I. Disposiciones generales. JEFATURA DEL ESTADO. Medidas urgentes. (BOE-A-2023-26452)
Real Decreto-ley 8/2023, de 27 de diciembre, por el que se adoptan medidas para afrontar las consecuencias económicas y sociales derivadas de los conflictos en Ucrania y Oriente Próximo, así como para paliar los efectos de la sequía.
149 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Jueves 28 de diciembre de 2023
Sec. I. Pág. 172627
En tercer lugar, los operadores de acuerdos de pago electrónico, que desarrollan
soluciones de pago que añaden funcionalidades operativas a los servicios de pago,
como las carteras digitales.
En cuarto lugar, los procesadores de pagos, que son empresas de naturaleza
tecnológica que prestan servicios de transmisión, gestión y procesamiento de órdenes de
pago ya sea a proveedores de servicios de pago, a otros procesadores o a sistemas de
pago en sentido estricto.
Por último, existen otra serie de entidades que prestan servicios técnicos y
tecnológicos a los intervinientes en la cadena de valor de la prestación de servicios de
pago, entre los que se incluyen los servicios de pasarela de pago, los servicios de
protección de la privacidad, la autenticación de datos y entidades, el suministro de
tecnologías de la información y de redes de comunicación o el suministro y el
mantenimiento de interfaces orientadas al consumidor utilizadas para recopilar
información sobre pagos, incluidos los terminales y dispositivos utilizados para los
servicios de pago.
El ordenamiento jurídico europeo ha armonizado parte de las normas aplicables a
algunos de estos agentes. Sin ánimo de exhaustividad, destacan la Directiva 98/26/CE
del Parlamento Europeo y del Consejo, de 19 de mayo de 1998, sobre la firmeza de la
liquidación en los sistemas de pagos y de liquidación de valores; el Reglamento (UE)
260/2012 del Parlamento Europeo y del Consejo, de 14 de marzo de 2012, por el que se
establecen requisitos técnicos y empresariales para las transferencias y los adeudos
domiciliados en euros; el Reglamento (UE) 2015/751 del Parlamento Europeo y del
Consejo, de 29 de abril de 2015, sobre las tasas de intercambio aplicadas a las
operaciones de pago con tarjeta o la Directiva (UE) 2015/2366 del Parlamento Europeo y
del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado
interior. Estas normas cuentan con su régimen de infracciones y sanciones.
Para conseguir el objetivo descrito de evitar incidencias en el sistema, se aplican a
los operadores de sistemas de pago, a los operadores de esquemas de pago, a los
operadores de acuerdos de pago electrónico, a los procesadores de pagos y a otros
proveedores de servicios tecnológicos o técnicos determinadas obligaciones y
requerimientos del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo
de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero
(Reglamento DORA). Este Reglamento europeo tiene como objeto lograr un elevado
nivel común de resiliencia operativa digital, y establece requisitos uniformes relativos a la
seguridad de las redes y los sistemas de información que sustentan los procesos
empresariales de las entidades financieras. Las entidades de crédito, las entidades de
pago o las entidades de dinero electrónico están sujetas a este Reglamento, que será
plenamente exigible a partir del 17 de enero de 2025. El propio Reglamento, en su
considerando 104, reconoce que «los Estados miembros (…) podrán inspirarse en los
requisitos de resiliencia operativa digital establecidos en el presente Reglamento al
aplicar normas a los operadores de sistemas de pago y a las entidades de
procesamiento en sus propias jurisdicciones».
Mediante este real decreto-ley se ampliarán los sujetos obligados en el ámbito de los
pagos, exigiéndoseles en particular el cumplimiento de las medidas recogidas en el
Capítulo II del Reglamento DORA que se refieren a la adecuada gestión del riesgo
relacionado con las tecnologías de la información y de la comunicación (TIC). Entre otras
obligaciones, tendrán que identificar todas las fuentes de riesgo relacionado con las TIC,
detectar rápidamente las actividades anómalas, los problemas de rendimiento de las
redes de TIC y los incidentes relacionados con las TIC, disponer de políticas y
procedimientos de respaldo y procedimientos y métodos de restablecimiento y
recuperación o disponer de planes de comunicación de crisis. Desde la entrada en vigor
de este real decreto-ley las entidades tendrán que implementar las medidas necesarias
para cumplir con las nuevas obligaciones y, desde el 17 de enero de 2025, los
incumplimientos de dichas obligaciones serán sancionables por el Banco de España.
cve: BOE-A-2023-26452
Verificable en https://www.boe.es
Núm. 310
Jueves 28 de diciembre de 2023
Sec. I. Pág. 172627
En tercer lugar, los operadores de acuerdos de pago electrónico, que desarrollan
soluciones de pago que añaden funcionalidades operativas a los servicios de pago,
como las carteras digitales.
En cuarto lugar, los procesadores de pagos, que son empresas de naturaleza
tecnológica que prestan servicios de transmisión, gestión y procesamiento de órdenes de
pago ya sea a proveedores de servicios de pago, a otros procesadores o a sistemas de
pago en sentido estricto.
Por último, existen otra serie de entidades que prestan servicios técnicos y
tecnológicos a los intervinientes en la cadena de valor de la prestación de servicios de
pago, entre los que se incluyen los servicios de pasarela de pago, los servicios de
protección de la privacidad, la autenticación de datos y entidades, el suministro de
tecnologías de la información y de redes de comunicación o el suministro y el
mantenimiento de interfaces orientadas al consumidor utilizadas para recopilar
información sobre pagos, incluidos los terminales y dispositivos utilizados para los
servicios de pago.
El ordenamiento jurídico europeo ha armonizado parte de las normas aplicables a
algunos de estos agentes. Sin ánimo de exhaustividad, destacan la Directiva 98/26/CE
del Parlamento Europeo y del Consejo, de 19 de mayo de 1998, sobre la firmeza de la
liquidación en los sistemas de pagos y de liquidación de valores; el Reglamento (UE)
260/2012 del Parlamento Europeo y del Consejo, de 14 de marzo de 2012, por el que se
establecen requisitos técnicos y empresariales para las transferencias y los adeudos
domiciliados en euros; el Reglamento (UE) 2015/751 del Parlamento Europeo y del
Consejo, de 29 de abril de 2015, sobre las tasas de intercambio aplicadas a las
operaciones de pago con tarjeta o la Directiva (UE) 2015/2366 del Parlamento Europeo y
del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado
interior. Estas normas cuentan con su régimen de infracciones y sanciones.
Para conseguir el objetivo descrito de evitar incidencias en el sistema, se aplican a
los operadores de sistemas de pago, a los operadores de esquemas de pago, a los
operadores de acuerdos de pago electrónico, a los procesadores de pagos y a otros
proveedores de servicios tecnológicos o técnicos determinadas obligaciones y
requerimientos del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo
de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero
(Reglamento DORA). Este Reglamento europeo tiene como objeto lograr un elevado
nivel común de resiliencia operativa digital, y establece requisitos uniformes relativos a la
seguridad de las redes y los sistemas de información que sustentan los procesos
empresariales de las entidades financieras. Las entidades de crédito, las entidades de
pago o las entidades de dinero electrónico están sujetas a este Reglamento, que será
plenamente exigible a partir del 17 de enero de 2025. El propio Reglamento, en su
considerando 104, reconoce que «los Estados miembros (…) podrán inspirarse en los
requisitos de resiliencia operativa digital establecidos en el presente Reglamento al
aplicar normas a los operadores de sistemas de pago y a las entidades de
procesamiento en sus propias jurisdicciones».
Mediante este real decreto-ley se ampliarán los sujetos obligados en el ámbito de los
pagos, exigiéndoseles en particular el cumplimiento de las medidas recogidas en el
Capítulo II del Reglamento DORA que se refieren a la adecuada gestión del riesgo
relacionado con las tecnologías de la información y de la comunicación (TIC). Entre otras
obligaciones, tendrán que identificar todas las fuentes de riesgo relacionado con las TIC,
detectar rápidamente las actividades anómalas, los problemas de rendimiento de las
redes de TIC y los incidentes relacionados con las TIC, disponer de políticas y
procedimientos de respaldo y procedimientos y métodos de restablecimiento y
recuperación o disponer de planes de comunicación de crisis. Desde la entrada en vigor
de este real decreto-ley las entidades tendrán que implementar las medidas necesarias
para cumplir con las nuevas obligaciones y, desde el 17 de enero de 2025, los
incumplimientos de dichas obligaciones serán sancionables por el Banco de España.
cve: BOE-A-2023-26452
Verificable en https://www.boe.es
Núm. 310
