determinado para la prestación de su servicio, ya se base en el acceso directo o en el indirecto.

Feber y Tajani expresaron su preocupación de que permitir el empleo de una “interfaz dedicada” implica el riesgo de dar a los ASPSP la posibilidad de excluir o limitar el acceso directo a la cuenta del ordenante a través de las instalaciones bancarias en línea preexistentes.

Esta opción  sería contraria al principio establecido en la Directiva, que impone a la EBAel desarrollo de las RTS con el fin de asegurar y mantener una competencia leal entre todos los proveedores de servicios de pago y garantizar la neutralidad de la tecnología y los modelos de negocio.

Feber y Tajani dejaron claro que el Parlamento Europeo quiere que la EBA se asegure de que los PISP y los AISP puedan obtener acceso directo a cuentas a través de todas las interfaces orientadas al cliente proporcionadas por los ASPSP en todo momento.

La EBA también debe asegurar que los ASPSPs siguen rigurosamente las reglas impuestas por la Directiva PSD2 para permitir a los PISPs y a los AISPs el acceso seguro a las cuentas cuando dichas entidades usan las interfaces propias de los ASPSPs.

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (EBA) publicó su borrador final de Normas Técnicas de Reglamentación (RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado “simulación de usuario” o, en inglés”screen scraping”) una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.

 

 

PSD2, Thrid Party Payment Service Providers, directiva antiblanqueo y #eIdAS


El 23 de diciembre de 2015, se publicó en el Diario Oficial de la Unión Europea la nueva Directiva UE 2015/2366  de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior (PSD2, por sus siglas en inglés), tras el acuerdo alcanzado con el Parlamento Europeo en los trílogos  en mayo de 2015. La PSD2 conlleva cambios fundamentales en la industria de pagos al dar a los proveedores de servicios de pago terceros (TPP, por las siglas en inglés de Thrid Party Payment Service Providers) acceso a la infraestructura de los bancos.

Según la PSD2, los TPP (proveedores de servicios de pago terceros, básicamente, servicios iniciadores de pagos “payment initiation services PIS” y agregadores de información “account information services – AIS“). ), deberán tener acceso a las cuentas de clientes bancarios a través de mecanismos de programación (APIS y Servicios Web), lo que les permitirá ofrecer sus servicios como extensiones de la funcionalidad que ofrecen las propias entidades financieras, haciendo uso de la infraestructura de los bancos, a petición de sus clientes que sean también clientes de estos bancos.

Todavía están pendiente de clarificación  aspectos de la relación entre los bancos y los TPP, pues el texto determina explícitamente que no se requerirá un contrato entre las partes, pero los bancos deberán proporcionar el acceso a terceros sin discriminación, una vez autorizados por el cliente. Por tanto, los TPP se beneficiarían de la infraestructura de pagos de los bancos sin contraprestaciones, al tiempo que ofrecen servicios que mejoran la oferta que los clientes reciben de sus entidades. El resultado puede suponer una simbiosis en algunos casos, pero las entidades temen que se trate más frecuentemente de un actividad parásita que saque provecho de la infraestructura que a ellas les suponen costes, sin contribuir a su sostenimiento.

Ya están surgiendo las primeras soluciones técnicas del sector a través de las API (Interfaz de Programación de Aplicaciones), aunque no hay unos estándares fijos que garanticen la interoperabilidad.

La Autoridad Bancaria Europea (ABE, EBA por sus siglas en inglés: European Banking Authority) se ha comprometido a proporcionar directrices y establecer estándares técnicos relacionados con la autorización de entidades de pago, protocolos de seguridad y comunicación entre las partes, así como relaciones empresariales y cuestiones de responsabilidad.

Para septiembre de 2018, la ABE actualizará las guías que ha publicado recientemente sobre la seguridad de los pagos en Internet (guías que se desarrollaron antes de la PSD2 y que se aplican a partir del 1 de agosto de 2015), ampliando su alcance a las nuevas entidades y cubriendo los nuevos requerimientos de la PSD2.

La autorización como entidad de pagos, otorgada por las autoridades competentes del estado miembro de origen, permitirá la provisión de servicios de pago en toda la Unión Europea, en virtud del “Pasaporte Comunitario“.

En lo que respecta a la supervisión, en la práctica las entidades de pago están sujetas a la supervisión  tanto de las autoridades competentes del país de origen como las del país en el que pretende prestar servicios, pues la directiva permite a estas últimas exigir informes periódicos sobre las actividades llevadas a cabo en su territorio.

En caso de incumplimiento normativo, será responsabilidad de los organismos supervisores del país de origen la adopción de las medidas apropiadas, incluidas las sancionadoras, aunque también los del país de prestación de servicios  pueden adoptar medidas cautelares en situaciones perentorias.

Dado el régimen de cooperación entre los organismos de supervisión nacionales, el correcto funcionamiento del mercado único para los pagos electrónicos dependerá de cómo se desarrolle esa cooperación. Las directrices y estándares de la ABE jugarán un papel fundamental a este respecto.

En España, el Banco de España y el Ministerio de Economía no acaban de ponerse de acuerdo sobre la forma de gestionar la adopción de directrices que en bastante casos tendrán carácter técnico.

Lo que sí parece que está fuera de toda duda, es que los servicios de gestión de identidades y los conexos Servicios Electrónicos de Confianza definidos en el Reglamento UE 910/2014 (EIDAS) serán de importancia capital en el marco de los servicios Thrid Party Payment Service Providers, tal como evidencia un documento de trabajo publicado el 8 de diciembre de 2015 por la EBA, sobre los futuros desarrollos técnicos previstos en la PSD2, en relación con la autenticación fuerte de clientes (“Discussion Paper on future Draft Regulatory Technical Standards on strong customer authentication and secure communication under the revised Payment Services Directive -PSD2-“).

La necesidad de autenticación fuerte de clientes que resuelve EIDAS también queda patente en la Directiva UE 2015/849 de 20 de mayo de 2015 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo publicada el 5 de junio del 2015 en el Diario Oficial de la Unión Europea.

De momento los desarrollos sobre sistemas de identificación mediante videoconferencia han quedado expéditos para el sector financiero por la Autorización de procedimientos de identificación no presencial mediante videoconferencia del SEPBLAC, que como servicios proporcionados por terceros caen directamente en la categoría de los sistemas sometidos a la supervisión de la SESIAD (Secretaria de Estado de Sociedad de la Información y Agenda Digital) del MINETAD (Ministerio de Energía, Turismo y Agenda Digital).

La esperada publicación de una nueva Ley que derogue la Ley 59/2003 sobre firma electrónica contemplará la normativa nacional sobre sistemas de identificación mediante videoconferencia y otros que el Reglamento UE 910/2014 menciona en su artículo 24.

En efecto, en este artículo se indica que “Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

Y entre las formas de verificar la identidad, se admite que esta verificación puede hacerse utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Algunos de los aspectos que podría cubrir la nueva Ley de Servicios de Confianza Digital (si se confirma un mayor uso del término “digital” en detrimento del término “electrónico“) se dejan entrever en la reciente consulta realizada por el MINETAD, y reflejados en este documento: Ley de servicios de confianza digital