Articulo 33 Se complementa la Directiva (UE) 2015/2366 en lo relativo a normas para autenticación reforzada de clientes

1. Los proveedores de servicios de pago gestores de cuenta incluirán, en la concepción de la interfaz específica, una estrategia y planes para medidas de contingencia en caso de que la interfaz no rinda conforme a lo que exige el artículo 32, que la interfaz no esté disponible por motivos imprevistos o que el sistema se averíe. Podrá presumirse que la interfaz no está disponible por motivos imprevistos o que el sistema está averiado cuando no se dé respuesta, en un período de treinta segundos, a cinco solicitudes consecutivas de acceso a la información destinada a la provisión de servicios de iniciación de pago o servicios de información sobre cuentas.

2. Las medidas de contingencia incluirán planes de comunicación para informar a los proveedores de servicios de pago que hagan uso de la interfaz específica sobre las medidas para restablecer el sistema y una descripción de las opciones alternativas inmediatamente disponibles a las que los proveedores de servicios de pago pueden acceder durante ese tiempo.

3. Tanto el proveedor de servicios de pago gestor de cuenta como los proveedores de servicios de pago a que se refiere el artículo 30, apartado 1, notificarán sin demora los problemas con interfaces específicas descritos en el apartado 1 a sus respectivas autoridades nacionales competentes.

4. Como parte de un mecanismo de contingencia, los proveedores de servicios de pago a que se refiere el artículo 30, apartado 1, estarán autorizados a hacer uso de las interfaces a disposición de los usuarios de servicios de pago para la autenticación y comunicación con su proveedor de servicios de pago gestor de cuenta, hasta que la interfaz específica vuelva a alcanzar el nivel de disponibilidad y rendimiento que exige el artículo 32.

5. A tal fin, los proveedores de servicios de pago gestores de cuenta garantizarán que los proveedores de servicios de pago a que se refiere el artículo 30, apartado 1, puedan ser identificados y servirse de los procedimientos de autenticación facilitados por el proveedor de servicios de pago gestor de cuenta al usuario de servicios de pago. Cuando los proveedores de servicios de pago a que se refiere el artículo 30, apartado 1, hagan uso de la interfaz contemplada en el apartado 4, deberán:

a) adoptar las medidas necesarias para garantizar que no acceden a datos, los almacenan o los tratan para fines distintos de la prestación del servicio solicitado por el usuario del servicio de pago;

b) seguir cumpliendo las obligaciones derivadas del artículo 66, apartado 3, y del artículo 67, apartado 2, de la Directiva (UE) 2015/2366, respectivamente;

c) registrar los datos a los que se acceda a través de la interfaz gestionada por el proveedor de servicios de pago gestor de cuenta para los usuarios de servicios de pago y facilitar, previa petición y sin demora indebida, los archivos de registro a su autoridad nacional competente;

d) justificar debidamente a su autoridad nacional competente, previa petición y sin demora indebida, la utilización de la interfaz puesta a disposición de los usuarios de servicios de pago para acceder directamente a su cuenta de pago en línea;

e) informar al proveedor de servicios de pago gestor de cuenta en consecuencia.

6. Las autoridades competentes, tras consultar a la ABE a fin de garantizar una aplicación coherente de las siguientes condiciones, eximirán a los proveedores de servicios de pago gestores de cuenta que hayan optado por una interfaz específica de la obligación de crear el mecanismo de contingencia descrito en el apartado 4 cuando la interfaz cumpla todas las condiciones siguientes:

a) ajustarse a todas las obligaciones para las interfaces específicas según lo establecido en el artículo 32;

b) haberse concebido y probado de conformidad con el artículo 30, apartado 5, a satisfacción de los proveedores de servicios de pago a los que se hace referencia en dicho apartado;

c) haber sido utilizada de manera generalizada durante al menos tres meses por los proveedores de servicios de pago para ofrecer servicios de información sobre cuentas y servicios de iniciación de pagos y para confirmar la disponibilidad de fondos para los pagos con tarjeta;

d) que cualquier problema relacionado con la interfaz específica haya sido resuelto sin demora indebida.

7. Las autoridades competentes revocarán la exención a que se refiere el apartado 6 cuando los proveedores de servicios de pago gestores de cuenta no cumplan las condiciones a) y d) durante más de dos semanas naturales consecutivas. Las autoridades competentes informarán a la ABE de esta revocación y velarán por que el proveedor de servicios de pago gestor de cuenta establezca, en el plazo más breve posible y a más tardar en el plazo de dos meses, el mecanismo de contingencia previsto en el apartado 4.