La nueva directiva europea de
servicios de pago que entrará en vigor en 2018, EU 2366/2015, PSD2, reconoce en
el considerando 28 de su introducción lo siguiente :
“En los últimos años, con los avances tecnológicos ha
surgido también una serie de servicios complementarios, tales como los de
información sobre cuentas. Estos servicios proporcionan al usuario del servicio
de pago información agregada en línea sobre una o varias cuentas de pago
mantenidas en otro u otros proveedores de servicios de pago, a la que se accede
mediante interfaces en línea del proveedor del servicio de pago gestor de
cuenta, lo que permite al usuario del servicio de pago tener en todo momento
una visión global e inmediata de su situación financiera. Tales servicios deben
quedar incluidos también en el ámbito de aplicación de la presente Directiva,
con el fin de proporcionar a los consumidores una protección adecuada de sus
pagos y de los datos de sus cuentas, así como seguridad jurídica en cuanto a la
situación de los proveedores de información sobre cuentas”
Este reconocimiento es de facto
la bienvenida, al mundo estrechamente regulado y supervisado de los servicios financieros europeos, a un
grupo de plataformas tecnológicas que ofrecen un punto único de acceso,
agregación y gestión de la información de saldos y movimientos de cuentas bancarias (y no bancarias) y que son conocidas como “Agregadores Fintech”. Estarán felices los directivos de
estas plataformas con esta acogida? Yo
creo que es para que todos los interesados en estos servicios lo estemos.
“servicio de información sobre cuentas»: servicio en línea cuya
finalidad consiste en facilitar información agregada sobre una o varias cuentas
de pago de las que es titular el usuario del servicio de pago bien en otro
proveedor de servicios de pago, bien en varios proveedores de servicios de pago”
También establece las
obligaciones y derechos de los intervinientes en estos servicios, garantizando
a las plataformas de agregación su derecho a prestar el servicio sin
discriminaciones de otros proveedores de
servicios financieros (bancos) y al acceso en línea a la información de sus
clientes, que no es poca garantía cuando la información está detrás de las
puertas de un banco.
“Artículo 67 Normas de acceso a la
información sobre cuentas de pago y uso de dicha información en caso de
servicios de información sobre cuentas
1. Los Estados miembros velarán por que el usuario de
servicios de pago tenga derecho a recurrir a servicios que permitan acceder a
la información sobre cuentas, tal como se contempla en el punto 8 del anexo I.
Tal derecho no se aplicará si no se puede acceder en línea a la correspondiente
cuenta de pago.
2. El proveedor de servicios de información sobre
cuentas:
a) prestará sus servicios exclusivamente sobre la base
del consentimiento explícito del usuario del servicio de pago;
b) garantizará que las credenciales de seguridad
personalizadas del usuario de servicios de pago no sean accesibles a terceros,
con excepción del usuario y del emisor de las credenciales de seguridad
personalizadas, y que, cuando las transmita el proveedor de servicios de
información sobre cuentas, la transmisión se realice a través de canales
seguros y eficientes;
c) en cada comunicación, se identificará ante el
proveedor o proveedores de servicios de pago gestores de cuenta del usuario de
servicios de pago y se comunicará de manera segura con el proveedor o
proveedores de servicios de pago gestores de cuenta y el usuario del servicio
de pago, de conformidad con el artículo 98, apartado 1, letra d);
d) accederá únicamente a la información de las cuentas
de pago designadas y las operaciones de pago correspondientes;
e) no solicitará datos de pago sensibles vinculados a
las cuentas de pago;
f) no utilizará, almacenará o accederá a ningún dato,
para fines distintos de la prestación del servicio de información sobre cuentas
expresamente solicitado por el usuario del servicio de pago, de conformidad con
las normas sobre protección de datos.
3. En lo que se refiere a las cuentas de pago, el proveedor
de servicios de pago gestor de cuenta:
a) establecerá una comunicación segura con los
proveedores de servicios de información sobre cuentas, de conformidad con el
artículo 98, apartado 1, letra d), y
b) tratará las peticiones de datos transmitidas a
través de los servicios de un proveedor de servicios de información sobre
cuentas sin discriminación alguna, salvo por causas objetivas.
4. La prestación de servicios de información sobre
cuentas no se supeditará a la existencia de una relación contractual a tal fin
entre los proveedores de servicios de información sobre cuentas y los
proveedores de servicios de pago gestores de cuentas.ES 23.12.2015
Diario Oficial de la Unión Europea L 337/93”
Sin embargo hay que poner atención a que en adelante ,
además del reconocimiento de la existencia regulada de estas plataformas de agregación
de información bancaria y la garantía de su derecho al acceso a la información de
sus clientes, también se estipula el punto 2.c de este artículo 67, por el que
vendrán obligadas a dos nuevas exigencias a las que no están acostumbradas, ni
preparadas:
Primero se deberán identificar
como proveedores de servicios de agregación
en cada comunicación y acceso a la información con el gestor (banco) de las
cuestas bancarias de sus clientes. Hasta ahora estas plataformas accedían a la
información mediante el uso de los servicios de banca en línea de los bancos,
como si sus propios clientes estuvieran operando, lo que no permitía distinguir
a aquellos de forma directa si el acceso a su servicio digital se trataba de uno
de sus clientes sentado en su terminal o una de las plataformas de agregación.
Segundo la comunicación y acceso
a la información se hará mediante nuevas tecnologías seguras de comunicación a
normalizar por la Autoridad Bancaria Europea. Hasta ahora estas plataformas
obtienen la información en cualquier momento a través de las pantallas de los
servicios en línea de los bancos para sus clientes, mediante las técnicas
llamadas de “Screen Scraping” . Estas técnicas
ya no estarán permitidas bajo la regulación PSD2 y el acceso se hará por
interfaces dedicados que desarrollarán los bancos (o por los interfaces con los
que estos prestan servicio a sus propios clientes, pero creo serán los menos).
Puede que estas dos nuevas exigencias
no hayan hecho tan felices a los
directivos de la plataformas de agregación de información de cuentas bancarias,
ya que apuntan a la necesidad un importante esfuerzo financiero y técnico para la adaptación necesaria a los múltiples
interfaces (sin estandarización técnica a lo largo de la industria) que cada
banco va a desarrollar, y a grandes interrogantes sobre la competencia leal que
los bancos harán (o peor, no harán) en la complejidad del diseño, conexión y
pruebas iniciales, alta disponibilidad/rendimiento, y
modificaciones recurrentes de estos interfaces.
El desarrollo de la norma técnica
de regulación (RTS) que la Autoridad Bancaria Europea ha publicado y remitido a
la Comisión Europea el pasado 27 de Febrero, en su versión definitiva tras la
consulta pública y la consideración de las respuestas (la consulta pública que más
respuestas ha tenido hasta el momento, incluso desde el Comité de Asuntos
Económicos del Parlamento Europeo), da alguna
certidumbre y garantía legal sobre esas preocupaciones en su capítulo 5,
sección 2, artículos 27, 28, 29 ,30 y 31, sobre las exigencias específicas para
los interfaces de comunicación.
- Establece que los bancos que dan el servicio y mantenimiento a las cuentas de pagos vendrán obligadas a mantener al menos un interfaz de comunicación en línea y de acceso seguro a la información de estas cuentas, que podrá ser uno específico para atender a las empresas de servicios de pago y plataformas de agregación de información, o podrá ser el mismo interfaz que el banco usa para dar servicio directo a sus clientes.
- Los interfaces seguirán estándares tecnológicos de comunicación de organismos internacionales o europeos, aunque no se especifica ninguno para mantener neutralidad técnica. Sí se establece que las definiciones de los mensajes funcionales financieros que se intercambien en las comunicaciones en la interfaz se apoyen en el estándar ISO 20022.
- Los banco deberán documentar las especificaciones de procesos y protocolos de los interfaces y poner esta documentación sin cargo alguno a disposición de las plataformas de agregación con registro y autorización (según la regulación), para permitir que su software pueda funcionar. También deberán facilitar medios y datos para la realización de pruebas técnicas y funcionales así como el soporte técnico necesario.
- Los bancos deberán informar y facilitar la documentación sobre los cambios en las especificaciones de sus interfaces con al menos 3 meses de antelación.
- Los bancos vendrán obligados a monitorizar, asegurar y demostrar que el nivel de disponibilidad , rendimiento y medidas de contingencia en fallos de los interfaces específicos para facilitar la información de las cuentas a las plataformas de agregación, será el mismo que para los interfaces de acceso directo de sus clientes.
- Los interfaces permitirán a las plataformas de agregación de información confiar y hacer uso de los procedimientos de autenticación de los bancos para sus clientes, estableciendo una sesión de comunicación durante el proceso de autenticación y manteniendo la confidencialidad e integridad de los credenciales y códigos de seguridad personal de los clientes.
- Las plataformas de agregación de información deberán asegurar que los credenciales y códigos de seguridad de sus cliente no podrán ser leídos por ninguna persona de sus equipos, y deberán informar si se produce alguna brecha en esta seguridad.
- Los interfaces dispondrán de métodos estandarizados de encriptación de la información confidencial y de métodos para mantener sesiones de comunicación paralela únicamente identificadas, de modo que se pueda impedir un encaminamiento erróneo de mensajes entre sesiones de comunicación distintas incluso del mismo cliente.
- Los bancos deberán facilitar a través de los interfaces específicos a las plataformas de agregación, la misma información sobre las cuentas designadas que la que sus clientes podrían accedes a través de sus servicios e interfaces directos, y deberán tener en práctica mecanismos efectivos para asegurar que no se facilitará otra información distinta a la específicamente autorizada por sus clientes.
- Los bancos deberán permitir a las plataformas de agregación de información, el acceso a través de sus interfaces a la información de cuentas en cualquier momento que un cliente esté solicitando esa información de forma activa, y como mínimo hasta 4 veces en 24 horas cuando el cliente no la solicita de forma activa.
Según ha comunicado, la EBA ha estipulado estos requisitos para los
interfaces de comunicación, como
principios generales de alto nivel que den suficiente garantía, base y guía al desarrollo de las comunicaciones seguras
entre los bancos y las plataformas de agregación de información, pero no ha
realizado una especificación de detalle de los interfaces, con el objetivo de
que la regulación no influya en aspectos tecnológico o de innovación, a pesar
de que puedan proliferar entre los bancos múltiples interfaces de servicio propietarios
y no estandarizados (esto último no lo ha dicho la EBA pero es más que
probable).