CAPÍTULO V · Riesgos operativos y de seguridad
Artículo 66. Gestión de riesgos operativos y de seguridad
1. Los proveedores de servicios de pago establecerán un marco, de conformidad con lo que disponga el Banco de España, con medidas paliativas y mecanismos de control adecuados para gestionar los riesgos operativos y de seguridad relacionados con los servicios de pago que prestan. Como parte de ese marco, los proveedores de servicios de pago establecerán y mantendrán procedimientos eficaces de gestión de incidentes, en particular para la detección y la clasificación de los incidentes operativos y de seguridad de carácter grave. 2. Los proveedores de servicios de pago proporcionarán al Banco de España, con la periodicidad y forma que éste determine, al menos una vez al año, una evaluación actualizada y completa de los riesgos operativos y de seguridad asociados a los servicios de pago que prestan y de la adecuación de las medidas paliativas y los mecanismos de control aplicados en respuesta a tales riesgos.
Artículo 67. Notificación de incidentes
1. Los proveedores de servicios de pago notificarán al Banco de España, de forma inmediata y en la forma que este determine, los incidentes operativos o de seguridad graves. Si el incidente de seguridad afectara o pudiera afectar a los intereses financieros de los usuarios de sus servicios de pago, el proveedor de servicios de pago les informará sin dilación indebida del incidente y de todas las medidas paliativas disponibles que pueden adoptar para mitigar las consecuencias adversas del incidente. 2. El Banco de España facilitará sin dilación indebida los detalles pertinentes del incidente a la Autoridad Bancaria Europea (ABE) y al Banco Central Europeo (BCE). El Banco de España, tras evaluar la importancia del incidente para otras autoridades nacionales, les informará según corresponda. El Banco de España colaborará con la ABE y el BCE en la valoración de la importancia que pueda tener el incidente para otras autoridades pertinentes de la Unión Europea y nacionales y les notificarán el incidente según corresponda. 3. Cuando el Banco de España sea notificado por otra autoridad competente en la forma señalada en el apartado anterior tomará, en su caso, las medidas necesarias para proteger la seguridad inmediata del sistema financiero. 4. Los proveedores de servicios de pago facilitarán al Banco de España, en la forma y con la periodicidad que este determine, al menos anualmente, datos estadísticos sobre fraude relacionado con diferentes medios de pago. Dicha información será facilitada por el Banco de España en forma agregada a la ABE y al BCE. 5. El Banco de España colaborará con el Instituto Nacional de Ciberseguridad con la finalidad de elevar la confianza digital. En particular, le trasladará los incidentes de seguridad más frecuentes y significativos comunicados por los proveedores de servicios de pago conforme a lo previsto en los apartados anteriores, con los criterios y la periodicidad que se acuerde entre ambas instituciones.
Artículo 68. Autenticación
1. Los proveedores de servicios de pago aplicarán la autenticación reforzada de clientes, en la forma, con el contenido y con las excepciones previstas en la correspondiente norma técnica aprobada por la Comisión Europea, cuando el ordenante: b) inicie una operación de pago electrónico; c) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos. 3. En los casos a los que se refiere el apartado 1, los proveedores de servicios de pago contarán con medidas de seguridad adecuadas para proteger la confidencialidad y la integridad de las credenciales de seguridad personalizadas de los usuarios de los servicios de pago. 4. Los apartados 2 y 3 se aplicarán asimismo cuando los pagos se inicien a través de un proveedor de servicios de iniciación de pagos. Los apartados 1 y 3 se aplicarán asimismo cuando la información se solicite a través de un proveedor de servicios de pago que preste servicios de información sobre cuentas. 5. El proveedor de servicios de pago gestor de cuenta permitirá al proveedor de servicios de iniciación de pagos y al proveedor de servicios de pago que preste servicios de información sobre cuentas utilizar los procedimientos de autenticación facilitados al usuario de servicios de pago por el proveedor de servicios de pago gestor de cuenta de conformidad con los apartados 1 y 3 y cuando intervenga el proveedor de servicios de iniciación de pagos, de conformidad con los apartados 1, 2 y 3. 6. No obstante, no será preciso aplicar la autenticación reforzada de clientes a la que se refiere el apartado 1 a los supuestos indicados en el artículo 98.1.b) de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015.