¿La banca abierta es segura?

Si tienes en mente incluir el open banking o banca abierta dentro de tu app o tu página web, es lógico que busques saber si es tan segura como dicen.

Ya sea que quieras aprovecharlo para recibir pagos o acceder a los datos de tus clientes para ofrecer servicios más personalizados, el open banking brinda funciones de seguridad esenciales que protegen a los consumidores y a las empresas.

Pero para poder comprender qué tan segura resulta la banca abierta, primero necesitas entender cómo funciona.

¿Qué es la banca abierta y cómo fuciona?

La banca abierta surgió con la Segunda directiva de servicios de pago (PSD2). Mediante esta normativa, quienes se encargan de dictar las leyes en la UE accedieron a otorgar a los consumidores y a las empresas un mayor control sobre sus finanzas. ¿Cómo? Desbloqueando el acceso a sus cuentas de pago a través de proveedores externos (TPP).

El open banking permite a los consumidores acceder a sus datos financieros para utilizarlos a través de proveedores de confianza para verificar su identidad, acceder a aplicaciones de presupuesto inteligente o a servicios de agregación de cuentas, entre otras posibilidades.

La banca abierta también ha impulsado una nueva forma más segura de que las empresas reciban pagos en línea, que también resulta menos costosa que otros métodos tradicionales como las tarjetas.

Para el open banking, la seguridad ha sido la prioridad desde el día uno. Gracias a esto, las empresas y los consumidores que utilizan la banca abierta tienen acceso a funciones de seguridad significativas, sobre las que te contaremos a continuación.

¿Quién accede a los datos financieros de los clientes por medio de la banca abierta?

Solo empresas reguladas pueden conectarse a las cuentas bancarias de los clientes para leer los datos financieros o realizar un pago.

En España, es el Banco de España (BDE) quien regula la banca abierta, y también se encarga de regular todo el sistema bancario español. Las empresas que quieran conectarse con la cuentas de los clientes a través de la banca abierta deben contar con la autorización del BDE y con el consentimiento explícito del cliente. El proceso mediante el cual los clientes definen qué datos personales están dispuestos a compartir con una empresa mediante open banking se llama «consent management».

Existen dos tipos diferentes de acceso por banca abierta: 

• Proveedores de servicios de información de cuentas (AISP): solo tienen acceso de lectura, pueden extraer información financiera pero no realizar un pago. 

• Proveedores de servicios de iniciación de pago (PISP): pueden realizar un pago en nombre del cliente.

Las empresas que no estén autorizadas pueden incluir la banca abierta dentro de sus productos asociándose con un proveedor externo autorizado como TrueLayer.

Pero lo que debes tener en cuenta es que, por más que tu empresa cuente con la autorización regulatoria necesaria para utilizar open banking, solo puedes hacerlo si tu cliente te brinda su consentimiento explícito.

Esto también se relaciona con el Reglamento General de Datos Personales de la UE (GDPR): las entidades financieras deben atenerse al RGPD al procesar las operaciones de open banking.

De esta forma, los clientes controlan los siguientes puntos:

• La información que comparten

• El proveedor al que se la comparten

• El tiempo que comparten esa información a esos proveedores
  

Además, los clientes jamás necesitan compartir los datos de acceso en línea a sus cuentas de banco con un proveedor externo.

Con respecto a los pagos por banca abierta, los clientes deben brindar consentimiento explícito a un TPP cada vez que deseen realizar un pago, y cada pago debe contar con la autenticación reforzada del cliente.

¿Qué información pueden ver los terceros?

Los clientes son quienes determinan qué información pueden ver sus proveedores y si pueden o no recibir un pago. Pueden limitar los niveles de acceso en cualquier momento y también anular los permisos por completo si así lo desean.

Cuando se trata de servicios de información de cuentas (acceso de solo lectura), si un cliente lo autoriza, la información que una tercera parte podrá leer (solo para la cuenta de pago específica a la que el cliente ha brindado acceso) incluye:

• Cuenta de pago: titular de la cuenta, número de cuenta, IBAN

• Tarjeta de crédito: red de la tarjeta, últimos cuatro dígitos, nombre que figura en la tarjeta

• Operaciones: descripción, cantidad, categoría, nombre del comerciante 

• Saldos: actual, disponible

• Pagos frecuentes: pagos periódicos y domiciliación bancaria

La información exacta a la que accede un proveedor varía según el banco. Para más información sobre esto, consulta con tu proveedor de open banking.

El consentimiento del cliente solo dura 90 días hasta su caducidad. Pasados los 90 días, se solicita una autenticación reforzada.

Cuando un cliente autoriza un pago por banca abierta, eso no permite por sí mismo que el tercero tenga acceso a la información financiera. Para eso, el cliente también debe autorizar los servicios de información de cuentas.

¿Qué tan seguros están los datos del cliente al utilizar la banca abierta?

La respuesta corta es muy seguros. Los proveedores de open banking acceden a los datos de los clientes a través de una tecnología denominada interfaz de programación de aplicaciones en abierto (API, por sus siglas en inglés). Se trata de una tecnología con una eficacia comprobada que se utiliza en la economía digital en general, diseñada para brindar una conexión segura entre proveedores externos (TPP) y cuentas de clientes.

A diferencia de los métodos tradicionales como el screen scraping (raspado de pantalla), los consumidores no necesitan compartir ninguna credencial con la banca abierta en ningún momento. Solo brindan acceso a sus cuentas mediante la autenticación directamente desde su banco a través de API seguras.

La banca abierta garantiza lo siguiente:

• Control de datos: la tecnología del open banking permite un control de acceso sencillo tanto para el usuario como para los titulares de los datos, de acuerdo con los requisitos y las expectativas de privacidad de los datos.

• Seguridad en el acceso y la transmisión de los datos: la banca abierta y las API son tecnologías seguras y eficaces.

• Minimización de datos: la banca abierta permite al usuario tener el control de sus datos. Los usuarios pueden elegir cuántos datos compartir.

En conformidad con la PSD2, los proveedores de open banking son responsables de cumplir con todas las normativas de privacidad y protección de datos donde sea que ofrezcan sus servicios. Deben cumplir con las normativas de seguridad pertinentes, y los organismos regionales realizan auditorías y controles con frecuencia.

¿Pueden los clientes optar por no utilizar la banca abierta?

Los clientes pueden limitar los niveles de acceso en cualquier momento e incluso anular los permisos por completo.

En el caso de los servicios de información de cuentas, el consentimiento del cliente dura 90 días hasta su caducidad. En España, pasados los 90 días, se solicita una autenticación reforzada.

Cuando un cliente aprueba un pago por banca abierta, ese consentimiento solo es válido para ese pago.

Actualmente en España, la banca abierta solo ofrece pagos recurrentes fijos. Sin embargo, existen ya en Reino Unido los pagos recurrentes variables (VRP), que permiten al cliente aprobar pagos futuros si se realizan en condiciones específicas. Esto significa que en un futuro, dichos pagos VRP por banca abierta, también estarán disponibles en España.

¿Qué tan seguros son los pagos por banca abierta?

Los pagos por banca abierta cuentan con cuatro características que los vuelve intrínsecamente seguros:

• Cada pago utiliza una autenticación reforzada de clientes (SCA)

  Cuando un cliente realiza un pago por banca abierta, siempre se le redirige a la app de su banco para una autenticación más fuerte, usualmente con datos biométricos. Esto significa que su banco comprueba su identidad con la confirmación de una combinación de factores: de posesión, de inherencia y/o de conocimiento.

• No se comparten datos confidenciales

  A diferencia de lo que ocurre con los pagos con tarjeta, al efectuar un pago por banca abierta no se comparten datos confidenciales con el comerciante: no existe nada que pueda interceptarse, robarse o filtrarse que pueda derivar en pagos no autorizados.
  Por el contrario, los proveedores de banca abierta establecen una comunicación interna segura con el banco del cliente para enviar las instrucciones de pago e iniciar el pago.

• Las instrucciones de pago se completan de forma automática

  Cada vez que un cliente decida pagar a una empresa a través de la banca abierta, no tendrá que introducir los datos del beneficiario. Por el contrario, el proveedor de open banking es quien se encarga de completar los datos y de controlar a dónde va el dinero. De este modo, se evitan los errores humanos y el riesgo de estafas.

• Los proveedores de banca abierta se ocupan de la diligencia debida con los comerciantes
  
  Cuando un proveedor de banca abierta habilita los pagos para un comerciante u otra empresa, establece un contrato comercial con esa empresa y lleva a cabo la diligencia debida sobre la empresa en cuestión. Esto disminuye el riesgo de que comerciantes malintencionados utilicen la banca abierta para cometer fraudes.
  Los pagos de banca abierta también se gestionan de forma que se garantice que el proveedor mantiene una relación con el consumidor y tiene obligaciones para con él, como responder a cualquier reclamo o problema de pago que pueda surgir.

¿La banca abierta brinda algún otro tipo de protección a los consumidores?

El diseño de los pagos de banca abierta es seguro, pero ninguna compra en línea está exenta de riesgos al 100 %. En caso de que algo vaya mal con un pago, ¿los clientes estarán protegidos?

La respuesta corta es sí. Estas son algunas de las medidas de protección que se aplican:

• El Reglamento de Servicios de Pago del Reino Unido ofrece una gran protección legal a los clientes que utilizan los pagos de banca abierta; por ejemplo, si se retira dinero sin previa autorización o si el pago no llega al destinatario al que el proveedor solicitó efectuar el pago.

• En caso de que un cliente se muestre disconforme con la gestión de su pago, los proveedores de banca abierta deberán contar con mecanismos de reclamos. Además, si el cliente se siente disconforme con la gestión del reclamo, tiene derecho a elevar el caso al Defensor del Pueblo, que puede otorgarle una indemnización.

• Cuando algo no va del todo bien con una compra, existe lo que se conoce como «Protección del comprador»; es decir, los clientes cuentan con mecanismos legales de protección según la Ley de Defensa del Consumidor de 2015.

Si tienes una empresa, también contarás con protección contra el fraude por devolución de cargos. Se calcula que hasta el 86% de las devoluciones de cargos pueden resultar fraudulentas, ya sean intencionales o no. A diferencia de los pagos con tarjeta, no existe un mecanismo de «devolución de cargos» para los pagos de banca abierta, ya que no sufren las mismas vulnerabilidades que las tarjetas. Al no haber devoluciones de cargos, no puede haber fraude por devoluciones.

Gracias a la estructura sólida y a las características de seguridad establecidas que la caracterizan, la banca abierta constituye una de las formas más seguras de pagar y compartir datos financieros. Además, cuenta con muchas otras ventajas para comerciantes y consumidores.