Claves para entender la nueva normativa PSD2: falta comunicación y divulgación

Imagen: Forty Seven Bank

Enero de 2018 marcará un antes y un después en la banca comercial con la entrada en vigor de PSD2 (acrónimo inglés de Segunda Directiva de Medios de Pago).  Esta directiva tiene por objetivo regular la Información de Cuentas e Iniciación de Pagos prestados en Europa desde hace más de una década por Terceras Partes Independientes de bancos tradicionales. Se busca  fomentar la competencia y transparencia en servicios financieros y aumentar garantías y la seguridad de los consumidores y con los principios de ser neutral tecnológicamente y respecto de modelos de negocio y garantizar unas reglas del juego equilibradas entre bancos y terceras partes independientes.

Arturo González, responsable de Infraestructura Financiera de la Asociación Española de FinTech e InsurTech, ofrece las claves de la legislación que viene:

• COMUNICACION Y DIVULGACION. Desde la AEFI se considera que  los usuarios en España aún no están lo suficientemente informados de los cambios que supondrá PSD2, se requiere un esfuerzo de divulgación.
• EL CONSUMIDOR GANA. Aunque todavía falta alguna pieza de reglamentación importante que publicar, por lo que conocemos de ella, el resultado será positivo para el consumidor. Será positivo porque fomentará la aparición y el fortalecimiento de terceros independientes que ayudarán a este a tomar mejores decisiones sobre su dinero. En definitiva, traerá una mayor transparencia y competitividad al sector financiero.
• MAYOR ACCESO A LA INFORMACION. Es precisamente esa pieza de reglamentación que falta la que determinará como se haga. En principio las empresas Fintech podrán acceder de manera automatizada a esa información en nombre del consumidor, siempre que tengan su consentimiento expreso. Una vez que tengan la información, lo que puedan hacer con ella también requerirá el consentimiento expreso del consumidor, pero ya dentro del ámbito de The General Data Protection Regulation (GDPR), que es la reglamentación que sustituirá a la antigua Directiva de Protección de Datos que inspira la LOPD actual a partir de Mayo.
• DEMANDA CRECIENTE.  La experiencia dice que los grandes cambios tienden a sobrevalorarse en el corto plazo y a infravalorarse en el largo plazo. PSD2 probablemente sea uno de ellos. Es mi opinión es improbable que dentro de un año el escenario haya cambiado significativamente, pero seguramente dentro de cinco no tendrá ningún parecido con la situación actual.

Hasta ahora, la Asociación Española de FinTech e InsurTech ha manifestado su preocupación por la posición de la EBA (Autoridad Bancaria Europea) y el último comunicado de la Alianza FIDO en el que presionan para prohibir el uso del acceso directo a la banca electrónica (screen scraping) como método de acceso a las cuentas bancarias. Algunos reglamentos de la nueva Directiva de Servicios de Pago (PSD2), que entrará en vigor en el 2018, está siendo sometida a un gran debate. En particular el relativo a las comunicaciones seguras y autenticación segura de usuarios.

Dentro de los aspectos para entender la discusión en torno a la directiva están:

1. La mejor forma de acceso es mediante buenas APIs proporcionadas por los bancos

 La AEFI, al igual que el sector bancario, considera que el mejor método para acceder a las cuentas bancarias es a través de APIs (interfaz de programación de aplicaciones) desarrolladas por los propios bancos, pues es un sistema más rápido, seguro y eficaz. Sin embargo, hoy en día, apenas se encuentran APIs disponibles que permitan a los consumidores acceder a sus cuentas bancarias, motivo por el que la Asociación respalda la preservación del screen scraping como método alternativo.

2. Acceso directo a las cuentas bancarias a través del screen scraping

El acceso directo a través de screen-scrapping ha demostrado ser una tecnología robusta y segura durante más de 15 años sin un solo incidente conocido. Este método supone una alternativa eficiente y fiable para la autenticación de clientes, razón por la cual resulta incomprensible que la EBA presione para su prohibición.

“Una mala reglamentación puede dar al traste con una buena directiva, como es PSD2. Ello podría frenar gran parte del desarrollo Fintech en Europa, siendo el consumidor final el gran perjudicado, al perder capacidad de elección. El último borrador donde ha trabajado la Asociación, junto con otras organizaciones FinTech en Europa, promueve la preservación del screen scrapping, al menos como método de respaldo. Ello supondrá un impulso para la creación de servicios financieros más eficientes y competitivos” explica González.

3. Una alternativa a las APIs

 En caso de que las APIs fallen, debe ser posible que los usuarios accedan a sus cuentas bancarias igualmente. Hasta el momento, la única alternativa planteada es el acceso directo (banca electrónica) mediante screen scrapping.

El principal riesgo es que las entidades financieras tengan un control total y absoluto sobre la información que proporcionan a terceras partes. “La propuesta de la EBA dice que si una entidad financiera toma la decisión de publicar un API, entonces queda prohibido el acceso de las terceras partes a través del screen scraping y la razón que argumenta la EBA es que el screen scrapping no es seguro, entonces, ¿por qué la entidad financiera sigue teniendo esa opción?” plantea González.