El Banco Central Europeo y la seguridad de los pagos por Internet

El comercio electrónico y los pagos por internet están aumentando exponencialmente en los últimos años y se están convirtiendo, en buena medida, en la base de la recuperación económica. Por ello, siendo consciente de su importancia, el Banco Central Europeo publicó el 31 de enero de 2013 un conjunto de “Recomendaciones para la seguridad en los pagos por internet” y el 12 de mayo de 2014 unas “Recomendaciones finales para la seguridad de los servicios de acceso a una cuenta de pago”.

Ambos textos fueron elaborados por el Foro Europeo sobre Seguridad de los pagos al por menor (SecuRe Pay) y sometidos a consulta pública en los países de la Unión Europea y del Espacio Único Europeo.

Lo que la Unión Europea pretende a través de estos documentos pragmáticos (recomendaciones, guías, etc.) es llegar a un nivel de detalle práctico al que no llega la norma.

En este contexto, si bien el cumplimiento de las medidas recogidas en las recomendaciones podría resultar gravoso para determinadas entidades de menor tamaño, es un paso indispensable en el proceso de estandarización que está llevando a cabo la Unión Europea en los servicios financieros.

Efectivamente, no podríamos hablar de una auténtica “Unión” Europea sin una armonización global de los servicios financieros. Igualdad en costes, en protección de consumidores y, por supuesto, en obligaciones de las entidades.

Recomendaciones para la seguridad en los pagos por internet

En este entorno, las medidas de seguridad recogidas en las recomendaciones para la seguridad en los pagos por internet tienen una doble finalidad: (i) reducir y prevenir el fraude en los pagos por internet y (ii) aumentar la confianza de los usuarios en el sistema.

Conforme al calendario previsto por el Banco Central Europeo, las medidas de seguridad deberán estar implementadas el 1 de febrero de 2015.

En este sentido, con el fin de facilitar a las correspondientes autoridades europeas las tareas de supervisión de dicha implementación y de evaluación de las medidas de seguridad, el Banco Central Europeo publicó en febrero de este año una “Guía de Evaluación de la Seguridad de los Pagos por Internet”.

En el caso concreto de nuestro país, el Banco de España ha comenzado a remitir a los destinatarios finales de las recomendaciones (prestadores de servicios de pago y autoridades responsables de los sistemas de pago) los formularios, con preguntas de evaluación de todos los aspectos recogidos en las recomendaciones, que deben completar en relación con los pagos por internet que llevan a cabo en su actividad diaria.

El objetivo que se persigue es, fundamentalmente, definir los requisitos mínimos para realizar los siguientes servicios de pago por internet:

• Operaciones de pago por internet con tarjeta, incluyendo las tarjetas de pago virtuales, así como el registro de los datos relativos a la tarjeta de pago para su empleo en soluciones tipo monedero
• Transferencias de crédito a través de internet
• Procesos electrónicos de otorgamiento de consentimientos y sus posteriores modificaciones, en relación con instrumentos de adeuda directo
• Transferencias de dinero electrónico ente dos cuentas de dinero electrónico a través de internet

Estos objetivos se pretenden obtener sobre la base de unos principios rectores, como son: (i) la realización de análisis de riesgos; (ii) el uso de mecanismos de autentificación, tanto para el inicio de las operaciones como para el acceso a datos sensibles/confidenciales de los pagos; (iii) el establecimiento de mecanismos para la autorización de transacciones y (iv) la implantación de programas de concienciación, formación y comunicación de clientes.

En relación con la estructura del documento, se trata de 14 recomendaciones agrupadas en 3 categorías:

1. Control general y entorno de seguridad (Recomendaciones 1 a 5)
2. Control específico y medidas de seguridad para pagos por internet (Recomendaciones 6 a 11)
3. Protección y formación del cliente (Recomendaciones 12 a 14)

Más allá de lo anterior, con el fin de facilitar su implantación, en cada recomendación encontramos consideraciones clave, directrices de buenas prácticas y documentos internos que tienen que servir de soporte a las medidas adoptadas.

Tabla de Recomendaciones

Independientemente del aspecto teórico descrito hasta el momento, a efectos prácticos, las recomendaciones implican que los prestadores de servicios de pago y las autoridades responsables de los sistemas de pago deben contar con una serie de documentos internos como una política de seguridad, política de gestión de incidentes, especificaciones técnicas, informes de auditoría, previsiones específicas en los contratos o un manual de buenas prácticas, entre otros.

Sobre la base de todo lo expuesto, podríamos concluir que los requisitos exigidos a los prestadores de servicios de pago a raíz de los formularios remitidos por el Banco de España, podrían resultar excesivos para algunos de ellos pues, para el correcto y puntual cumplimiento de todas las recomendaciones, necesitarían tener una política de seguridad detallada y actualizada, así como llevar a cabo una importante inversión en el desarrollo de algunas medidas de seguridad propuestas por el Banco Central Europeo.

En este sentido, si bien las recomendaciones no son de obligado cumplimiento y en los cuestionarios se puede responder que no se dispone de algún documento o no se ha adoptado alguna medida, sí conviene aproximarse lo máximo posible al cumplimiento de las medidas propuestas.

Recomendaciones finales para la seguridad de los servicios de acceso a una cuenta de pago

Adicionalmente a las citadas recomendaciones, pero en la misma línea de proteger el comercio electrónico y lo relacionado con él, el Foro Europeo sobre Seguridad de los pagos al por menor decidió regular por separado unos servicios que, por su naturaleza y riesgos específicos, no fueron incluidos en las recomendaciones de pago por internet: los servicios de acceso a las cuentas de pago.

A grandes rasgos, podemos decir que se trata de aquellos servicios en los que el titular de una cuenta utiliza a un tercero, un proveedor, para que acceda a su cuenta u obtenga información de la misma. En otras palabras, en las “Recomendaciones finales para la seguridad de los servicios de acceso a una cuenta de pago” se incluyen dos servicios: (i) servicio de información de la cuenta y (ii) servicio para el inicio de los pagos.

Las 14 recomendaciones que forman parte del citado documento resultan aplicables a los terceros proveedores de servicios de acceso a una cuenta de pago, mientras que sólo algunas serán de aplicación a las autoridades responsables de los sistemas de pago y/o a los proveedores de servicios de pago para la gestión de cuentas [account-servicing PSPs].

No obstante todo lo anterior, el documento publicado no fue preparado con el objetivo de publicarlo, sino para remitirlo a la Autoridad Bancaria Europea (EBA). Entre los motivos de publicarlo con carácter informativo y no oficial se encuentran, a título de ejemplo, el hecho de que se encuentra en proceso la revisión de la Directiva de Servicios de Pago, la falta de una autoridad con competencia supervisora de los proveedores servicios de acceso a cuentas de pago o la propuesta de que estos proveedores tengan que obtener una licencia para operar. En otras palabras, las recomendaciones publicadas quedan pendientes de la elaboración de la correspondiente guía de medidas de seguridad por parte de la EBA. Mientras tanto, no resultará obligatoria su implementación por los sujetos obligados.

Como conclusión, podemos afirmar que, en el marco del proceso de estandarización de los servicios financieros que está llevando a cabo la Unión Europea, las medidas de seguridad adoptadas por el Banco Central Europeo nos dan una idea de la magnitud que está alcanzando el comercio electrónico, así como de la necesidad de prevenir el fraude en su utilización y de fortalecer la confianza de los usuarios en el sistema de pagos a través de internet.