Archivo de la categoría: Banca

Adaptación de las Entidades Financieras a la Cartera de Identidad Digital de la UE (Cartera IDUE o EUDI Wallet)

Deja un comentario

En un mundo cada vez más digitalizado, la Unión Europea ha dado pasos decisivos hacia la estandarización de la identificación electrónica con la introducción de la Cartera de Identidad Digital Europea (EUDI Wallet).

Esta herramienta, regulada por el Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183), que modifica el Reglamento UE 910/2014, permite a los ciudadanos y empresas almacenar y gestionar de forma segura sus identidades digitales, incluyendo atributos como permisos de conducción, diplomas o declaraciones de atributos relativas a cuentas bancarias. También permite realizar firmas electrónicas cualificadas y sellos electrónicos cualificados. El objetivo es otorgar a los usuarios un control total sobre sus datos, facilitando el acceso a servicios en línea con una cesión mínima de información, solo la imprescindible para la gestión a realizar.

Para las entidades financieras, esta innovación no es opcional: representa una obligación legal que transforma los procesos de identificación y verificación de clientes.

La Obligatoriedad de Aceptar la EUDI Wallet

El Reglamento eIDAS 2.0 establece (artículo 5 septies) que los proveedores de servicios que estén legalmente obligados a identificar inequívocamente a sus clientes deben aceptar la EUDI Wallet como método de autenticación.

En el sector financiero, esto afecta directamente a bancos, instituciones de crédito y otras entidades reguladas, especialmente en procesos como el Know Your Customer (KYC) y procesos de Debida Diligencia para la prevención del blanqueo de capitales.

El citado artículo 5 septies del Reglamento obliga a estas entidades a integrar la cartera como una opción válida para la identificación electrónica, lo que reduce barreras transfronterizas y mejora la eficiencia en transacciones digitales.

Esta obligación se extiende a sectores como la banca, los servicios financieros y cualquier entidad sujeta a requisitos de identificación estrictos. No se trata solo de cumplimiento normativo, sino de una oportunidad para optimizar operaciones, ya que la EUDI Wallet proporciona datos verificados e inalterables directamente de fuentes auténticas, minimizando riesgos de fraude y agilizando el «onboarding» de clientes.

La adaptación requiere una integración técnica y operativa en los sistemas existentes, por un lado para el proceso de apertura de cuenta (en el que el uso de sistemas cualificados simplifica la documentación que tiene que recabar la entidad financiera) y después para añadir una opción en la pantalla web en la que se ofrece a los clientes acceder a la información y servicios asociados a su cuenta, ya que al clickar en esa opción se desencadena la funcionalidad de identificación y autenticación de la cartera.

Las entidades financieras deben:

  1. Actualizar sus plataformas de identificación para el acceso a la banca electrónica: Incorporar APIs y SDK compatibles con la EUDI Wallet para permitir la autenticación segura. Esto implica adoptar los protocolos estandarizados que se recogen en el ARF y en los actos de ejecución para asegurar la interoperabilidad con las diferentes carteras emitidas por los Estados miembros.
  2. Revisar sus procesos de KYC y onboarding: La cartera permite solicitar al cliente que aporte atributos (como los que figuran en la credencial inicial DIP, «Datos de Información Personal») y otros atributos exigibles según los principios de debida diligencia (quizá la presentación de una nómina o una declaración electrónica de atributos semejante, como ingresos anuales o cualificaciones profesionales), lo que simplifica la «due diligence». Las interfaces bancarias con la cartera se configuran para solicitar declaraciones de atributos y para solicitar la firma electrónica de documentos (la cartera permite realizar «QES» «qualified electronic signature» y «qualified electronic seal»). Se deberán conservar las evidencias electrónicas de la contratación (posiblemente preservadas mediante sellos de tiempo cualificados). Será preciso registrar a la entidad en el registro de «Relying Parties» o «Partes Usuarias» («Partes informadas», en mi traducción del ARF) y obtener el certificado que establece el tipo de información que puede solicitar a la cartera
  3. Las entidades deben revisar sus contratos y «términos y condiciones» para acoger las nuevas circunstancias de apertura de cuentas y acceso a la banca electrónica y dar formación a su personal para que entiendan las nuevas circunstancias de contratación y autenticación y puedan dar soporte a los clientes.
  4. Garantizar la seguridad y privacidad: Cumplir con el RGPD (y la LOPD/GDD) y las directrices de eIDAS 2.0, asegurando que los usuarios tengan control sobre sus datos (en ciertas condiciones, mediante divulgación selectiva y «pruebas de conocimiento cero»).
  5. Colaborar con proveedores de confianza: Asociarse con prestadores cualificados de servicios electrónicos para implementar soluciones compatibles, como firmas electrónicas cualificadas o sellos de tiempo, que complementen la integración de la cartera.

Esta adaptación no solo permite cumplir con las exigencias regulatorias, sino que posiciona a las entidades que se anticipen, como líderes en innovación digital, mejorando la experiencia del usuario y reduciendo costes operativos.

Plazos para la Implementación

Los Estados miembros de la UE, incluyendo España, tienen la obligación de proporcionar al menos una versión de la EUDI Wallet a sus ciudadanos antes de finales de 2026 (24 meses tras la entrada en vigor del primer lote de actos de ejecución). Antes de fin de 2027 (36 meses tras la entrada en vigor de los citados actos de ejecución), la aceptación de la cartera será obligatoria para las organizaciones del sector privado reguladas, como las entidades financieras, y otras que se citan en el artículo 5 septies.

Si no se demora la decisión de acometer los cambios, queda margen para pruebas piloto y ajustes, pero empieza a ser urgente que las entidades inicien su preparación cuanto antes para evitar sanciones y aprovechar las ventajas competitivas.

Conexión con PSD3 y el Reglamento de Servicios de Pago (PSR)

La adaptación a la EUDI Wallet no puede analizarse de forma aislada en el sector financiero, sino en el contexto más amplio de la revisión del marco europeo de servicios de pago. La Comisión Europea ha propuesto sustituir la actual PSD2 por una nueva Directiva de Servicios de Pago (PSD3) y, paralelamente, aprobar un Reglamento de Servicios de Pago (PSR) de aplicación directa en todos los Estados miembros. Ambos instrumentos refuerzan los requisitos de autenticación reforzada del cliente (SCA) y abren la puerta a que la identidad digital verificada —precisamente la que proporciona la EUDI Wallet— pueda usarse como mecanismo de autenticación en el acceso a cuentas de pago y en la iniciación de operaciones.

En la práctica, esto significa que las entidades financieras que integren la cartera para sus procesos de KYC y onboarding estarán también construyendo una infraestructura compatible con las exigencias de autenticación que se avecinan con PSD3/PSR, evitando duplicidades tecnológicas. La EUDI Wallet puede actuar como un vector común de identidad verificada tanto para el cumplimiento AML como para la autenticación en el acceso a servicios de pago, lo que convierte su integración en una inversión con retorno regulatorio múltiple y no en un mero coste de cumplimiento puntual.

Consideraciones sobre la Ley 10/2010 y el Reglamento (UE) 2024/1624

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, impone a las entidades financieras obligaciones estrictas de identificación y verificación de clientes (artículos 3 a 10). Los servicios cualificados a los que se refiere esta ley en su artículo 12, inspirados en el Reglamento eIDAS, incluyen mecanismos electrónicos de confianza como firmas cualificadas, sellos electrónicos y sistemas de identificación remota. Es preceptivo conservar las evidencias electrónicas que acreditan el cumplimiento de lo señalado en este artículo.

La adaptación a la EUDI Wallet, aunque establecida en un Reglamento Europeo, tiene encaje con lo dispuesto en estos requisitos, ya que la cartera actúa como un medio de identificación electrónica cualificado, reconocido en toda la UE.

El Reglamento (UE) 2024/1624 es una de las piezas centrales del nuevo paquete legislativo europeo contra el blanqueo de capitales y la financiación del terrorismo (AML/CFT). Se aprobó el 31 de mayo de 2024 y se publicó en el DOUE el 19 de junio de 2024. Su objetivo es sustituir la fragmentación normativa existente y establecer normas directamente aplicables en todos los Estados miembros para reforzar la integridad del sistema financiero europeo.

El Reglamento (UE) 2024/1620 crea la Autoridad de Lucha contra el Blanqueo de Capitales (en inglés Anti-Money Laundering Authority – AMLA) y la Financiación del Terrorismo y se modifican los Reglamentos (UE) n.º 1093/2010, 1094/2010 y 1095/2010. Recientemente AMLA ha abierto una consulta pública (9 febrero – 8 mayo 2026) sobre los Regulatory Technical Standards (RTS) previstos en el artículo 28(1) del Reglamento (UE) 2024/1624, que desarrollan en detalle cómo deben aplicar los sujetos obligados la diligencia debida con el cliente.

Estos RTS son esenciales porque convierten los principios del Reglamento AML en instrucciones operativas concretas y uniformes en toda Europa, qué información recoger, cómo verificarla, qué hacer en casos de riesgo. El «draft» señala (pág. 29) que el cumplimiento de la sección 9 se logra con el cumplimiento del Reglamento de Ejecución (UE) 2024/2977 de la Comisión, de 28 de noviembre de 2024, que establece las normas técnicas y procedimentales para la aplicación del Reglamento eIDAS 2 en lo relativo a:

  • Datos de identificación de la persona (PID)
  • Declaraciones electrónicas de atributos (EAA / QEAA)
  • Su expedición a las Carteras de Identidad Digital de la Unión Europea (EUDI Wallets)

La complejidad regulatoria da otra vuelta de tuerca porque, como comenté recientemente hay nuevos borradores de actos de ejecución en relación con #EIDAS2 y la EUDI Wallet y uno de ellos, precisamente, modifica el Reglamento de Ejecución (UE) 2024/2977.

El papel de la EBA y sus Directrices sobre onboarding remoto

La Autoridad Bancaria Europea (EBA) publicó el 22 de noviembre de 2022 sus Directrices sobre el uso de soluciones de incorporación remota de clientes (EBA/GL/2022/15), aplicables desde el 2 de octubre de 2023 a todas las entidades de crédito e instituciones financieras en el ámbito de la Directiva AML. Estas directrices establecen estándares comunes europeos para los procesos de diligencia debida inicial en el contexto del onboarding digital, y resultan directamente relevantes para la integración de la EUDI Wallet: la EBA reconoce expresamente en su texto que las entidades que utilicen soluciones basadas en esquemas de identificación electrónica notificados bajo eIDAS, o en servicios de confianza cualificados, pueden asumir que tales soluciones cumplen los requisitos de verificación de identidad establecidos en la Directiva, sin necesidad de duplicar las evaluaciones de gobernanza ya realizadas en el marco del propio Reglamento eIDAS. En la práctica, esto significa que una entidad financiera que integre correctamente la EUDI Wallet como mecanismo de identificación del cliente estará, de forma simultánea, cumpliendo con las exigencias de las Directrices EBA/GL/2022/15.

Las directrices deben leerse en conjunción con otras guías de la EBA, en particular las Directrices sobre Factores de Riesgo ML/TF (EBA/GL/2021/02) y las relativas a la gestión de riesgos TIC y de seguridad (EBA/GL/2019/04), lo que refuerza la necesidad de un enfoque integral en la adaptación. Cabe señalar que la propia EBA, al publicar sus directrices de 2022, ya advertía que era consciente de que la reforma del Reglamento eIDAS y la introducción de la Cartera IDUE ayudarían a superar la fragmentación existente en materia de identificación remota, pero que hasta que dicha reforma entrase en vigor, debía basar su análisis en el marco normativo entonces vigente. Ese momento ha llegado: la EUDI Wallet ya es una realidad regulatoria, y las entidades financieras tienen ahora la oportunidad de alinear su cumplimiento AML con el nuevo ecosistema de identidad digital europeo, construyendo una infraestructura de onboarding que satisfaga simultáneamente las EBA/GL/2022/15 y los requisitos del Reglamento eIDAS 2.0.

Implicaciones del Reglamento DORA en la integración de la Cartera IDUE

Las entidades financieras que acometan la integración de la EUDI Wallet no pueden ignorar que dicha integración constituye, desde la perspectiva del Reglamento (UE) 2022/2554 (DORA), plenamente aplicable desde el 17 de enero de 2025, la incorporación de una nueva función crítica soportada por TIC, con todo lo que ello implica. DORA exige que cualquier nuevo sistema o proveedor externo que dé soporte a funciones esenciales quede incorporado al marco de gestión del riesgo TIC de la entidad: los proveedores de servicios de identificación y los prestadores cualificados de servicios de confianza que participen en el ecosistema de la cartera deberán ser objeto de la diligencia debida contractual prevista en los artículos 28 y siguientes del Reglamento, incluyendo cláusulas de auditoría, acceso, localización de datos y continuidad del servicio. La clasificación de la funcionalidad de autenticación con cartera como «función importante» —lo que es previsible dado su papel central en el acceso a la banca electrónica— activaría además la obligación de realizar pruebas de resiliencia operativa periódicas sobre esos sistemas.

Desde una perspectiva de planificación, esto significa que el proyecto de integración de la EUDI Wallet debe diseñarse desde el inicio con la arquitectura documental y contractual que DORA exige, evitando tener que remediar a posteriori las carencias de un despliegue tecnológico que no tuvo en cuenta el marco de riesgo de terceros. La buena noticia es que las exigencias de DORA y las de eIDAS 2.0 son en gran medida complementarias: ambas apuntan hacia proveedores robustos, auditables y resilientes. Una entidad que seleccione proveedores de servicios de identidad digital que sean Prestadores Cualificados de Servicios de Confianza (QTSP) registrados bajo eIDAS estará, al mismo tiempo, incorporando actores que ya han superado auditorías de conformidad rigurosas, lo que facilita considerablemente la evaluación del riesgo TIC de terceros exigida por DORA.

EADTrust

EADTrust ofrece sus servicios de adecuación a la Cartera IDUE a las entidades financieras para facilitar la integración, sumándose al equipo técnico y legal que acometa la adaptación.

EADTrust puede proporcionar Declaraciones Electrónicas de Atributos de prueba, y las APIs de los protocolos a utilizar. También aporta jefes de proyecto, programadores y juristas para acometer las diferentes facetas de la adaptación. En particular para dar seguimiento al cada vez más complejo marco regulatorio.

Presta servicios cualificados complementarios como los sellos de tiempo, y el archivo electrónico de preservación que ayudan a custodiar las evidencias digitales del proceso. Con los servicios de EAD Factory la entidad financiera cuenta con todos los servicios de un PSC (Prestador de Servicios de Certificación) cualificado como si fuera parte de su propia infraestructura.

Además EADTrust ayuda a integrarse a otras entidades que forman parte de la infraestructura y del ecosistema de la Cartera IDUE: fuentes auténticas, entidades del sector público, entidades privadas que entreguen declaraciones de atributos a sus clientes o a sus empleados,…

Aunque la interoperabilidad con la «EUDI Wallet» se vea ahora como un requisito regulatorio para las entidades señaladas en el Artículo 5 septies del Reglamento UE 910 / 2014 reformado, va a ser esencial para las entidades Fintech, y para todo el sector financiero y un motor de innovación para crear nuevos servicios.

Será la evolución natural de los servicios cualificados, promoviendo una identificación más segura y eficiente en el marco normativo europeo.

EADTrust, como Prestador Cualificado de Servicios de Confianza Electrónica registrado en el Ministerio de Asuntos Económicos y Transformación Digital, es un aliado clave en esta transición. Su equipo de Servicios Profesionales, liderado por expertos en identidad digital y eIDAS, y con experiencia en proyectos en entidades financieras y administraciones públicas ofrece soporte integral para la adaptación a la EUDI Wallet, incluyendo:

  • Consultoría y auditorías técnicas y legales: Evaluación de sistemas actuales y planes de implementación para garantizar interoperabilidad y cumplimiento normativo. Seguimiento de la normativa aplicable, cada vez más compleja.
  • Implementación de soluciones EUDI: Desarrollo de integraciones para la cartera, junto con servicios de archivo electrónico cualificado y digitalización de documentos.
  • Formación y soporte: Capacitación para equipos en el uso de la cartera y alineación con la Ley 10/2010 y los nuevos RTS.

Además, EADTrust ya ofrece una amplia gama de servicios cualificados eIDAS, como:

  • Certificados electrónicos cualificados para firmas y sellos electrónicos.
  • Sellado de tiempo electrónico cualificado.
  • Notificaciones electrónicas certificadas.
  • Validación y preservación de documentos electrónicos.
  • Servicios de identidad digital y custodia electrónica.

Con precios muy atractivos y un enfoque en criptoagilidad (para resistir los retos de la computación cuántica hacia las técnicas criptográficas tradicionales), EADTrust transforma el complejo marco de cumplimiento en una ventaja competitiva, ayudando a las entidades financieras a navegar el ecosistema digital con confianza.

Para más información, contacta con el equipo de EADTrust llamando al 917160555 (o al 902 365 612) y prepárate para el futuro digital

Retos de adecuación a las normas NIS2, CRA, CER y DORA

Deja un comentario

Las empresas enfrentan riesgos de ciberseguridad, que se complementan con un marco regulatorio que obliga a tomar medidas frente a ellos.

Una de las dimensiones de la actividad de las empresas es ahora, por tanto, el cumplimiento normativo del marco regulatorio de la Unión Europea, que exige conocimientos especializados que es difícil tener en nómina y que hace recomendable tener localizados a especialistas que colaboren con la empresa como consultores externos.

Uno de los primeros pasos es navegar por el laberinto regulatorio, en base a normas ya publicadas y en vigor, otras publicadas que entrarán en vigor más adelante, y otras normas anunciadas, pero cuyos principios ya son conocidos.

En un mundo en el que los ciberataques cuestan miles de millones al año, regulaciones como NIS2, CRA, CER y DORA no son solo «buenas prácticas», sino obligaciones que pueden evitar multas de hasta el 2% de la facturación global.

En este artículo se comentan someramente sus similitudes y diferencias para poder entender el panorama completo.

Resumen de las normas citadas:

  • NIS2 (Directiva (UE) 2022/2555 de Ciberseguridad): Impulsa la ciberseguridad en infraestructuras críticas y servicios digitales esenciales. Aplica a entidades «esenciales» e «importantes» en sectores como energía, transporte, salud e ICT, con énfasis en gestión de riesgos y respuesta a incidentes. Implementación obligatoria desde octubre de 2024. En España existe un Anteproyecto de Ley, ya que la Directiva se tiene que transponer al ordenamiento legal español
  • CRA (Reglamento (UE) 2024/2847 de Ciberresiliencia): Asegura que productos digitales (software, IoT, hardware conectado) sean seguros «por diseño» durante todo su ciclo de vida. Dirigida a fabricantes, importadores y distribuidores; excluye sectores regulados como dispositivos médicos. Plena aplicación en diciembre de 2027.
  • CER (Directiva (UE) 2022/2557 de Resiliencia de Entidades Críticas): Protege infraestructuras críticas contra disrupciones amplias (ciber, físicas, operativas). Cubre 11 sectores clave como energía, banca, salud y transporte; las entidades designadas deben cumplir también con NIS2. Identificación de entidades críticas hasta julio de 2026.
  • DORA (Reglamento (UE) 2022/2554 de Resiliencia Operativa Digital): Enfocada en el sector financiero (bancos, aseguradoras, fintech) y proveedores ICT críticos, para resistir interrupciones digitales. Incluye pruebas de resiliencia y gestión de terceros. Cumplimiento desde enero de 2025. Implica la adecuación de las entidades proveedoras de banca que serán auditadas por las propias entidades financieras.

Estas regulaciones forman un ecosistema complementario, pero su solapamiento puede generar confusión si no se abordan de forma integrada. Todas buscan elevar la resiliencia digital de la UE frente a amenazas crecientes, promoviendo una armonización transfronteriza. Aquí un resumen:

AspectoDescripción Común
Objetivo PrincipalMejorar la ciberseguridad y resiliencia operativa contra riesgos digitales y disrupciones.
Enfoque en RiesgosObligan a evaluaciones de riesgos, gestión de cadena de suministro/terceros y controles técnicos/organizativos.
Reporte de IncidentesRequerimiento de notificación rápida (e.g., 24-72 horas) a autoridades nacionales o europeas.
GobernanzaResponsabilidad de la alta dirección; auditorías regulares y pruebas de vulnerabilidades.
SancionesMultas elevadas (hasta 2% de ingresos globales) y medidas correctivas; obligatorias para entidades en cada ámbito.
ComplementariedadSe solapan (e.g., entidades CER deben cumplir NIS2); alineadas con ISO 27001 para ~80% de medidas.

Estas similitudes significan que una empresa en sectores críticos (como finanzas o energía) podría tener que cumplir varias a la vez.

Desde el punto de vista del consultor, una aportación muy valorada es la realización conjunta con la entidad de un «gap analysis» unificado, lo que ahorra tiempo y recursos!Diferencias: Lo que las Distingue (y por qué Necesita Asesoría Personalizada)Las variaciones radican en alcance sectorial, enfoque y plazos, lo que complica el cumplimiento si no se mapea correctamente. Por ejemplo, un fabricante de IoT cae en CRA, pero un banco en DORA + NIS2 + CER.

AspectoNIS2CRACERDORA
Ámbito/SectorInfraestructuras críticas (energía, salud, ICT); entidades >50 empleados o €10M facturación.Productos digitales (IoT, software); fabricantes/importadores (excluye médicos/vehículos).11 sectores críticos (banca, transporte, agua); entidades designadas por Estados.Sector financiero (bancos, seguros, fintech) + proveedores ICT críticos.
Enfoque ClaveCiberseguridad en redes/sistemas; cooperación UE.Seguridad «por diseño» en ciclo de vida del producto; actualizaciones obligatorias.Resiliencia amplia (ciber + física/operativa); planes de continuidad.Resiliencia operativa digital; pruebas de estrés y riesgos ICT.
Requisitos EspecíficosAuditorías, supply chain, accountability directiva.Manejo de vulnerabilidades, conformidad (propia o por terceros).Estrategias nacionales, evaluaciones cada 4 años, respuesta a incidentes.Framework ICT, testing avanzado, gestión proveedores estricta.
Plazos de CumplimientoOctubre 2024 (ya en vigor en muchos países).Diciembre 2027 (reportes desde 2026).Octubre 2024; identificación hasta 2026.Enero 2025.
Impacto PrincipalAmplio para servicios digitales; ~80% overlap con ISO 27001.Mercado: productos no conformes no se venden en UE.Físico-digital: cubre riesgos no cibernéticos.Financiero: fines hasta €5M para proveedores ICT.

Como se puede apreciar, NIS2 y CER son «hermanas» en infraestructuras (CER es más amplia en riesgos), mientras CRA está «centrada en producto» y DORA tiene clara orientación «financiera».

Hay diferencias en plazos (e.g., NIS2 ya obliga hoy, aunque no esté aprobado el anteproyecto de ley) por lo que es conveniente realizar una evaluación de impacto lo antes posible, teniendo en cuenta las diferentes normas y las peculiaridades de cada empresa.

Planificar la preparación de la empresa a todos estos cambios regulatorios de forma agrupada ayuda a optimizar esfuerzos y a dar un tratamiento unificado, sobre todo al asignar recursos humanos para su gestión, lo que supone ahorro de costes.

Puede contactar con EADtrust si necesita valorar el impacto de la normativa en su empresa y en su industria. Nuestra división de Servicios Profesionales es especialista en Ciberseguridad y ha contribuido a que la propia EADTrust esté certificada en la exigente normativa EIDAS y en diferentes normativas de seguridad certificables : ENS, ISO 27001, ISO 20000-1,…

Es posible ahorrar un 30-50% en costes al integrar el compliance (con un roadmap que cubra NIS2 + DORA en 6 meses). Recuerde que aunque DORA se orienta a entidades financieras, afecta a todos su proveedores.

Si su empresa pertenece a sectores regulados —ya sea fabricando dispositivos, operando infraestructuras o gestionando finanzas— conviene no esperar para pasar a la acción.

iContáctennos llamando al 917160555 para tener un primer diagnóstico del posible impacto regulatorio! Nuestros especialistas pueden ayudarle a transformar obligaciones en oportunidades de innovación segura.

«Verificación del Beneficiario» o «Verification of Payee»

Deja un comentario

La «Verificación del Beneficiario» (o Verification of Payee en inglés) es un servicio o proceso utilizado principalmente en el sector bancario y financiero para confirmar la identidad del destinatario de un pago antes de que se realice la transacción. Este mecanismo busca reducir el riesgo de fraude, errores en los pagos o transferencias a cuentas incorrectas.

En términos prácticos, cuando alguien inicia un pago (por ejemplo, a través de una transferencia bancaria), el sistema de Verificación del Beneficiario comprueba que los datos proporcionados (como el nombre del beneficiario y el número de cuenta) coincidan con los registros del banco receptor. Si hay una discrepancia, se puede alertar al usuario para que revise la información antes de ejecutar la transferencia.

Este servicio es especialmente común en países como el Reino Unido, donde se implementó como parte del esquema Confirmation of Payee bajo las regulaciones de la Autoridad de Conducta Financiera (FCA) para combatir el fraude de pagos autorizados (Authorised Push Payment fraud). Por ejemplo, al introducir los detalles de una transferencia, el banco podría devolver un mensaje como «Nombre coincide», «Nombre no coincide» o «Nombre similar» (Match, No Match o Close Match), ayudando al ordenante a tomar una decisión informada.

Contexto en España

En España existe un equivalente al concepto de «Verification of Payee» (Verificación del Beneficiario), aunque no se denomina exactamente así de manera oficial en la normativa española.

En España, la verificación de la identidad del beneficiario en transferencias bancarias no era un servicio obligatorio con un nombre específico como el «Confirmation of Payee» o «Verification of Payee», pero los bancos y entidades financieras han adoptado medidas similares para cumplir con las normativas de prevención de fraude y blanqueo de capitales. Estas medidas suelen incluir la validación de los datos del beneficiario (como el IBAN y el nombre) antes de procesar una transferencia, especialmente en el marco de las transferencias SEPA (Zona Única de Pagos en Euros). En la actualidad les aplica el Reglamento (UE) 2024/886.

La base legal y regulatoria para este tipo de procedimientos proviene principalmente de la legislación europea, que ha sido traspuesta al ordenamiento jurídico español. Los marcos principales son:

  1. Directiva (UE) 2015/2366 – PSD2 (Segunda Directiva de Servicios de Pago):
    • Entró en vigor en la UE en 2016 y fue traspuesta en España mediante el Real Decreto-ley 19/2018, de 23 de noviembre, sobre servicios de pago y otras medidas urgentes en materia financiera.
    • Esta directiva busca mejorar la seguridad de los pagos electrónicos y proteger a los consumidores. Aunque no menciona explícitamente la «Verificación del Beneficiario» como un servicio obligatorio, exige a las entidades financieras implementar medidas de autenticación reforzada (Strong Customer Authentication, SCA) y garantizar la seguridad en las transacciones, lo que incluye verificar la identidad de las partes involucradas en un pago.
    • En la práctica, algunos bancos españoles han integrado sistemas que cotejan el IBAN con el nombre del beneficiario para evitar errores o fraudes, aunque esto depende de las políticas internas de cada entidad.
  2. Reglamento SEPA (Reglamento (UE) No 260/2012):
    • Establece los requisitos técnicos y comerciales para las transferencias y adeudos domiciliados en euros en la zona SEPA, que incluye España.
    • Aunque el foco está en la estandarización de los pagos, las entidades pueden implementar controles adicionales, como la verificación del beneficiario, para cumplir con las expectativas de seguridad.
  3. Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo:
    • Esta ley, modificada posteriormente para adaptarse a directivas europeas (como la 4ª y 5ª Directivas AML), obliga a las entidades financieras a identificar y verificar la identidad de los clientes y beneficiarios en las operaciones financieras. Esto incluye medidas para evitar que los fondos se transfieran a cuentas fraudulentas o no deseadas, lo que indirectamente fomenta la verificación de los datos del beneficiario.
  4. Reglamento de Transferencias inmediatas (Reglamento (UE) 2024/886)
    • Modifica varios reglamentos y directivas existentes relacionados con las transferencias inmediatas en euros. Este reglamento tiene como objetivo promover el uso generalizado de transferencias instantáneas en la Unión Europea, mejorando la eficiencia, la digitalización y la innovación en los pagos.

Bancos españoles

En la actualidad los bancos españoles ya cuentan con servicios equivalentes:

  • Algunos bancos, como Santander, BBVA o CaixaBank, han desarrollado sistemas internos que alertan al usuario si el nombre del beneficiario no coincide con el IBAN proporcionado, aunque esto no es un estándar obligatorio en todo el sector.
  • La adopción de estas medidas depende de la entidad y suele estar motivada por la necesidad de cumplir con las expectativas de seguridad de los clientes y reducir el riesgo de fraude, como el fraude de suplantación (Authorised Push Payment Fraud).

European Payments Council

El 19 de marzo de 2024 se publicó el Reglamento (UE) 2024/886 del Parlamento Europeo y del Consejo de 13 de marzo de 2024 por el que se modifican los Reglamentos (UE) n.o 260/2012 y (UE) 2021/1230 y las Directivas 98/26/CE y (UE) 2015/2366 en lo que respecta a las transferencias inmediatas en euros,

Establece que el servicio VoP «Verification of Payee», lo deben ofrecer los proveedores de servicios de pago sin cargo adicional.

La comprobación debe realizarse antes de que el ordenante autorice la transferencia. En caso de «nombre similar» (close match) el ordenante deberá ser informado del nombre asociado al IBAN proporcionado.

Los PSP deberán informar a los ordenantes sobre las implicaciones de la responsabilidad del PSP y de los derechos de reembolso del ordenante sobre la opción del PSP de ignorar la notificación proporcionada. En la medida de lo posible, el servicio que garantice la verificación deberá llevarse a cabo de conformidad con un conjunto de reglas y normas para toda la Unión (por ejemplo el «rulebook» del EPC – European Payments Council).

Los ordenantes que no sean consumidores y que envíen varias órdenes de pago en forma de paquete deben poder optar por no recibir los avisos de VoP en su relación contractual con el PSP. El Servicio VoP se debe ofrecer 18 meses después de la entrada en vigor de la regulación,es decir, el 9 de octubre de 2025.

El reglamento indica que los Estados miembros adoptarán, publicarán y aplicarán, a más tardar el 9 de abril de 2025, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en los artículos 3 y 4. Comunicarán inmediatamente el texto de dichas disposiciones a la Comisión.

El Banco Central Europeo ha publicado un resumen del proceso del implantación del Servicio VoP.

Y el European Payment Council ha publicado en octubre de 2024 el «Verification of Payee Scheme Rulebook» y un video explicativo sobre VoP.

Como ayuda EADtrust

EADTrust proporciona certificados QWAC y QSEALC con el perfil PSD2 que se necesitan en las conexiones entre bancos y entidades de pagos. Se tienen en cuenta diferentes roles:

  1. PISP Payment Initiation Service Provider (Proveedor de Servicios de Iniciación de Pagos)
    • Estas entidades permiten a los usuarios iniciar pagos directamente desde sus cuentas bancarias a través de un tercero, sin necesidad de usar una tarjeta de crédito o débito. Actúan como intermediarios entre el pagador y el banco, facilitando transacciones seguras mediante APIs abiertas.
  2. AISP Account Information Service Provider (Proveedor de Servicios de Información de Cuentas)
    • Estas entidades recopilan y consolidan información de las cuentas bancarias del usuario (con su consentimiento), ofreciendo una visión unificada de sus finanzas. Por ejemplo, pueden mostrar saldos o historiales de transacciones de diferentes bancos en una sola plataforma.

Y están, claro, las entidades que gestionan las cuentas, que tienen su denominación propia del contexto normativo de PSD2:

  1. ASPSP Account Servicing Payment Service Provider (Proveedor de Servicios de Pago que Gestiona Cuentas)
    • Son los bancos o instituciones financieras tradicionales que mantienen las cuentas de los clientes y deben proporcionar acceso a PISP y AISP a través de interfaces seguras (como APIs) bajo el consentimiento del usuario.
  2. TPP Third Party Providers (Terceros Proveedores)
    • Es un término general que engloba a PISP y AISP, refiriéndose a cualquier entidad autorizada por PSD2 para ofrecer servicios de pago o información, distinta de los bancos tradicionales.

Contacte con EADTrust en +34 91716 0555 si necesita certificados cualificados para PSD2

Qualified Certificates for PSD2 (Second Payment Services Directive)

Deja un comentario

EADTrust offers several services related to the issuance of PSD2 qualified certificates, including the issuance of test certificates.

But, what Are PSD2 Certificates?

PSD2 certificates are specialized digital certificates mandated under the European Union’s Revised Payment Services Directive (PSD2, EU Directive 2015/2366), designed to enhance the security, transparency, and interoperability of electronic payment systems across the EU. Introduced to foster open banking, PSD2 requires financial institutions, such as banks, and third-party providers (TPPs) to allow secure access to customer account data and payment services, provided customer consent is given. To facilitate this securely, PSD2 mandates the use of qualified electronic certificates compliant with the eIDAS Regulation (EU No 910/2014), which ensures trust and authenticity in electronic transactions.

These certificates serve as a digital “company ID” for payment service providers (PSPs), identifying them and their roles within the payment ecosystem while securing communications between parties, such as banks (Account Servicing Payment Service Providers, or ASPSPs) and TPPs. The certificates are critical for meeting the Regulatory Technical Standards (RTS) outlined in EU 2018/389, particularly Article 34, which specifies requirements for strong customer authentication (SCA) and secure communication channels. Issued by Qualified Trust Service Providers (QTSPs) listed in the EU Trusted List, PSD2 certificates ensure that only authorized entities can access sensitive financial data or initiate payments, thereby reducing fraud and enhancing consumer protection.

Types of PSD2 Certificates

There are two primary types of PSD2 certificates, each serving distinct purposes within the PSD2 framework:

  1. Qualified Website Authentication Certificate (QWAC):
    • Purpose: QWACs are used to establish a secure, encrypted Transport Layer Security (TLS) connection between parties, such as a TPP and a bank’s API. They authenticate the identity of the PSP or TPP and secure the communication channel, ensuring data confidentiality and integrity during transmission.
    • Use Case: QWACs are mandatory for identifying PSPs when they access a bank’s dedicated interface (API) or fallback mechanism (emergency interface). They are akin to Extended Validation (EV) TLS/SSL certificates but include additional PSD2-specific fields.
    • Technical Details: QWACs rely on a minimum key length of 2048 bits and are generated using a Certificate Signing Request (CSR) that includes the public key and specific attributes (e.g., Organization, Country).
  2. Qualified Certificate for Electronic Seal (QSealC or QSEAL):
    • Purpose: QSealCs provide a digital signature or “seal” on data or messages exchanged between parties, ensuring the data’s origin and integrity. They prevent tampering and offer non-repudiation, meaning the sender cannot deny having sent the message.
    • Use Case: QSealCs are used to sign requests or transactions (e.g., payment initiation or account information retrieval), providing evidence of the request’s authenticity. While not always mandatory, some banks or standards (e.g., Berlin Group’s NextGenPSD2) may require their use alongside QWACs.
    • Technical Details: QSealCs require a minimum key length of 3072 bits for higher security. They can be implemented as “soft seals” (stored digitally without hardware) or with hardware security modules (HSMs) or smart cards, depending on the provider.

Both certificate types are defined under the ETSI TS 119 495 standard, which outlines their technical specifications and ensures interoperability across the EU.

Information Contained in PSD2 Certificates

PSD2 certificates include standard fields found in digital certificates, as well as additional PSD2-specific information to meet regulatory requirements. The key details are:

  • Standard Certificate Fields:
    • Organization (O): The legal name of the PSP or entity.
    • Organizational Unit (OU): Optional, specifying a department or division (if applicable).
    • Common Name (CN): Typically the domain or identifier of the entity.
    • Country Code (C): The two-letter code of the entity’s home country (e.g., “DE” for Germany).
    • State or Province (S): The entity’s state or region (optional).
    • City (L): The entity’s city of operation.
  • PSD2-Specific Fields (in the Qualified Certificate Statement, QC Statement):
    • Authorization Number: A unique identifier issued by the National Competent Authority (NCA) upon registration or licensing of the PSP. This links the certificate to the official public register.
    • PSD2 Roles: The specific roles or entitlements of the PSP, indicating the services they are authorized to provide (detailed below).
    • Name of the National Competent Authority (NCA): The regulatory body overseeing the PSP (e.g., BaFin in Germany, Bank of Spain in Spain).

These fields ensure that the certificate unambiguously identifies the PSP, its authorized activities, and the supervising authority, enabling banks and other parties to verify legitimacy during transactions.

Requirements for Issuance of PSD2 Certificates

The issuance of PSD2 certificates involves strict requirements to ensure security and compliance with EU regulations. These include:

  1. Authorization by a National Competent Authority (NCA):
    • Before applying for a certificate, a PSP must obtain a license or registration from its NCA (e.g., the Financial Conduct Authority in the UK, KNF in Poland). This process confirms the entity’s eligibility to operate as a PSP under PSD2.
    • CRR credit institutions (banks with a full banking license) do not require additional authorization and can directly apply for certificates covering all roles.
  2. Application to a Qualified Trust Service Provider (QTSP):
    • Certificates must be issued by a QTSP accredited under eIDAS and listed in the EU Trusted List. Examples include DigiCert, GlobalSign, and Buypass.
    • The PSP submits a Certificate Signing Request (CSR) containing the public key and required attributes, generated with specified key lengths (2048 bits for QWACs, 3072 bits for QSealCs).
  3. Identity Verification:
    • A natural person (e.g., an authorized signatory) must be identified to represent the PSP. This can be:
      • The signatory themselves for a Qualified Seal Card PSD2.
      • A delegated representative (subscriber’s representative) for QWACs or QSealCs, authorized via a signed request form.
    • Identification methods vary by country:
      • In Germany, PostIdent is standard.
      • Elsewhere, it may involve embassies, consulates, or notaries listed in the European Directory of Notaries.
  4. Validation Against Public Registers:
    • The QTSP verifies the PSP’s authorization number and roles against the NCA’s public register or the European Banking Authority (EBA) register to ensure accuracy and legitimacy.
  5. Technical Requirements:
    • The PSP generates and manages its own private keys, ensuring they remain secure (e.g., using an HSM for QSealCs).
    • Test certificates, which do not require an NCA license, are available for pre-authorization testing but follow the same technical standards.
  6. Certificate Validity and Renewal:
    • QWACs are typically valid for one year, while QSealCs may vary depending on the QTSP. Changes (e.g., PSP name or roles) require revocation of the old certificate and issuance of a new one, as fields cannot be edited.

Roles Encoded in PSD2 Certificates

PSD2 recognizes four distinct roles for PSPs, which define their authorized activities within the payment ecosystem. These roles are encoded in the certificates and align with the ETSI TS 119 495 standard abbreviations:

  1. Account Information Service Provider (AISP, PSP_AI):
    • Description: AISPs aggregate and provide consolidated views of a customer’s payment accounts (e.g., from multiple banks). They help with budgeting, expense tracking, and financial planning.
    • Function: Read-only access to account data, with customer consent.
  2. Payment Initiation Service Provider (PISP, PSP_PI):
    • Description: PISPs initiate payments on behalf of customers directly from their bank accounts, acting as intermediaries between merchants and banks.
    • Function: Facilitates online credit transfers or direct debits, bypassing traditional card payments.
  3. Account Servicing Payment Service Provider (ASPSP, PSP_AS):
    • Description: Typically traditional banks or institutions that maintain payment accounts for customers.
    • Function: Provides account management services and must open APIs for TPPs to access customer data or initiate payments.
  4. Payment Service Provider Issuing Card-Based Payment Instruments (PSP_IC):
    • Description: Entities authorized to issue card-based payment instruments (e.g., debit or credit cards).
    • Function: Enables card payments as part of the payment ecosystem.

A single PSP can hold multiple roles (e.g., both AISP and PISP), and these are all encoded in the certificate’s QC Statement. Banks with a full CRR license can apply for all roles without additional authorization, while TPPs must specify their roles during NCA registration.

Conclusion

PSD2 certificates (QWACs and QSealCs) are vital tools for ensuring secure, authenticated, and interoperable electronic payments under the PSD2 framework. They identify PSPs, secure communications, and protect data integrity, relying on strict issuance processes overseen by QTSPs and NCAs. Containing detailed organizational and regulatory information, they encode one or more of the four PSP roles (AISP, PISP, ASPSP, PSP_IC), reflecting the diverse functions within the open banking landscape. This robust system supports PSD2’s goals of enhancing security, promoting competition, and protecting consumers across the EU.

Certificados cualificados para PSD2 (Segunda Directiva de Servicios de Pago)

Deja un comentario

EADTrust expide Certificados Cualificados PSD2 para entidades financieras y otros roles definidos en la Directiva PSD2: TPP, AISP, PISP, ASPSP. CISP

Los certificados PSD2 son certificados digitales cualificados diseñados para cumplir con la Directiva de Servicios de Pago (PSD2) de la Unión Europea. Estos certificados aseguran las transacciones financieras y la comunicación entre los proveedores de servicios de pago y las instituciones financieras.

Tipos de certificados PSD2

Existen dos tipos principales de certificados PSD2:

  1. QWAC (Qualified Website Authentication Certificate):
    • Autentifica el sitio web del proveedor de servicios de pago.
    • Cifra las comunicaciones entre el banco y el proveedor mediante conexión TLS.
    • Garantiza la comunicación segura en la transmisión de datos.
  2. QSealC (Qualified eSeal Certificate):
    • Securiza los datos a nivel de aplicación.
    • Identifica de forma unívoca quién ha accedido a la API.
    • Protege los datos firmados contra modificaciones, asegurando su integridad.

Información contenida

Los certificados PSD2 incluyen:

  • Identidad del proveedor de servicios de pago.
  • Roles del proveedor (pueden ser uno o varios: AISP, PISP,…).
  • Número de autorización asignado por la Autoridad Nacional Competente.
  • Nombre del dominio/dominios autenticados

Requisitos para su expedición

Para obtener un certificado PSD2, se requiere:

  1. Ser un proveedor de servicios de pago autorizado con un número de autorización asignado por la Autoridad Nacional Competente (en España, el Banco de España).
  2. Presentar documentación:
    • Documento de identificación (DNI, NIE) del representante legal.
    • Poder que acredite la representación vigente.
    • Identificación de la categoría de la entidad (organización privada, entidad gubernamental, comercial o no comercial)
  3. Pasar por un proceso de validación, similar al requerido para TLS de validación extendida (EV), que puede incluir:
    • Verificación cara a cara de los documentos oficiales del titular del certificado.
    • Confirmación de la licencia y roles del proveedor de servicios de pago por parte de la autoridad certificadora
  4. En algunos casos, se puede requerir la intervención de un notario público para facilitar el proceso de validación

Los certificados PSD2 son cruciales para garantizar la seguridad y la confianza en las transacciones financieras digitales en el marco de la normativa europea, proporcionando autenticación, integridad y confidencialidad en las comunicaciones entre proveedores de servicios de pago, bancos y clientes.

Puede contactar con EADTrust llamando al 91 7160555 o 902 365 612.

EADTrust, la entidad líder en Digital Transaction Management (DTM)

Deja un comentario

El concepto Digital Transaction Management (DTM), Gestión de Transacciones Digitales engloba un conjunto de servicios y tecnologías basados en la nube diseñados para gestionar digitalmente transacciones basadas en documentos. El objetivo principal de la Gestión de Transacciones Digitales es eliminar la fricción inherente a las transacciones que involucran personas, documentos y datos, creando procesos más rápidos, fáciles, convenientes y seguros.

Los componentes clave de un sistema DTM incluyen:

  1. Firmas electrónicas: Permiten la vinculación de documentos a sus firmantes, su autenticación segura y la atribución legalmente vinculante de documentos firmados.
  2. Gestión de documentos y transacciones: Incluye almacenamiento digital, asociado al concepto de custodia, organización y recuperación eficiente de documentos y operaciones.
  3. Automatización de flujos de trabajo: Reduciendo tareas manuales y mejorando la consistencia de los procesos.
  4. Protocolos de seguridad: Implementando el cifrado donde se precisa (teniendo en ciuenta los riesgos que anuncia la computación cuántica) y controles de acceso para proteger información sensible.
  5. Autenticación digital: Verificando la identidad de los participantes en las transacciones.
  6. Gestión de evidencias digitales para favorecer la fuerza probatoria en contextos de resolución de controversias.
  7. Gestión de entornos híbridos de documentos digitales y en papel, con gestión de la digitalización cualificada de documentos en papel con fuerza probatoria y documentos nacidos digitales que se pueden usar impresos por la posibilidad de cotejo de su CSV (Código Seguro de Verificación) en su sede electrónica de referencia.

Los servicios de EADTrust encajan perfectamente en el concepto de Digital Transaction Management, ya que ofrecen varias soluciones clave que son fundamentales para la gestión digital de transacciones:

  1. Firmas electrónicas cualificadas: EADTrust emite certificados cualificados para personas físicas y entidades legales, que permiten la creación de firmas y sellos electrónicos avanzados y cualificados. También ofrece servicios de comprobación de las firmas electrónicas que se reciben en las entidades.
  2. Sellos de tiempo cualificados: Estos sellos permiten probar el momento exacto en que ocurrió un evento digital, dejando un registro irrefutable de la fecha, hora y contenido del evento mediante criptografía. Se asocia un sello de teiempo con cada transacción.
  3. Custodia digital: EADTrust ha desarrollado una tecnología que permite a los usuarios almacenar documentos digitalmente, pudiendo probar su autenticidad a través de CSV y su inalterabilidad mediante métodos criptográficos avanzados. En línea con la normativa de eArchivos de EIDAS2
  4. Notificaciones certificadas (Noticeman): Ofreciendo una plataforma de gestión de correo electrónico y SMS certificados que permite registrar la identidad del remitente, el receptor, el contenido y el momento exacto en que se realizaron las comunicaciones.
  5. Servicios corporativos: Proporcionan testimonios de publicación de documentos a las entidades obligadas para convocatorias de juntas generales de accionistas, foros y gestión de voto electrónico, cumpliendo con la Ley de Sociedades de Capital.
  6. Custodia de claves privadas: Celebran ceremonias de creación de claves, generando pares de claves asimétricas y manteniendo la clave privada para garantizar la integridad. Estos servicios son esenciales en la gestión de firmas manuscritas capturadas en tabletas digitalizadoras

Estos servicios de EADTrust abordan aspectos críticos de DTM, como la autenticación, la seguridad, la gestión de documentos y el cumplimiento normativo. Al ofrecer estas soluciones, EADTrust contribuye significativamente a la transformación digital de las empresas, permitiéndoles gestionar sus transacciones de manera más eficiente, segura y conforme a la normativa vigente.

En relación con las Carteras IDUE ayuda a adaptarse a las entidades obligadas por mandato del Reglamento EIDAS2 en el articulo 5 septies: 

Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión ( 5 )— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

CriptoBlockchain 2023

Deja un comentario

Congreso sobre Criptoactivos y Blockchain

Con el apoyo de la Escuela Técnica Superior de Ingenieros de Minas y Energía; la Escuela Técnica Superior de Ingenieros de Telecomunicación y la Escuela Técnica Superior de Ingenieros de Informática, se está fraguando este evento que se celebrará en otoño de 2023, aunque la fecha no está cerrada.

Mi amigo Abilio Blázquez con quien colaboré hace unos años para lanzar el I Congreso Internacional de Ingeniería Forense. INGEFOR-08 está ahora acabando de definir el contenido y los ponentes de este evento.

Entre los temas que se tratarán:

  • El Universo Blockchain: aspectos técnicos.
  • Las aplicaciones de las DLT: contratos inteligentes, etc.
  • Banca, Finanzas y Blockchain.
  • La formación en la tecnología Blockchain.
  • Las DEFI: finanzas descentralizadas: situación actual y evolución.
  • Aplicaciones sociales del Blockchain.
  • Régimen piloto de infraestructuras de mercado basadas en DLT. El Reglamento Europeo sobre un Régimen Piloto de las Infraestructuras de Mercado, basadas en la tecnología de Registro Descentralizado.

Conceptos

  • Los Criptoactivos: sus tipos.
  • El marco regulatorio de los Criptoactivos: regulación europea (Reglamento MICA). 
  • Regulación de los Criptoactivos por las entidades españolas: Banco de España, Comisión Nacional del Mercado de Valores, etc.
  • Las monedas digitales y los Bancos Centrales: el Euro Digital.
  • Las monedas digitales de bancos centrales de EE.UU., China, etc.
  • La tokenización de activos inmobiliarios, mobiliarios, productos energéticos, materias primas y productos agrarios, etc.
  • Revisión de casos prácticos de tokenización de bienes inmuebles y otros activos.
  • Las Criptomonedas.
  • La seguridad en el universo de las criptomonedas: aspectos técnicos y legales.
  • Problemas forenses en los criptoactivos: legalidad, versus
  • Aspectos económicos, financieros y fiscalidad de los criptoactivos.
  • Los mercados de criptoactivos: Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los servicios de inversión.
  • Los mercados de criptomonedas: las plataformas de comercialización, billeteras, etc. 
  • Las criptomonedas y la Banca.
  • Las Criptomonedas y los Bancos Centrales.

Pronto habrá más información sobre ponencias y ponentes

Sandbox regulatorio: Una oportunidad de negocio

Deja un comentario

Sabadell-Hub-EmpresaEl próximo 6 de julio a las 17:30h tedrá lugar un evento online impulsado por el Colegio Oficial de Ingenieros de Telecomunicación Región de Murcia y el Hub Empresa de Banco Sabadell, con el título Sandbox regulatorio: Una oportunidad de negocio.

Hay que inscribirse en este enlace.

Colegio de Ingenieros de Teleco - MurciaEn esta sesión hablaremos del Sandbox regulatorio como punta de lanza de la creación de un nuevo modelo de negocio que aflora infinidad de oportunidades empresariales.

En esta sesión, moderada por Fernando Canos, Director Comercial Territorial Este en Banco Sabadell, contaremos con las siguientes intervenciones:

  • Denis Nakagaki, Head of Digital Strategy and Partnerships de Innocells by Banco Sabadell: “Sandbox regulatorio como palanca para acelerar la innovación y acompañar mejor a nuestros clientes
  • Juan Luis Pedreño, Decano del Colegio de Ingenieros de Telecomunicación Región de Murcia, Catedrático de la Universidad Politécnica de Cartagena y Diputado Nacional en el Congreso de los Diputados: “Sandbox regulatorio en España, atracción de proyectos para el desarrollo de la Transformación Digital” –
  • Julian Inza, Chief Audit Officer de TCAB (Trust Conformity Assessment Body): “Sandbox regulatorio para mejorar la competitividad de la innovación Fintech, Insurtech, Regtech, Suptech desde España”.

El Grupo de Expertos de la Comisión Europea sobre los obstáculos normativos a la innovación financiera insta a la UE para que empiece las reformas legales ya

1 respuesta

El Grupo de Expertos de la Comisión Europea sobre los obstáculos reglamentarios a la innovación financiera (Expert Group on Regulatory Obstacles to Financial Innovation – ROFIEG)  insta a la reforma de la normativa financiera de la UE para fomentar la innovación en el sector de las finanzas.

El pasado 13 de diciembre de 2019 se ha publicado su esperado informe sobre cómo mejorar y fortalecer el panorama europeo del sector FinTech y sobre como fomentar una mayor inversión e innovación, además de poner fin a la fragmentación normativa y establecer un marco regulatorio más sólido.

Compuesto por expertos del sector, representantes de  instituciones financieras, académicos y juristas, junto con observadores de organismos como la ABE, la AEVM y el BCE, el Grupo de Expertos ha estado trabajando desde junio de 2018 en la creación de un marco de adaptación para el sector FinTech en la UE. El informe contiene 30 recomendaciones de medidas legislativas y no legislativas para abordar los problemas que actualmente obstaculizan la adopción o la ampliación del sector FinTech en toda la UE. Entre ellas se incluyen acciones para facilitar el uso de la IA (Inteligencia Artificial) y las tecnologías asociadas, las DLT (tecnologías de tipo blockchain) y los criptoactivos  e impulsar ámbitos conexos como RegTech y SupTech. También se recomiendan acciones para fortalecer el marco de acceso, intercambio y procesamiento de datos.

«En general, las recomendaciones tienen por objeto apoyar un marco más flexible y tecnológicamente neutro para el sector FinTech en toda la UE, que permita aprovechar las ventajas de las tecnologías afines al sector financiero y, al mismo tiempo, mitigar eficazmente el riesgo», nos explica Elisabeth Noble, Asesora Principal de Políticas de la EU Banking Authority (Autoridad Bancaria de la UE) y uno de los miembros del Grupo de Expertos.

Actualmente, la UE acoge sólo el 5% del valor global de las empresas tecnológicas, frente al 65% de Estados Unidos y el 35% de China, y el grupo ha criticado el marco regulatorio actual tildándolo de «ausente, fragmentado o poco claro» que impide que los mercados financieros de la UE pongan en valor los beneficios de los avances tecnológicos. «La competitividad y la soberanía regulatoria en relación con un sector financiero que hiciera un mayor uso de la tecnología requieren un marco considerablemente más armonizado sobre la base de los axiomas regulatorios existentes que el que existe actualmente en la UE», advierte el informe.

El informe propone la creación de una «agenda exhaustiva y ambiciosa» para apoyar la adopción de tecnologías digitales por reguladores y supervisores en lo que se denomina  RegTech (tecnología en el ámbito de la regulación financiera) y SupTech (tecnología en el ámbito de la supervisión financiera) para enmarcar el impulso al sector financiero,  así como la adopción de una estrategia para hacer que los procesos de envíos de informes al regulador y al supervisor y las obligaciones de cumplimiento legal cuenten con versiones procesables por máquina así como destinadas a la lectura por humanos.

También recomienda el establecimiento de cámaras de compensación regulatorias para centralizar la difusión de las normas a las entidades reguladas, recibir información sobre incidentes e informes regulatorios y recopilar datos de mercado, junto con la creación de una nueva «regulatory sandbox» (entorno de pruebas supervisado por el regulador)  a nivel de la UE para apoyar la innovación y la estandarización.

Según el grupo de expertos, los procesos KYC (Know Your Customer, conoce a tu cliente) deberían armonizarse plenamente en todos los Estados miembros,  mientras que la diligencia debida con respecto a los clientes (CDD, customer due diligence) y la incorporación de éstos a las propias entidades financieras y Fintech (lo que se denomina «client onboarding»)  también podrían regularse y se podría introducir legislación expresa como ya ocurre en algunos países como España, sobre la verificación de la identidad digital. Entre las recomendaciones se incluyen  aspectos sobre el intercambio y procesamiento de datos proponiendo el uso obligatorio de interfaces estandarizadas de intercambio de datos.

Desde el punto de vista regulatorio, el informe subraya que, si bien la legislación de la UE sobre servicios financieros debería ser «tecnológicamente neutra, suficientemente preparada para el futuro y apta para su finalidad», no tiene mucho sentido crear marcos específicos para la tecnología (como una «reglamentación de la cadena de bloques» blockchain) y la cuestión debería abordarse en cambio desde una perspectiva temática. Hay cinco temas sobre los que se sugieren recomendaciones:  la comprensión de la tecnología y su impacto, la ciberresiliencia (resistencia los ataques cibernéticos), la subcontratación, la gobernanza de las redes financieras distribuidas (incluyendo el marco legal para los cripto-activos), y la estandarización en lo que respecta a RegTech y SupTech.

En el espacio RegTech, es notable que entre 2008-2016, hubo un aumento del 500% en los cambios regulatorios en los mercados desarrollados, lo que evidencia la necesidad de soluciones RegTech escalables, fiables y eficientes. A medida que las empresas buscan reducir las cargas de cumplimiento legal y minimizar las sanciones regulatorias, las investigaciones predicen que en los próximos años el gasto en RegTech crecerá en un 48% anual, pasando de 10.600 millones de dólares en 2017 a 76.300 millones en 2022. Y eso que, según el grupo de expertos, «el marco actual es ineficiente», particularmente en lo que se refiere a los requisitos de presentación de informes.

«Un enfoque proactivo para aportar claridad sobre las expectativas de regulación y supervisión de la adopción de FinTech en el sector financiero puede fomentar la inversión al proporcionar la tan deseada certidumbre», afirma la señora Noble. «Al crear estas condiciones que permitan a las empresas escalar más fácilmente a nivel transfronterizo, las empresas estarán mejor situadas para aprovechar el mercado local y convertirse potencialmente en campeonas no sólo de la UE, sino también del mundo».

El informe recomienda la introducción de pautas legislativas legibles y ejecutables por máquina, incluyendo la estandarización de instrucciones regulatorias en una versión ejecutable por máquina que pueda facilitar la generación de informes a los supervisores automatizada. Este aspecto posiblemente requiera el desarrollo de un lenguaje de especificaciones para generación de informes que sirva de base a este tipo de iniciativas. También deben considerarse soluciones automatizadas y de Inteligencia Artificial para la entrada, agregación y análisis de datos, incluyendo soluciones que permitan el «procesamiento directo» de las declaraciones reglamentarias. Y las cámaras de compensación regulatorias ya mencionadas deberían trabajar en la vinculación entre la regulación, los procesos de cumplimiento y la elaboración de informes a los supervisores para fomentar que estos sean más rápidos, precisos y de menor coste, haciendo que la  regulación y la supervisión sean más eficaces.

«La adopción de soluciones RegTech y SupTech comunes basadas en normas técnicas ayudaría a las empresas (por ejemplo, en la información regulatoria diaria), a los supervisores (por ejemplo, en el análisis de informes sobre transacciones sospechosas, datos notificados y datos compartidos a nivel transfronterizo) y a las AES, Agencias Supervisoras Europeas, European Supervisory Agencies  (por ejemplo, en el contexto de la notificación de datos para los ejercicios de pruebas de estrés  y la supervisión de los riesgos macroprudenciales)», concluye.

Entre las recomendaciones también se incluyen: una taxonomía común que permita armonizar diferentes clasificaciones de servicios, un enfoque reglamentario unificado y una norma que establezca la precedencia normativa que ayude a minimizar situaciones de conflicto de leyes para los cripto-activos; la supervisión de la subcontratación externa por parte de las instituciones financieras de servicios esenciales a fin de mitigar los riesgos de concentración; la elaboración de un nuevo marco de pruebas de ciberresiliencia para el sector financiero; y la publicación de pautas orientativas sobre normas para la tecnología de la inteligencia artificial.

«Ninguna de nuestras recomendaciones son soluciones rápidas», advierte el presidente del Grupo de Expertos Philipp Paech. «Algunas incluso pueden ser bastante complejas en términos de implementación. Aún así, estamos convencidos de que la UE no debería restringir sus iniciativas hacia los objetivos que parecen más al alcance de la mano, sino que debería apostar por por una visión a largo plazo que logre de forma sostenida  que su sector financiero sea competitivo en todo momento, lo que beneficiará a los ciudadanos».

Los miembros del Grupo de Expertos son:
Type A – Individual expert appointed in his/her personal capacity

Name Nationality Professional Title Membership Status
Philipp Paech Germany Director Law and Financial Markets Project Member

Type B – Individual expert appointed as representative of a common interest

Name Nationality Professional Title Membership Status
Sofie Van de Velde Belgium Head of Legal support Member
Thomas Jantsch Germany Attorney-at-Law Member
Simon Maisey United Kingdom Managing Director and Global Head of Business Development Member

Type C – Organisation

Name of Organisation Category Countries/Areas represented Membership Status
AXA Banks/Financial Institutions
France
 Member
BANCO BILBAO VIZCAYA ARGENTARIA (BBVA) Banks/Financial Institutions
Spain
 Member
Barclays PLC Banks/Financial Institutions
United Kingdom
 Member
Deutscher Sparkassen-und Giroverband (DSGV) Banks/Financial Institutions
Germany
 Member
FinLeap GmbH Companies/Groups
Austria
 Member
France Fintech Banks/Financial Institutions
France
 Member
ING Group Banks/Financial Institutions
Netherlands
 Member
London Stock Exchange Group (LSEG) Banks/Financial Institutions
United Kingdom
 Member
Università Cattolica del Sacro Cuore (UCSC) Academia, Research Institute and Think Tanks
Italy
 Member
University College Cork, National University of Ireland, Cork (UCC) Academia, Research Institute and Think Tanks
Ireland
 Member

Type E – Other public entity

Name of Organisation Entity type Countries/Areas represented Membership Status
Committee on Payments and Market Infrastructures International/Intergovernmental Organisations
European
 Observer
European Banking Authority EU Institutions/Bodies
European
 Observer
European Central Bank EU Institutions/Bodies
European
 Observer
European Insurance and Occupational Pensions Authority EU Institutions/Bodies
European
 Observer
EUROPEAN SECURITIES & MARKETS AUTHORITY EU Institutions/Bodies
European
 Observer

 

 

Certificados de prueba #eIdAS para #PSD2

Deja un comentario

Hace ya algún tiempo traté sobre los certificados que se podrían usar en el contexto de PSD2, en el artículo «Directiva PSD2 y certificados #eIdAS de Proveedores de Servicios de Pago»

Todavía antes (en 2017) traté temas técnicos (algunos controvertidos) de PSD2 en el artículo «Segunda directiva de servicios de pago (PSD2) y Regulatory Technical Standards»

PSD2-PI-AI-Card

Ahora ya hay más información y sabemos como se codificarán las Autoridades Nacionales Competentes en los certificados de los prestadores delos diferentes servicios definidos en PSD2:

i) Servicios de cuenta (PSP_AS) que proporcionan las entidades financieras actuales;
ii) Servicios de iniciación de pagos (PSP_PI) que proporcionarán nuevas entidades accediendo a las cuentas que sus clientes tienen en los proveedores de servicios de cuenta y ordenando transferencias en su nombre;
iii) Servicios de información de cuentas (PSP_AI) que proporcionarán nuevas entidades accediendo a las cuentas que sus clientes tienen en los proveedores de servicios de cuenta y recogiendo las transacciones de varias entidades para presentarlas al cliente de formas más interesantes o útiles;
iv) Servicios de expedición de instrumentos de pago basados en tarjetas (PSP_IC), para emisión de servicios equivalentes a tarjetas virtuales o adquirencia de transacciones de pago de tarjetas.

La lista de entidades es

Code Country Authority Title
AT-FMA Austria Austria Financial Market Authority
BE-NBB Belgium National Bank of Belgium
BG-BNB Bulgaria Bulgarian National Bank
HR-CNB Croatia Croatian National Bank
CY-CBC Cyprus Central Bank of Cyprus
CZ-CNB Czech Czech National Bank
DK-DFSA Denmark Danish Financial Supervisory Authority
EE-FI Estonia Estonia Financial Supervisory Authority
FI-FINFSA Finland Finnish Financial Supervisory Authority
FR-ACPR France Prudential Supervisory and Resolution Authority
DE-BAFIN Germany Federal Financial Supervisory Authority
GR-BOG Greece Bank of Greece
HU-CBH Hungary Central Bank of Hungary
IS-FME Iceland Financial Supervisory Authority
IE-CBI Ireland Central Bank of Ireland
IT-BI Italy Bank of Italy
LI-FMA Liechtenstein Financial Market Authority Liechtenstein
LV-FCMC Latvia Financial and Capital Markets Commission
LT-BL Lithuania Bank of Lithuania
LU-CSSF Luxembourg Commission for the Supervision of Financial Sector
NO-FSA Norway The Financial Supervisory Authority of Norway
MT-MFSA Malta Malta Financial Services Authority
NL-DNB Netherlands The Netherlands Bank
PL-PFSA Poland Polish Financial Supervision Authority
PT-BP Portugal Bank of Portugal
RO-NBR Romania National Bank of Romania
SK-NBS Slovakia National Bank of Slovakia
SI-BS Slovenia Bank of Slovenia
ES-BE Spain Bank of Spain
SE-FINA Sweden Swedish Financial Supervision Authority
GB-FCA United Kingdom Financial Conduct Authority

Las URLS de las NCA (National Competent Authorities) Autoridades Naciones Competentes se ven en la siguiente lista:

Country Competent authority
Austria Financial Market Authority
Belgium National Bank of Belgium
Bulgaria Bulgarian National Bank
Croatia Croatian National Bank for credit institutions and Croatian Financial Services Supervisory Agency for investment firms
Cyprus Central Bank of Cyprus
Czech Republic Czech National Bank
Denmark Finanstilsynet
ECB (SSM) European Central Bank (SSM)
Estonia Financial Supervision Authority
Finland Finanssivalvonta (Fin-FSA)
France Autorité de contrôle prudentiel et de Resolution
Germany BaFin and Bundesbank
Greece Bank of Greece
Hungary Central Bank of Hungary
Iceland Financial Supervisory Authority
Ireland Central Bank of Ireland
Italy Banca d’Italia
Latvia Financial and Capital Market Commission
Liechtenstein Financial Services Authority
Lithuania Bank of Lithuania
Luxembourg Commission de Surveillance du Secteur Financier
Malta Malta Financial Services Authority
Netherlands De Nederlandsche Bank
Poland Polish Financial Supervision Authority
Portugal Banco de Portugal
Romania National Bank of Romania
Slovakia National Bank of Slovakia
Slovenia Bank of Slovenia
Spain Banco de España
Sweden Finansinspektionen
UK Prudential Regulation Authority and Financial Conduct Authority

Con la novedad de que ya se pueden introducir guiones en el campo organizationIdentifier que mencioné en el artículo «Resuelto uno de los frenos a los certificados cualificados de PSD2» ya se pueden emitir certificados cualificados extended validation para las diferentes entidades que operan en el despliegue de PSD2.

Algunos Prestadores de Servicios de Certificación ya se están preparando para emitirlos (inicialmente, certificados de prueba) y en TCAB ya estamos listos para auditarlos. Llámenos al  91 388 0789