CAPÍTULO II · Autorización de operaciones de pago
Artículo 36. Consentimiento y retirada del consentimiento
1. Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada. El consentimiento para la ejecución de una operación de pago podrá darse también por conducto del beneficiario o del proveedor de servicios de iniciación de pagos. El ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo. 2. El consentimiento podrá otorgarse con anterioridad a la ejecución de la operación o, si así se hubiese convenido, con posterioridad a la misma, conforme al procedimiento y límites acordados entre el ordenante y su proveedor de servicios de pago. 3. El ordenante podrá retirar el consentimiento en cualquier momento, pero no después de la irrevocabilidad a que se refiere el artículo 52. Cuando el consentimiento se hubiese dado para una serie de operaciones de pago, su retirada implicará que toda futura operación de pago que estuviese cubierta por dicho consentimiento se considerará no autorizada.
Artículo 37. Confirmación de la disponibilidad de fondos
1. Los proveedores de servicios de pago gestores de cuenta, previa solicitud de un proveedor de servicios de pago que emita instrumentos de pago basados en tarjetas, confirmarán inmediatamente la disponibilidad de fondos en la cuenta de pago del ordenante para la ejecución de una operación de pago basada en una tarjeta, siempre que se cumplan todas las condiciones siguientes: b) que el ordenante haya dado consentimiento explícito al proveedor de servicios de pago gestor de cuenta para que responda a las solicitudes de proveedores de servicios de pago específicos de facilitar confirmación de que el importe correspondiente a una operación de pago basada en una tarjeta determinada está disponible en la cuenta de pago del ordenante; c) que el consentimiento a que hace referencia la letra b) debe darse antes de que se realice la primera solicitud de confirmación. b) que el ordenante haya iniciado la operación de pago basada en una tarjeta por el importe en cuestión utilizando un instrumento de pago basado en tarjeta emitido por el proveedor de servicios de pago; c) que el proveedor de servicios de pago se identifique ante el proveedor de servicios de pago gestor de cuenta antes de cada solicitud de confirmación, y se comunique de manera segura con el proveedor de servicios de pago gestor de cuenta, de conformidad con lo previsto en el Reglamento Delegado 2018/389 y a los criterios que, dentro de las disposiciones de la Autoridad Bancaria Europea que le resulten aplicables, determine el Banco de España. 4. La confirmación a que hace referencia el apartado 1 no permitirá al proveedor de servicios de pago gestor de cuenta bloquear fondos en la cuenta de pago del ordenante. 5. El ordenante podrá solicitar al proveedor de servicios de pago gestor de cuenta que le comunique la identificación del proveedor de servicios de pago y la respuesta facilitada. 6. El presente artículo no se aplicará a las operaciones de pago iniciadas mediante instrumentos de pago basados en tarjetas en los que se almacene dinero electrónico tal como se define en la Ley 21/2011, de 26 de julio, de dinero electrónico.
Artículo 38. Normas de acceso a la cuenta de pago en caso de servicios de iniciación de pagos
1. Siempre que se pueda acceder en línea a la correspondiente cuenta de pago, todo ordenante podrá recurrir a un proveedor de servicios de iniciación de pagos para obtener los servicios de pago a que se refiere el artículo 1.2.g). 2. Si el ordenante da su consentimiento explícito para que se efectúe un pago de conformidad con el artículo 36, el proveedor de servicios de pago gestor de cuenta tomará las disposiciones indicadas en el apartado 4 para garantizar que el ordenante pueda ejercer su derecho a utilizar el servicio de iniciación de pagos. 3. El proveedor de servicios de iniciación de pagos: b) garantizará que las credenciales de seguridad personalizadas del usuario de servicios de pago no sean accesibles a terceros, con excepción del usuario y del emisor de las credenciales de seguridad personalizadas, y que las transmite a través de canales seguros y eficientes; c) garantizará que cualquier otra información sobre el usuario de servicios de pago obtenida al prestar servicios de iniciación de pagos se facilita exclusivamente al beneficiario y únicamente con el consentimiento explícito del usuario de servicios de pago; d) cada vez que se inicie un pago, se identificará ante el proveedor de servicios de pago gestor de cuenta del titular de la cuenta y se comunicará de manera segura con el proveedor de servicios de pago gestor de cuenta, el ordenante y el beneficiario, conforme a lo previsto en el Reglamento Delegado 2018/389 y a los criterios que, dentro de las disposiciones de la Autoridad Bancaria Europea que le resulten aplicables, determine el Banco de España; e) no almacenará datos de pago sensibles del usuario de servicios de pago; f) no solicitará al usuario de servicios de pago ningún dato distinto de los necesarios para prestar el servicio de iniciación del pago; g) no utilizará, almacenará o accederá a ningún dato para fines distintos de la prestación del servicio de iniciación de pagos expresamente solicitado por el ordenante; h) no modificará el importe, el destinatario ni ningún otro elemento de la operación. b) inmediatamente después de la recepción de la orden de pago procedente de un proveedor de servicios de iniciación de pagos, facilitará al proveedor de servicios de iniciación de pagos o pondrá a su disposición toda la información sobre el inicio de la operación de pago y toda la información a la que tenga acceso con relación a la ejecución de la operación de pago al proveedor de servicios de iniciación de pagos; c) tratará las órdenes de pago transmitidas a través de los servicios de un proveedor de servicios de iniciación de pagos sin discriminación alguna con respecto a las órdenes de pago transmitidas directamente por el ordenante, salvo por causas objetivas, en particular en lo que se refiere a los plazos, la prioridad o los gastos aplicables.
Artículo 39. Normas de acceso a la información sobre cuentas de pago y uso de dicha información en caso de servicios de información sobre cuentas
1. El proveedor de servicios de pago que preste el servicio de información sobre cuentas: b) garantizará que las credenciales de seguridad personalizadas del usuario de servicios de pago no sean accesibles a terceros, con excepción del usuario y del emisor de las credenciales de seguridad personalizadas, y que, cuando las transmita el proveedor de servicios de pago que preste el servicio de información sobre cuentas, la transmisión se realice a través de canales seguros y eficientes; c) en cada comunicación, se identificará ante el proveedor o proveedores de servicios de pago gestores de cuenta del usuario de servicios de pago y se comunicará de manera segura con el proveedor o proveedores de servicios de pago gestores de cuenta y el usuario del servicio de pago, de conformidad con lo previsto en el Reglamento Delegado 2018/389 y a los criterios que, dentro de las disposiciones de la Autoridad Bancaria Europea que le resulten aplicables, determine el Banco de España; d) accederá únicamente a la información de las cuentas de pago designadas por el usuario y las operaciones de pago correspondientes; e) no solicitará datos de pago sensibles vinculados a las cuentas de pago; f) no utilizará, almacenará o accederá a ningún dato, para fines distintos de la prestación del servicio de información sobre cuentas expresamente solicitado por el usuario del servicio de pago, de conformidad con las normas sobre protección de datos. b) tratará las peticiones de datos transmitidas a través de los servicios de un proveedor de servicios de pago que preste el servicio de información sobre cuentas sin discriminación alguna, salvo por causas objetivas.
Artículo 40. Limitaciones a la utilización del instrumento de pago y al acceso a las cuentas de pago por proveedores de servicios de pago
1. Cuando se emplee un instrumento de pago específico a fin de notificar el consentimiento, el ordenante y el proveedor de servicios de pago podrán acordar un límite de gasto aplicable a las operaciones de pago ejecutadas mediante dicho instrumento de pago. 2. Siempre que se haya acordado en el contrato marco, el proveedor de servicios de pago podrá reservarse el derecho de bloquear el instrumento de pago por razones objetivamente justificadas relacionadas con la seguridad del instrumento de pago, la sospecha de una utilización no autorizada o fraudulenta del mismo o, en caso de que esté asociado a una línea de crédito, un aumento significativo del riesgo de que el ordenante pueda ser incapaz de hacer frente a su obligación de pago. 3. En los supuestos previstos en el apartado anterior, el proveedor de servicios de pago informará al ordenante, en la forma convenida, del bloqueo del instrumento de pago y de los motivos para ello. Esta comunicación se producirá con carácter previo al bloqueo y, de no resultar posible, inmediatamente después del mismo, a menos que la comunicación de tal información resulte comprometida por razones de seguridad objetivamente justificadas o fuese contraria a cualquier otra disposición normativa. 4. El proveedor de servicios de pago desbloqueará el instrumento de pago o lo sustituirá por otro nuevo una vez que hayan dejado de existir los motivos para bloquear su utilización. Lo anterior se entenderá sin perjuicio del derecho del usuario a solicitar el desbloqueo en tales circunstancias. El desbloqueo del instrumento de pago o su sustitución por uno nuevo se realizará sin coste alguno para el usuario del servicio de pago. 5. Un proveedor de servicios de pago gestor de cuenta podrá denegar el acceso a una cuenta de pago a un proveedor de servicios de pago que preste el servicio de información sobre cuentas o un proveedor de servicios de iniciación de pagos por razones objetivamente justificadas y debidamente documentadas relacionadas con el acceso no autorizado o fraudulento a la cuenta de pago por parte del proveedor de servicios de pago que preste el servicio de información sobre cuentas o el proveedor de servicios de iniciación de pagos, en particular con la iniciación no autorizada o fraudulenta de una operación de pago. En tales casos, el proveedor de servicios de pago gestor de cuenta informará al ordenante, de la manera convenida, de la denegación del acceso a la cuenta de pago y de los motivos para ello. Esa información será facilitada al ordenante, de ser posible, antes de denegar el acceso y, a más tardar, inmediatamente después de la denegación, a menos que la comunicación de tal información ponga en peligro medidas de seguridad objetivamente justificadas o esté prohibida por otras disposiciones legales. El proveedor de servicios de pago gestor de cuenta permitirá el acceso a la cuenta de pago una vez dejen de existir los motivos para denegar el acceso. 6. En los casos contemplados en el apartado 5, el proveedor de servicios de pago gestor de cuenta comunicará inmediatamente al Banco de España el incidente relacionado con el proveedor de servicios de servicios de pago que preste el servicio de información sobre cuentas o el proveedor de servicios de iniciación de pagos. La información incluirá los datos pertinentes del caso y los motivos para tomar medidas. El Banco de España evaluará el caso y, cuando sea necesario, adoptará las medidas adecuadas.
Artículo 41. Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas
El usuario de servicios de pago habilitado para utilizar un instrumento de pago: b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.
Artículo 42. Obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago
1. El proveedor de servicios de pago emisor de un instrumento de pago: b) Se abstendrá de enviar instrumentos de pago que no hayan sido solicitados, salvo en caso de que deba sustituirse un instrumento de pago ya entregado al usuario de servicios de pago. Esta sustitución podrá venir motivada por la incorporación al instrumento de pago de nuevas funcionalidades, no expresamente solicitadas por el usuario, siempre que en el contrato marco se hubiera previsto tal posibilidad y la sustitución se realice con carácter gratuito para el cliente. c) Garantizará que en todo momento estén disponibles medios adecuados y gratuitos que permitan al usuario de servicios de pago efectuar una notificación en virtud del artículo 41.b), o solicitar un desbloqueo con arreglo a lo dispuesto en el artículo 40.4. A este respecto, el proveedor de servicios de pago facilitará, también gratuitamente, al usuario de dichos servicios, cuando éste se lo requiera, medios tales que le permitan demostrar que ha efectuado dicha comunicación, durante los 18 meses siguientes a la misma. d) Ofrecerá al usuario de servicios de pago la posibilidad de efectuar una notificación en virtud del artículo 41.b), gratuitamente y cobrar, si acaso, únicamente los costes de sustitución directamente imputables al instrumento de pago. e) Impedirá cualquier utilización del instrumento de pago una vez efectuada la notificación en virtud del artículo 41.b).
Artículo 43. Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente
1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo. Los plazos para la notificación establecidos en el párrafo primero no se aplicarán cuando el proveedor de servicios de pago no le haya proporcionado ni puesto a su disposición la información sobre la operación de pago con arreglo a lo establecido en el título II. 2. Cuando intervenga un proveedor de servicios de iniciación de pagos, el usuario de servicios de pago deberá obtener la rectificación del proveedor de servicios de pago gestor de cuenta en virtud del apartado 1, sin perjuicio de lo dispuesto en el artículo 45.2, y el artículo 60.1.
Artículo 44. Prueba de la autenticación y ejecución de las operaciones de pago
1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. 2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41. 3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave. 4. El proveedor de servicios de pago conservará la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas en este Título y sus disposiciones de desarrollo y las facilitará al usuario en el caso de que así le sea solicitado, durante, al menos, seis años. No obstante, el proveedor de servicios de pago conservará la documentación relativa al nacimiento, modificación y extinción de la relación jurídica que le une con cada usuario de servicios de pago al menos durante el periodo en que, a tenor de las normas sobre prescripción puedan resultarles conveniente para promover el ejercicio de sus derechos contractuales o sea posible que les llegue a ser exigido el cumplimiento de sus obligaciones contractuales. Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, así como en otras disposiciones nacionales o de la Unión Europea aplicables.
Artículo 45. Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas
1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto. 2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. 3. Podrán determinarse otras indemnizaciones económicas de conformidad con la normativa aplicable al contrato celebrado entre el ordenante y el proveedor de servicios de pago o el contrato celebrado entre el ordenante y el proveedor de servicios de iniciación de pagos, en su caso.
Artículo 46. Responsabilidad del ordenante en caso de operaciones de pago no autorizadas
1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que: b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades. En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora. 2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante. 3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído. 4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 42.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta.
Artículo 47. Operaciones de pago en las cuales el importe de la operación no se conoce con antelación
1. Si una operación de pago es iniciada por el beneficiario o a través del beneficiario en el contexto de una operación de pago basada en una tarjeta, cualquiera que sea el canal utilizado, y el importe exacto se desconoce en el momento en que el ordenante da su consentimiento para la ejecución de la operación de pago, el proveedor de servicios de pago del ordenante solo podrá bloquear fondos en la cuenta de pago del ordenante si este último ha consentido en la cantidad exacta de fondos que ha de bloquearse. 2. El proveedor de servicios de pago del ordenante liberará los fondos bloqueados en la cuenta de pago del ordenante con arreglo al apartado 1 sin demora una vez que haya recibido la información referente al importe exacto de la operación de pago y, como muy tarde, inmediatamente después de haber recibido la orden de pago.
Artículo 48. Devoluciones por operaciones de pago iniciadas por un beneficiario o a través del mismo
1. El ordenante tendrá derecho a obtener de su proveedor de servicios de pago, con fecha valor no posterior a la del adeudo, la devolución de la cantidad total correspondiente a las operaciones de pago autorizadas, iniciadas por un beneficiario o a través de él, que hayan sido ejecutadas siempre que se satisfagan las siguientes condiciones: b) que el importe supere el que el ordenante podía esperar razonablemente teniendo en cuenta las anteriores pautas de gasto, las condiciones del contrato marco y las circunstancias pertinentes al caso. 2. Sin perjuicio de lo dispuesto en el apartado 4 del presente artículo, además del derecho reconocido en el apartado 1, en relación con los adeudos domiciliados contemplados en el artículo 1 del Reglamento (UE) n.º 260/2012 del Parlamento Europeo y del Consejo, de 14 de marzo de 2012, por el que se establecen requisitos técnicos y empresariales para las transferencias y los adeudos domiciliados en euros, y se modifica el Reglamento (CE) n.º 924/2009, el ordenante tendrá un derecho incondicional de devolución dentro de los plazos establecidos en el artículo 49. 3. A efectos del apartado 1.b), anterior, el ordenante no podrá invocar motivos relacionados con el cambio de divisa cuando se hubiera aplicado el tipo de cambio de referencia acordado con su proveedor de servicios de pago. 4. En todo caso, el ordenante y el proveedor de servicios de pago podrán convenir en el contrato marco que aquél no tenga derecho de reembolso cuando: b) en su caso, el proveedor de servicios de pago o el beneficiario hayan proporcionado o puesto a disposición del ordenante, en la forma acordada, información relativa a la futura operación de pago al menos con cuatro semanas de antelación a la fecha prevista.
Artículo 49. Solicitudes de devolución por operaciones de pago iniciadas por un beneficiario o a través del mismo
1. El ordenante podrá solicitar la devolución a que se refiere el artículo 48 por una operación de pago autorizada iniciada por un beneficiario o a través del mismo, durante un plazo de ocho semanas contadas a partir de la fecha de adeudo de los fondos en su cuenta. 2. En el plazo de diez días hábiles desde la recepción de una solicitud de devolución, el proveedor de servicios de pago deberá devolver el importe íntegro de la operación de pago o bien comunicar al ordenante las razones objetivas que justifican su denegación de devolución, e indicar en este caso los procedimientos de reclamación, judiciales y extrajudiciales, a disposición del usuario, para el caso de que el ordenante no esté conforme con las razones ofrecidas. En el caso de adeudos domiciliados a los que se refiere el artículo 48.2, el proveedor de servicios de pago no podrá denegar la devolución, sin perjuicio de lo previsto en el artículo 48.4.