Articulo 5 Servicios de pago en el mercado interior -PSD2-

1. Para obtener autorización como entidad de pago, se remitirá a las autoridades competentes del Estado miembro de origen una solicitud acompañada de los siguientes documentos:

a) un programa de actividades en el que se indique, en particular, el tipo de servicio de pago que se pretende prestar;

b) un plan de negocios que incluya un cálculo de las previsiones presupuestarias para los tres primeros ejercicios, que demuestre que el solicitante podrá emplear sistemas, recursos y procedimientos adecuados y proporcionados para operar correctamente;

c) pruebas de que la entidad de pago dispone del capital inicial mencionado en el artículo 7;

d) por lo que respecta a las entidades de pago contempladas en el artículo 10, apartado 1, una descripción de las medidas adoptadas para proteger los fondos del usuario de los servicios de pago con arreglo al artículo 10;

e) una descripción de los métodos de gobierno empresarial y de los mecanismos de control interno del solicitante, incluidos procedimientos administrativos, de gestión del riesgo y contables, así como de los mecanismos para la utilización de los servicios de TIC de conformidad con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*), que demuestre que dichos métodos de gobierno empresarial y mecanismos de control interno son proporcionados, apropiados, sólidos y adecuados;

f) una descripción del procedimiento establecido para la supervisión, la tramitación y el seguimiento de los incidentes de seguridad y las reclamaciones de los consumidores al respecto, incluido un mecanismo de notificación de incidentes que atienda a las obligaciones de notificación de la entidad de pago establecidas en el capítulo III del Reglamento (UE) 2022/2554;

g) una descripción del procedimiento establecido para registrar, controlar, rastrear y restringir el acceso a los datos de pago sensibles;

h) una descripción de los mecanismos que garanticen la continuidad de la actividad, con inclusión de una delimitación clara de las operaciones esenciales, planes y política de continuidad de las actividades de TIC y planes de respuesta y recuperación en materia de TIC efectivos, así como un procedimiento para poner a prueba y revisar periódicamente la adecuación y eficiencia de dichos planes de conformidad con el Reglamento (UE) 2022/2554;

i) una descripción de los principios y las definiciones aplicados para la recopilación de los datos estadísticos sobre los resultados, las operaciones y el fraude;

j) un documento relativo a la política de seguridad, que incluya una evaluación pormenorizada de riesgos en relación con sus servicios de pago y una descripción de las medidas de control de la seguridad y mitigación de los riesgos adoptadas para proteger adecuadamente a los usuarios de los servicios de pago de dichos riesgos, incluido el fraude y uso ilegal de datos sensibles y de carácter personal;

k) en el caso de las entidades de pago sujetas a las obligaciones en relación con el blanqueo de capitales y la financiación del terrorismo que establecen la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo (31) y el Reglamento (UE) 2015/847 del Parlamento Europeo y del Consejo (32), una descripción de los mecanismos de control interno introducidos por el solicitante a fin de cumplir dichas obligaciones;

l) una descripción de la organización estructural del solicitante, incluida, cuando proceda, una descripción de la utilización que se pretenda hacer de agentes y sucursales y de los controles dentro y fuera de los locales de estos que el solicitante se compromete a realizar, como mínimo una vez al año, y una descripción de las disposiciones en materia de externalización, así como de su participación en un sistema de pago nacional o internacional;

m) la identidad de las personas que posean, directa o indirectamente, participaciones significativas en el sentido del artículo 4, apartado 1, punto 36, del Reglamento (UE) nº 575/2013, con indicación de la cuantía de su participación efectiva y pruebas de su idoneidad, atendiendo a la necesidad de garantizar la gestión sana y prudente de la entidad de pago;

n) la identidad de los administradores y las personas responsables de la gestión de la entidad de pago y, en su caso, de las personas responsables de la gestión de los servicios de pago de la entidad de pago, así como pruebas de su honorabilidad y experiencia y los conocimientos adecuados para la prestación de los servicios de pago, según determine el Estado miembro de origen de la entidad de pago;

o) en su caso, la identidad de los auditores legales y las sociedades de auditoría, según se definen en la Directiva 2006/43/CE del Parlamento Europeo y del Consejo (33);

p) el estatuto jurídico y los estatutos sociales del solicitante;

q) la dirección de la administración central del solicitante.

A efectos de las letras d), e), f) y l), el solicitante facilitará una descripción de sus procedimientos de auditoría y de las disposiciones organizativas que haya establecido a fin de adoptar todas las medidas razonables para proteger los intereses de sus usuarios y garantizar la continuidad y fiabilidad de la prestación de servicios de pago.

Las medidas de control de la seguridad y mitigación de los riesgos a que se refiere la letra j) del párrafo primero deberán indicar de qué manera garantizan un elevado nivel de resiliencia operativa digital de conformidad con el capítulo II del Reglamento (UE) 2022/2554, en particular en relación con la seguridad técnica y la protección de datos, también en lo que respecta a los soportes lógicos y los sistemas de TIC utilizados por el solicitante o por las empresas a las que externalice la totalidad o parte de sus operaciones. Dichas medidas comprenderán asimismo las medidas de seguridad establecidas en el artículo 95, apartado 1, de la presente Directiva, y atenderán a las directrices sobre medidas de seguridad formuladas por la ABE a que se refiere el artículo 95, apartado 3, de la presente Directiva cuando se adopten.

(*) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).

2. Los Estados miembros exigirán que las empresas que soliciten autorización para prestar los servicios de pago a que se refiere el punto 7 del anexo I queden obligadas, como condición para su autorización, a tener un seguro de responsabilidad civil profesional, que cubra los territorios en los que ofrezcan servicios, o alguna otra garantía comparable de que pueden hacer frente a las responsabilidades a que se refieren los artículos 73, 90 y 92.

3. Los Estados miembros exigirán que las empresas que soliciten registro para prestar los servicios de pago a que se refiere el punto 8 del anexo I queden obligadas, como condición para su registro, a tener un seguro de responsabilidad civil profesional, que cubra los territorios en los que ofrezcan servicios, o alguna otra garantía comparable de que pueden hacer frente a las responsabilidades que les incumben respecto del proveedor de servicios de pago gestor de cuenta o del usuario de servicios de pago, derivadas del acceso no autorizado o fraudulento a información de la cuenta de pago o de la utilización no autorizada o fraudulenta de dicha información.

4. A más tardar el 13 de enero de 2017, la ABE, tras consultar a todas las partes interesadas pertinentes, incluidas las del mercado de servicios de pago, a fin de reflejar todos los intereses involucrados, elaborará directrices dirigidas a las autoridades competentes, de conformidad con el artículo 16 del Reglamento (UE) nº 1093/2010, sobre los criterios que deban utilizarse para estipular el importe monetario mínimo del seguro de responsabilidad civil profesional u otra garantía comparable a que se refieren los apartados 2 y 3.

Al elaborar las directrices a las que se refiere el párrafo primero, la ABE tendrá en cuenta:

a) el perfil de riesgo de la empresa;

b) si la empresa presta o no otros servicios de pago a que se refiere el anexo I o realiza o no otras actividades empresariales;

c) el volumen de la actividad:

i) en el caso de las empresas que soliciten autorización para prestar los servicios de pago a que se refiere el punto 7 del anexo I, el valor de las operaciones iniciadas,

ii) en el caso de las empresas que soliciten registro para prestar los servicios de pago a que se refiere el punto 8 del anexo I, el número de clientes que puedan utilizar los servicios de información sobre cuentas;

d) las características específicas de las garantías comparables y los criterios para su aplicación.

La ABE examinará dichas directrices periódicamente.

5. A más tardar el 13 de julio de 2017, la ABE, tras consultar a todas las partes interesadas pertinentes, incluidas las del mercado de servicios de pago, a fin de reflejar todos los intereses involucrados, elaborará directrices de conformidad con el artículo 16 del Reglamento (UE) nº 1093/2010 relativas a la información que deberá facilitarse a las autoridades competentes en la solicitud de autorización de las entidades de pago, incluidos los requisitos establecidos en el apartado 1, párrafo primero, letras a), b), c), e) y g) a j), del presente artículo.

La ABE revisará dichas directrices periódicamente y, como mínimo, cada tres años.

6. Teniendo en cuenta, según proceda, la experiencia adquirida en la aplicación de las directrices a que se refiere el apartado 5, la ABE podrá elaborar proyectos de normas técnicas de regulación que especifiquen la información que deberá facilitarse a las autoridades competentes en la solicitud de autorización de las entidades de pago, incluidos los requisitos establecidos en el apartado 1, letras a), b), c), e) y g) a j).

Se delegan en la Comisión los poderes para adoptar las normas técnicas de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE) nº 1093/2010.

7. La información a que se refiere el apartado 4 se notificará a las autoridades competentes de conformidad con el apartado 1.