La banca abierta está arrasando en el mundo financiero. Impulsada principalmente por la normativa que obliga a las instituciones financieras a abrir sus valiosos datos a terceros regulados. La idea principal detrás de estos cambios es que la banca abierta traerá más competencia e innovación a los servicios financieros, lo que dará lugar a una gama de nuevos productos y servicios, y a una mejor experiencia para el cliente.
Aunque algunas instituciones financieras ya están en camino de implementar el cumplimiento de Open Banking, para otras puede haber todavía preguntas sin respuesta.En este post cubrimos las preguntas más frecuentes para Open Banking desde la perspectiva de la industria bancaria.
En este post cubrimos las preguntas más frecuentes (FAQ) sobre Open Banking desde la perspectiva del sector bancario:
Open Banking es una forma protegida de compartir la información financiera del cliente con terceros proveedores. Con el consentimiento del cliente, los bancos pueden compartir detalles de cuentas y transacciones con terceros a través de interfaces de programación de aplicaciones (API).
Las API abiertas permiten el intercambio de información entre el banco y el proveedor de software de terceros. Esto ayuda a los bancos a ofrecer productos y servicios a medida para adquirir y retener clientes.
Para que los proveedores de servicios de terceros estén plenamente autorizados a utilizar Open Banking APIS, deben estar registrados en una de las siguientes categorías o en ambas:
Un AISP autorizado, es un proveedor externo que solicita permiso al banco para conectarse a la cuenta bancaria de un cliente y utilizar esa información de la cuenta para prestar un servicio.
Un PISP autorizado solicita permiso al banco para conectarse a los AISP para iniciar los pagos en nombre del cliente, desde su cuenta bancaria.
La Directiva de Servicios de Pago es una normativa que permite a los clientes de los bancos, tanto a los consumidores como a las empresas, utilizar proveedores externos para gestionar sus datos financieros. La DSP (iniciada en 2007) sustituida por la DSP2 (Directiva de servicios de pago revisada) en 2015 es una Directiva de la Unión Europea para un nuevo marco legal de los servicios de pago en la Unión Europea (UE) y el Espacio Económico Europeo (EEE). La PSD2 ayuda a:
La Autoridad de la Competencia y los Mercados (CMA) es un departamento independiente del gobierno del Reino Unido. El objetivo de la CMA es generar competencia en el mercado y garantizar un negocio justo sin monopolios perjudiciales.
En agosto de 2016, la CMA anunció la iniciativa Open Banking e identificó a nueve grandes bancos del Reino Unido para que adoptaran las API de Open Banking antes de la fecha límite del 13 de enero de 2018. Estos bancos participantes se denominan CMA9. Los nueve bancos y sociedades de crédito hipotecario son:
Los principales componentes funcionales de la PSD2 giran en torno a la información sobre cuentas y transacciones, la iniciación de los pagos y la confirmación de los fondos para las tarjetas, que están cubiertos por Open Banking UK, el Grupo de Berlín y Stet. Además, Open Banking UK define las API en torno a las órdenes permanentes, los débitos directos, los pagos programados y de archivo, y los extractos.
Antes del 14 de de septiembre de 2019, los bancos necesitarán un marco de API compatible con la DSP2, tal como se define en el RTS de la Autoridad Bancaria Europea. Seis meses antes, el 14 de marzo de 2019, los bancos estaban obligados a divulgar las especificaciones técnicas y a proporcionar un servicio de apoyo y pruebas.
Las API abiertas exponen una serie de datos a terceros proveedores de soluciones de servicios financieros. Permiten a los desarrolladores de terceros crear aplicaciones y servicios en torno a la entidad financiera.
Estas API están diseñadas para apoyar la normativa de banca abierta . Mediante la adopción y el despliegue de las API, los bancos pueden ampliar y mejorar sus servicios y ofertas nativas. Los bancos pueden avanzar rápidamente en su agenda de transformación digital en el mundo de la banca abierta aprovechando las aplicaciones de terceros y los ecosistemas de servicios habilitados por las API.
No, las empresas de tecnología financiera deben registrarse y ser aprobadas por la autoridad nacional competente (ANC) de cada país en el que deseen operar como proveedor externo. Cuando un cliente desea compartir los datos de su cuenta en un banco con un TPP registrado, el banco debe comprobar con la ANC local que el TPP está registrado y el tipo de servicio (¿es solo acceso a la cuenta, solo iniciación de pagos o ambos?). Es vital que el banco compruebe que el TPP ha sido autorizado por el regulador local para ofrecer tales servicios en ese país antes de conceder el acceso a los datos de sus clientes.
Todas las instituciones financieras y los bancos que operan en la Unión Europea y ofrecen cuentas de pago, tarjetas de crédito, cuentas de dinero electrónico y tienen una oferta de banca digital están en el ámbito de la DSP2. Además, las cuentas de pago disponibles para los clientes únicamente a través de los canales bancarios digitales también están en el ámbito de aplicación.
PSD2: La Segunda Directiva de Servicios de Pago
NCA: Autoridad Nacional Competente (la FCA en el Reino Unido)
ASPSP: Account Servicing Payment Services Provider (para ex. Banco)
TPP: Proveedor de terceros
AISP: Proveedor de Servicios de Información de Cuentas
PISP: Proveedor de servicios de iniciación de pagos
RTS: Normas técnicas reglamentarias
Open Banking UK recomienda utilizar un proveedor de OpenID Connect (OIDC) certificado por la OpenID Foundation para garantizar que la seguridad de la API cumple con las normas de la PSD2, conocidas como la seguridad de la API de grado financiero (FAPI). Los bancos también pueden optar por implementar la autenticación de canal posterior iniciada por el cliente (CIBA). Los bancos también deben implementar la autenticación fuerte del cliente (SCA) para la banca online y móvil, tal y como exige la PSD2 para el acceso basado en la API. Durante este proceso, deben realizarse pruebas de penetración para comprobar y corregir cualquier vulnerabilidad de seguridad.
Las instituciones financieras deben implementar SCA (adhiriéndose a al menos dos factores) para el acceso de los clientes a su oferta de banca digital a través de sus canales web y móvil.
Debe incluir al menos dos de los tres elementos siguientes:
A partir del 14 de septiembre de 2019 los bancos están obligados a aplicar el SCA y los pagos que no cumplan estos criterios serán rechazados.
En octubre de 2018, el Tribunal de Justicia de la Unión Europea dictaminó que una cuenta de ahorro no debía considerarse una "cuenta de pago" si no permitía al titular de la cuenta realizar pagos a terceros o recibir pagos de terceros. Sin embargo, todavía hay otros tipos de cuentas que deben definirse.
La PSD2 exige a los bancos que proporcionen screen scraping en sus sitios de banca online a los proveedores de terceros (TPP) como solución provisional si no pueden proporcionar API fiables y de alto rendimiento. Si un banco tiene habilitada la autenticación multifactor en su oferta de banca digital, no requiere ningún esfuerzo adicional. Esto es así desde el 13 de enero de 2018 hasta el 14 de septiembre de 2019. A partir del 14 de septiembreth TPP debe utilizar APIs.
La DSP2 exige a los bancos y a las entidades financieras que apliquen mecanismos electrónicos de supervisión del fraude y de gestión del riesgo, especialmente en torno a los pagos. Los pagos iniciados por los TPP contarán con datos de riesgo que podrán ser utilizados por el motor de supervisión de riesgos de la entidad para evaluar el riesgo y procesar las transacciones con más comprobaciones, según proceda.
Open Banking UK ofrece herramientas para garantizar la certificación. Estas vienen en dos partes:
La conformidad con el perfil de seguridad OIDC puede lograrse ejecutando la suite de conformidad de Open Banking. Los resultados de las pruebas deben enviarse al Open Banking del Reino Unido para su certificación.
Puede consultar más detalles en .
La Banca Abierta del Reino Unido también ofrece herramientas para la validación de las API, incluidas las API de recursos; puede encontrar más detalles en .
La DSP2 exige que, al utilizar los TPP para acceder a las cuentas de los clientes e iniciar los pagos, el recorrido del cliente debe ser tan fluido como la transición entre la banca por Internet y la banca móvil. Esto significa que la autenticación basada en TPP debe utilizar los actuales mecanismos de autenticación de la banca digital para la gestión del acceso y el consentimiento.
En el Reino Unido, basándose en la investigación de los consumidores, la OBIE ha definido un conjunto claro de recorridos de los clientes para diversos escenarios. Los detalles se pueden encontrar en aquí.
La directiva reguladora de la banca abierta ha consistido en crear un entorno técnicamente seguro para que los bancos revelen los datos de sus clientes (con su consentimiento) a terceros regulados. Esto abrirá la puerta a nuevos actores para crear productos innovadores en todos los sectores que resuelvan las necesidades de los clientes.
Al mismo tiempo, los bancos tradicionales se enfrentan a la creciente presión de los bancos desafiantes digitalmente ágiles que a menudo tienen costes operativos mucho más bajos y ciclos de innovación mucho más cortos. Esto supone una oportunidad ideal para que los bancos se suban al carro de la innovación y se refuercen como líderes de los servicios financieros alineando sus estrategias digitales para mejorar la experiencia del cliente, el crecimiento de los ingresos y la eficiencia operativa.
El Reglamento General de Protección de Datos (RGPD) es una directiva de la UE y un entorno normativo que obliga a las instituciones a revelar el uso de los datos de los consumidores con fines comerciales con el consentimiento previo del consumidor y a proteger su privacidad.
La banca abierta es la directiva de la UE que obliga a los bancos a facilitar datos a terceros previo consentimiento del cliente. Según esta directiva, los clientes podrían poner sus datos bancarios a disposición de terceros para agilizar los pagos.
En el fondo, ambas normativas tratan de que los clientes tengan más control sobre sus datos ' de que los datos se utilicen para apoyar los intereses del cliente. El RGPD y la banca abierta han establecido las normas sobre cómo deben tratarse los datos financieros de los clientes.
Sí, los reguladores de varios países de todo el mundo están estudiando la posibilidad de introducir una nueva legislación con respecto a la banca abierta. En la actualidad, Australia está a la cabeza con la exigencia de que los cuatro grandes bancos cumplan con la normativa antes del 1 de febrero de 2020, y otros lo harán un año después. Otros países, como Canadá, México, Brasil, Japón y Estados Unidos, también han empezado a evaluar sus opciones al respecto.
Los bancos y las instituciones financieras se enfrentan al reto de innovar y transformarse digitalmente. La banca abierta se ha convertido en una importante fuente de innovación en el sector bancario. Define cómo se deben crear, compartir y acceder a los datos financieros, dando pleno poder al cliente, que es el propietario de los datos. Se anima a los bancos a aprovechar esta gran oportunidad para fortalecer las relaciones con sus clientes. Se espera que hagan que todas las experiencias bancarias sean intuitivas, fluidas y digitalmente atractivas para satisfacer mejor las necesidades de los clientes.
Suscríbase para estar al día de las últimas novedades del sector, incluidas las perspectivas de la industria y las capacidades de las soluciones innovadoras