A continuación le informamos sobre las modificaciones aplicables a todos los contratos que mantenga formalizados con esta Entidad en el ámbito de aplicación de la Ley 16/2009 de Servicios de Pago, de 13 de noviembre, modificada en parte por el Real Decreto-ley de 24 de noviembre de 2018 para adaptarse a PSD2 (Directiva 2015/2366 del Parlamento Europeo y del Consejo sobre servicios de pago en el mercado interior de 25 de noviembre de 2015).

La nueva normativa de aplicación podrá permitir, previa autorización del Cliente, el acceso a la información de sus cuentas por otros proveedores de servicios, así como que un comercio pueda ejecutar órdenes de pago en su nombre, contra cuenta o tarjeta incluyéndose por ello dentro del ámbito de aplicación de la normativa de servicios de pago, a los servicios de iniciación de pagos y servicios de información sobre cuentas que realicen otros proveedores de servicios de pago distintos a esta Entidad bancaria.

MODIFICACIONES CONTRACTUALES

1. Responsabilidad en operaciones de pago no autorizadas.- El titular-consumidor, se responsabiliza y pagará en consecuencia, hasta el momento de la notificación a la Entidad, las pérdidas ocasionadas derivadas de cualquier operación no autorizada por el propio titular, ya sea por el uso fraudulento, robo, hurto, extravío, utilización por medios coactivos o en forma distinta a la pactada, de cualquier instrumento de pago facilitado por la Entidad (talonarios de efectos, libreta, tarjetas, etc..), hasta un límite máximo de 50 euros (antes 150.-Euros), excepto si hubiera actuado de forma fraudulenta, a sabiendas o haya cometido negligencia grave, o no haya observado la debida diligencia en la custodia de dichos instrumentos, claves o contraseñas secretas, o no haya cumplido la obligación de avisar de la pérdida, robo de los mismos a la Entidad, sin demora indebida y en cuanto haya tenido conocimiento de ello, en cuyo caso responde de la totalidad de las pérdidas.
2. Consentimiento para ejecución de operaciones de pago.- Este consentimiento, de conformidad con lo pactado se obtiene bien por la firma o rúbrica de la pertinente solicitud, el justificante del servicio, mediante el uso de instrumentos de pago habilitados o convenidos al efecto o utilizando alguna de las técnicas de comunicación a distancia previstas en la normativa vigente, siempre que tengan datos suficientes que, a su juicio, garanticen su autenticidad, y se podrá también prestar, por conducto del beneficiario de la operación de pago o a través de Proveedores iniciadores de Servicios de pago (PISP). En ausencia de consentimiento, la operación de pago se considerará no autorizada.
3. Irrevocabilidad de una orden de pago: En el caso de órdenes de pago iniciadas por un Proveedor iniciador de pagos o bien por el beneficiario a través de él, el ordenante no podrá revocar la orden de pago una vez haya dado al (PISP) su consentimiento para iniciar la operación de pago o para que se ejecute la operación de pago al beneficiario.
4. Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente.- Cuando intervenga un proveedor de servicios de iniciación de pagos, el usuario de servicios de pago deberá obtener la rectificación del proveedor de servicios de pago gestor de cuenta
5. Confirmación de la disponibilidad de fondos.- El proveedor de servicios de pago gestor de cuenta, previa solicitud de un proveedor de servicios de pago que emita instrumentos de pago basados en tarjetas, confirmará inmediatamente la disponibilidad de fondos en la cuenta de pago del ordenante para la ejecución de una operación de pago basada en una tarjeta, con un Sí o un No, siempre que se cumplan todas las condiciones siguientes:
   • Que la cuenta de pago del ordenante sea accesible en línea en el momento de la solicitud.
   • Que el ordenante haya dado consentimiento expreso antes de la primera solicitud de confirmación al proveedor de servicios de pago gestor de cuenta para que responda a las solicitudes de proveedores de servicios de pago específicos, de facilitar confirmación de que el importe correspondiente a una operación de pago basada en una tarjeta determinada está disponible en la cuenta de pago del ordenante;
   Para que el proveedor de servicios de pago pueda solicitar la confirmación debe autenticarse ante el proveedor de servicios de pago gestor de cuenta antes de cada solicitud de confirmación y comunicarse de manera segura con el mismo. Esta confirmación no es aplicable respecto de instrumentos de pago basados en tarjetas que almacenen dinero electrónico.
6. Resolución del Contrato.- En virtud de la modificación a la Ley de Servicios de Pago que efectúa la DF 1ª del RD-ley 19/2017 de 24 de noviembre, usted, como usuario de servicios de pago de esta Entidad podrá resolver en cualquier momento, sin preaviso alguno y de forma gratuita, cualquier contrato y, en su caso (contrato y anexo marco que lo modificara para su adaptación a la Ley 16/2009 de Servicios de Pago (LSP), que mantenga formalizado con esta Entidad dentro del ámbito de aplicación de la citada Ley de Servicios de Pago, sin otro requisito que el disponer del total del saldo existente a su favor o reintegrar el que resulte en su contra, haciendo entrega a la ENTIDAD para su inutilización, de los documentos o instrumentos que constituyan el medio de disposición de saldos. De igual modo, la Entidad está facultada para la resolución de sus contratos en el ámbito de la normativa de servicios de pago, con un preaviso de 2 meses de antelación en el caso de Titulares Consumidores y de 15 días, en el caso de Titulares no consumidores.
   No obstante, en aquellos casos en los que tenga contratado otro producto o servicio financiero para cuya gestión sea necesario mantener abierta una cuenta de pago asociada al mismo, abierta en esta Entidad, no será factible la resolución de la cuenta de pago asociada mientras esté vigente el indicado producto o servicio financiero para cuya gestión se mantiene abierta la cuenta, aún cuando La Entidad no podrá modificar unilateralmente el coste de esa cuenta de pago, ni introducir conceptos de los que se derive un coste superior al vigente en el momento de la resolución, siempre que el usuario no utilice dicha cuenta de pago para finalidades distintas de las relacionadas con el producto o servicio financiero para cuya gestión se mantiene abierta dicha cuenta.
7. Relación con terceros prestadores de servicios de pago/Principales implicaciones derivadas de la relación con PISPs/ AISPs
   Cuando tenga lugar la prestación de servicios de iniciación de pagos o información sobre cuentas, por parte de terceros proveedores, serán aplicables los tipos de interés de cambio correspondientes, que en cada Entidad haya pactado con el cliente en función de los servicios contratados.
   El PSIP cuando preste exclusivamente el servicio de iniciación de pagos no podrá tener en su poder fondos del usuario en ninguna etapa de la cadena de pago y cuando desee prestar otros servicios de pago para los cuales tiene los fondos del usuario, deberá obtener una autorización completa para dichos servicios. El usuario tiene derecho a dirigir su reclamación de devolución a su proveedor de servicios de pago gestor de cuentas, incluso cuando ha intervenido en la operación de pago un PISP. Lo anterior se entiende sin perjuicio de la asignación de responsabilidades entre los proveedores de servicios de pago, en función de de aquellas partes de la operación que estén bajo control de cada uno.
   1. Responsabilidad en el caso de los servicios de iniciación de pagos por no ejecución o ejecución defectuosa de operaciones de pago
      En lo que respecta a las operaciones de pago iniciadas por el ordenante a través de un PISP, el proveedor de servicios de pago gestor de cuenta, devolverá al ordenante el importe de la operación de pago no ejecutada o ejecutada de forma defectuosa y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el cargo al estado en el que se habría encontrado de no haberse efectuado la operación defectuosa.
      Corresponderá al PSIP demostrar que el proveedor de servicios de pago gestor de cuenta del ordenante había recibido la orden de pago y que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas a la no ejecución, la ejecución defectuosa o la ejecución con retraso de la operación.
      Si el responsable de la no ejecución, la ejecución defectuosa o la ejecución con retraso de la operación de pago es el PISP, éste deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante.
   2. Notificación sobre resolución contrato con PISP o AISP.- El usuario debe comunicar a su proveedor de servicios de pago la resolución de cualquier contrato de servicios suscrito con un PISP (Proveedor de iniciación de pagos) o un AISP (encargado de agregación de cuentas).
   3. Acceso a la cuenta de pago en caso de Servicios de Iniciación de Pagos.- Todo cliente ordenante tendrá derecho a recurrir a un (PISP) para obtener servicios de pago de otro proveedor (gestor de la cuenta), salvo que no se puede acceder en línea a la correspondiente cuenta de pago. El (PISP) en no puede modificar el importe, destinatario ni ningún otro elemento de la operación, y debe garantizar que las credenciales de seguridad personalizadas, PIN o claves de acceso, así como cualquier otra información sobre el usuario de servicios de pago no sean accesibles a terceros, tengan suficientes medidas de seguridad, y sean transmitidas por canales seguros, no almacenando datos de pago sensible ni utilizándolos para otros fines distintos de la prestación del servicio de información de cuentas, debiendo comunicarse dicho PISP de manera segura con el proveedor de servicios de pago gestor de la cuenta.
      Un proveedor de servicios de pago gestor de cuenta podrá denegar el acceso a una cuenta de pago a un proveedor de servicios de información sobre cuentas o un proveedor de servicios de iniciación de pagos por razones objetivamente justificadas y debidamente documentadas, relacionadas con el acceso no autorizado o fraudulento a la cuenta de pago por parte del proveedor de servicios de información sobre cuentas o el proveedor de servicios de iniciación de pagos, en particular con la iniciación no autorizada o fraudulenta de una operación de pago. En tales casos, el proveedor de servicios de pago gestor de cuenta informará al ordenante, de la manera convenida, de la denegación del acceso a la cuenta de pago y de los motivos para ello. Esa información será facilitada al ordenante, de ser posible, antes de denegar el acceso y, a más tardar, inmediatamente después de la denegación, a menos que la comunicación de tal información ponga en peligro medidas de seguridad objetivamente justificadas, o esté prohibida por otras disposiciones pertinentes del Derecho de la Unión Europea o del Derecho nacional. El proveedor de servicios de pago gestor de cuenta permitirá el acceso a la cuenta de pago una vez dejen de existir los motivos para denegar el acceso.
      Le recordamos:
      
      • (i) Que el usuario de servicios de pago podrá aceptar o rechazar cualesquiera modificaciones contractuales relativas a sus servicios de pago, que le hayan sido comunicadas, considerándose aceptadas en caso de no comunicar a la Entidad su no aceptación y de rechazar dichas modificaciones, el usuario tiene derecho a la resolución del contrato sin coste alguno.
      • ii) Que esta Entidad mantiene procedimientos adecuados para resolver las reclamaciones de los usuarios de servicios de pago que puede consultar en nuestra página web, y aplicará autenticación reforzada de clientes cuando el ordenante acceda a su cuenta de pago en línea; inicie una operación de pago electrónico; o realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos.
      • iii) Que esta Entidad velara porque los proveedores de servicios de pago cuenten con las medidas de seguridad adecuadas para proteger la confidencialidad y la integridad de credenciales, claves, contraseñas o cualquier otro elemento de seguridad facilitado a los usuarios de servicios de pago.
      • iv) Que en lo no modificado por la presente, se mantienen los términos y condiciones de los Contratos y, en su caso, Anexo Marco sobre condiciones de ejecución servicios de pago y modificación contractual de Contratos que instrumenten servicios de pago, que mantenga formalizado/s con esta Entidad.

El pasado 14 de Septiembre de 2019 entró en vigor las obligaciones sobre la autenticación reforzada derivada de la PSD2 (Payment Services Directive 2) que afecta de forma importante a los servicios de pago. Desde su entrada en vigor, la mayor parte de las operaciones de pago requerirán una autenticación reforzada (SCA - Strong Customer Authentication). Esta autenticación dotará de mayor seguridad, menor fraude y mejor experiencia de compra a los consumidores y comercios.

Aunque sabemos que los cambios normativos no son sencillos, estamos a tu lado para ayudarte en la adaptación a la nueva normativa. Te presentamos un breve resumen de los principales impactos:

¿Qué es SCA?

SCA o autenticación reforzada del cliente es la combinación de dos de tres factores de autenticación:

• Algo que sabes (PIN o pasword)
• Algo que tienes (un teléfono, la tarjeta, un token...)
• Algo que eres (huella dactilar, voz, etc.)

Cuando un cliente realice una compra en un comercio electrónico, tendrá que utilizar 2 de los tres factores anteriores para completar la operación, no siendo posible operar en modo no seguro.

En comercio físico ya se realiza el SCA al identificar en la transacción una tarjeta (posesión) y un PIN (conocimiento).

¿Hay alguna excepción para agilizar la experiencia de compra de mis clientes?

La normativa propone ciertas exenciones y operativa no sujeta a doble autenticación. A continuación te explicamos en qué consisten:

• Exenciones. Es posible no aplicar el "SCA" en los siguientes casos:
  • Transacciones de ≤ 50€ en comercio físico. En España se pueden realizar pagos contactless sin necesidad de PIN para importes inferiores a 20 euros o bien 5 transacciones sin autenticar y por un máximo de 150 euros.
  • Transacciones de ≤ 30€ en e-commerce. La entidad emisora de la tarjeta aceptará la operación sin autenticar a su cliente si la operación es igual o inferior a 30 euros o si desde la última vez que lo autenticó, el importe acumulado en compras anteriores es ≤ 100€ o el número transacciones exentas es ≤ 5.
  • Exención en TNA de transporte o aparcamiento. Las operaciones en terminales no atendidos (TNA) realizadas en parkings, estacionamientos o transporte.
  • Pagos recurrentes: operativa con el mismo importe, periodicidad y beneficiario. Se requiere autenticación en la primera transacción. Las suscripciones iniciadas con anterioridad a la entrada en vigor de SCA (Autenticación reforzada) no tendrán que ser autenticadas nuevamente.
  • Excepción por TRA (Transaction Risk Analysis). En operaciones remotas, los proveedores de servicios de pago podrán no aplicar SCA, cuando tras un análisis de riesgo determinen que el nivel de riesgo es bajo.
  • Lista blanca de beneficiarios. Los titulares de tarjeta podrán designar comercios como beneficiarios de confianza, siempre que el comercio tenga un preacuerdo con su entidad financiera. Se requerirá un SCA previo a la designación.
• Exclusiones. Algunas operaciones quedan fuera del alcance de esta normativa y por tanto se puede mantener tal y como están a día de hoy.
  • "One leg transactions": cuando una de las dos partes queda fuera del Espacio Económico Europeo.
  • Operaciones MOTO: en las que el pago se ha iniciado por teléfono, correo o email. Se engloba la mayor parte de operativa Key Entry.
  • Pagos con tarjetas prepago anónimas tarjetas de fidelización...
  • MIT (Merchant Initiated Transactions): Operaciones pago iniciadas por el comercio, sin que el pagador esté presente, siempre y cuando haya un acuerdo preexistente entre comercio y comprador. Se requiere una autenticación SCA en la primera compra. Se pueden considerar MIT los pagos repetitivos en los que el importe es variable (recibos). También en suscripciones digitales sin importe fijo, campañas de publicidad online o en cargos extras en el alquiler de un coche o reservas hoteleras ...

Para poder cumplir con todos los requisitos de PSD2 y aprovechar de las ventajas que ofrece, deberás adaptarte a la nueva versión 3DS 2.X. Aunque la fecha límite para habilitar este proceso de autenticación reforzada es finales de 2020, según el plan de industria definido entre las asociaciones de comercios y bancarias aprobado por BdE, SCA en comercio electrónico debería estar en funcionamiento a partir de Junio de 2020.

¿Debo llevarlo a cabo?

• Si tienes un TPV Virtual con comercio electrónico No seguro tienes que tener en cuenta que debes pasar a comercio electrónico Seguro y, por tanto, debes adaptar tu TPV al protocolo 3DS.
• Si tienes un TPV Virtual y ya eres comercio seguro, ya puedes autenticar con SCA. Sin embargo, para poder cumplir con todos los aspectos de 3DS deberás adaptarte a la nueva versión del protocolo de autenticación 2.x.

En concreto, gracias a esta modificación su TPV Virtual permitirá:

• Únicamente con el nuevo protocolo 3DS 2.X. podrás aplicar alguna exención a la autenticación reforzada.Por ejemplo: permite aplicar la exención basada en medición de riesgo, utilizando un número significativamente mayor de elementos de datos de la transacción y clientes para autenticar de forma segura la mayoría de las transacciones sin la necesidad de que el cliente pase por una autenticación reforzada. Esto se conoce como autenticación sin fricción.
• Compatibilidad con entornos novedosos de aplicaciones móviles que permiten la autenticación móvil permitiendo una experiencia de usuario más fluida, incluso cuando se requiere SCA.
• Mejor integración con la experiencia de pago del cliente, para seguir haciendo más cómoda la compra.