¿Quién gana la batalla con la nueva directiva PSD2?

  La UE regula y abre la competencia entre Banca y FinTech con la Directiva PSD2: La banca deberá aportar APIS de calidad para permitir a las FinTech acceder a datos de terceros y las Fintech presentar un certificado adecuado para la obtención de la información de clientes La Asociación Española de Fintech e Insurtech…

14 de diciembre de 2017 porRedacción AEFI

 

  • La UE regula y abre la competencia entre Banca y FinTech con la Directiva PSD2: La banca deberá aportar APIS de calidad para permitir a las FinTech acceder a datos de terceros y las Fintech presentar un certificado adecuado para la obtención de la información de clientes
  • La Asociación Española de Fintech e Insurtech defiende su postura frente a la nueva directiva de servicios de pago

Las normas técnicas de regulación de Comunicación Segura y Autenticación Segura de Usuarios (conocidas como SCA RTS) bajo PSD2 que han sido publicadas recientemente “han sido de las más polémicas de toda la historia de la UE, en el sentido de su complejidad y que más trabajo ha costado sacar adelante por parte de la Comisión Europea para contentar a todas las partes”, señala Arturo González, responsable de la vertical de Infraestructuras Financieras de la Asociación Española de Fintech e Insurtech (AEFI) y representante de la European FinTech Alliance ante la Comisión Europea.

La normativa PSD2 busca regular la Información de Cuentas e Iniciación de Pagos prestados en Europa por terceras partes de forma independiente a los bancos tradicionales. El objetivo de PSD2 es fomentar la competencia y la transparencia en servicios financieros y aumentar las garantías y la seguridad de los consumidores manteniendo los principios de neutralidad tecnológica y de modelos de negocio y garantizando unas reglas del juego equilibradas entre bancos y terceras partes.

La nueva directiva comunitaria de servicios de pago especifica literalmente que se prohíbe el screen scraping o acceso a la cuenta de un usuario a través de sus credenciales personales, cedidas voluntariamente, sólo si el tercero no se ha identificado previamente ante el banco con un certificado cualificado.

En la normativa solo se ha redefinido que si un tercero tiene “Acceso directo autenticado o identificado” puede obtener los datos del cliente desde la banca electrónica en determinadas circunstancias. En primer lugar, si el banco no ha publicado un API, y en segundo lugar si el API no funciona adecuadamente. Esto último es lo que se ha dado en conocer como “fallback option” u opción de respaldo. “No se trata de un problema tecnológico, sino de un problema de implementar los incentivos adecuados. Podría darse el caso de que las APIS de un banco no funcionen bien por dos motivos: falta de experiencia, foco, presupuesto, etc. o porque algunos bancos deliberadamente quieran impedir que terceros accedan a datos de los clientes con la calidad necesaria. Ante ello, la única garantía para que la información sea totalmente accesible cuando no hay un API de calidad es mediante el “fallback mechanism” o mecanismo de respaldo. Este mecanismo de respaldo además incentiva que las APIs funcionen adecuadamente.

“El screen scraping es un concepto que se ha demonizado por el desconocimiento de cómo los terceros accedían a los datos de los clientes”, señalan desde la Asociación Española de Fintech e Insurtech. “El screen scraping como tal se ha prohibido SÓLO si el tercero no se ha identificado previamente ante el banco con un certificado cualificado o si una entidad bancaria opera con una API y esta funciona correctamente”.

“Estamos en la primera situación en la historia en la que una industria se tiene que abrir a un competidor para compartir los datos de sus clientes, razón por la que el pulso de las Fintech frente a la banca ha sido difícil”, matiza González. Asimismo, destaca que “no es cierto que la UE haya limitado el acceso a los datos de clientes de la banca ni que Bruselas prohíba que a partir de 2019 se pueda acceder a datos de las cuentas bancarias. Lo que ha determinado la CE es que la banca de acceso a terceros a través de plataformas abiertas o APIS de calidad y en caso contrario, los terceros tengan otros mecanismos de acceso”.

La fecha clave de entrada en vigor de PSD2 es el 13 de enero de 2018, no obstante el periodo de transición es de 18 meses, lo que supone que hasta mediados de 2019 hay plazo para adaptarse a la reglamentación de las especificaciones técnicas, después de su aprobación por parte del Parlamento Europeo, lo que debe suceder dentro de los tres meses siguientes a la publicación de la norma.

Desde la AEFI se sienten satisfechos con la normativa en tanto en cuanto da vía libre al acceso de datos mejorando los servicios de pago a los consumidores al tiempo que dan garantía a su seguridad; postura que defendió Valdis Dombrovskis, vicepresidente de la Comisión Europea.

Algunos de los argumentos que desde la AEFI siempre se han defendido son:

1.La mejor forma de acceso es mediante buenas APIs proporcionadas por los bancos

 La AEFI, al igual que el sector bancario, considera que el mejor método para acceder a las cuentas bancarias es a través de APIs (interfaz de programación de aplicaciones) desarrolladas por los propios bancos, pues es un sistema más rápido, seguro y eficaz. Sin embargo, hoy en día, apenas se encuentran APIs disponibles que permitan a los consumidores acceder a sus cuentas bancarias, motivo por el que la Asociación respalda la preservación del screen scraping como método alternativo si no hay garantías de calidad de las APIs de los bancos.

 2.Acceso directo a las cuentas bancarias a través del screen scraping

 El acceso directo a través de screen-scrapping ha demostrado ser una tecnología robusta y segura durante más de 15 años sin un solo incidente conocido. Este método supone una alternativa eficiente y fiable para la autenticación de clientes.

En caso de que las APIs fallen, debe ser posible que los usuarios accedan a sus cuentas bancarias igualmente. Hasta el momento, la única alternativa planteada es el acceso directo (banca electrónica) mediante screen scraping. Esta opción es considerada una herramienta complementaria.

Nota al editor

Las FinTech y las InsurTech son compañías que, a través de la tecnología, están innovando digitalmente en el sector financiero y de seguros. Hoy ya se han consolidado como una oportunidad de transformación para estos sectores. Por este motivo, nació la Asociación Española Fintech e Insurtech (AEFI), en febrero de 2016, con el objetivo de crear un entorno favorable para el desarrollo de Startups y empresas FinTech e InsurTech en España, realizando labores de interlocución, comunicación y colaboración con los organismos y agentes relevantes del sistema para fortalecer su crecimiento, regulación y su ecosistema.

La Asociación se divide internamente en 12 verticales en función de los servicios que ofertan sus miembros: asesoramiento y gestión patrimonial, finanzas personales, financiación alternativa, crowdfunding y crowdlending sobre activos o bienes tangibles, servicios transaccionales y divisas, medios de pago, infraestructura financiera, criptocurrencies y blockchain, InsurTech, identificación y onboarding online de clientes, Big Data y los nuevos Neobanks y Challenger bank.

Uno de los pilares de esta Asociación es su carácter: abierto y colaborativo. A día de hoy, cuenta con más de 100 asociados que tienen como ADN la innovación, el apoyo del Instituto de Estudios Bursátiles como partner académico. A nivel nacional, la Asociación cuenta con alianzas con aceleradoras como Blockchain Space y Bankia Fintech by Innsomnia y con Cecabank, en el plano internacional, con The Singapore FinTech Consortium; World FinTech Forum; The South Summit; The Forex Day; Embajada británica; MoneyConf; Alianza FinTech Iberoamérica; Swiss Fintech Association; The Global Fintech Hub Federation; AFIP Portugal Association Fintech and Insurtech y Eurocrowd.

Para más información:

Cristina Murgas – Directora de Comunicación Área Financiera   cmurgas@quum.com  Telf. 638 57 29 61