¿Qué es una API de banca abierta?
Una API es una interfaz de programación de aplicaciones en abierto; una tecnología que conecta distintos sistemas de tecnología de la información para que puedan intercambiar datos. Un sistema puede «llamar» a otro sistema, o pedirle datos, a través de una API y recibir esos datos en un formato estándar.
Las API de open banking o banca abierta se usan para conectar a los proveedores externos con los bancos de forma segura y uniforme. Los bancos brindan sus propias API a los proveedores externos para que estos puedan usarlas. En España, este proceso debe ajustarse a las normas establecidas por el Banco de España (BDE).
Los proveedores de banca abierta como TrueLayer agrupan las API de los bancos y ofrecen a las empresas una conexión API única.
¿Qué son los AISP?
Un Proveedor de servicios de información de cuentas (AISP) es una empresa que cuenta con el permiso reglamentario del Banco de España para acceder a la API de un banco con el fin de obtener datos de las operaciones de la cuenta. Este acceso es de solo lectura: el AISP no puede realizar ningún pago ni otras acciones desde la cuenta. Por lo general, los AISP obtienen datos financieros a través de las API de banca abierta para brindar a sus clientes servicios como descripciones generales de gastos, asesoramiento presupuestario y consejos para ahorrar dinero.
¿Qué son los PISP?
Un Proveedor de servicios de iniciación de pago (PISP) puede iniciar pagos desde la cuenta de un cliente con el consentimiento explícito del cliente. Los PISP son empresas reguladas por el Banco de España (BDE) que pueden iniciar pagos desde las cuentas bancarias de sus clientes. Estos pagos pueden realizarse para pagar a otra persona, para mover dinero a otra cuenta bancaria o para pagar por un producto o un servicio de manera online.
¿Qué son los ASPSP?
Un Proveedor de servicios de pago gestor de cuenta (ASPSP), por ejemplo un banco, ofrece a sus clientes cuentas de pago y las mantiene. De acuerdo con la Segunda directiva de servicios de pagos (PSD2), todos los ASPSP deben permitir a los proveedores externos el acceso a los datos de las cuentas y la iniciación de pagos cuando cuenten con el consentimiento del cliente para hacerlo.
¿Puedo utilizar las API de banca abierta?
Solo las organizaciones autorizadas pueden utilizar las API de banca abierta. En España, el Banco de España regula a todos los proveedores de open banking, incluidos los AISP, PISP y ASPSP. Otros países y regiones tienen sus propias entidades reguladoras. Para saber más sobre cómo cumplir con las normativas para utilizar u ofrecer servicios de banca abierta, echa un vistazo a nuestra guía especializada.
¿Qué es un certificado eIDAS y cómo puedo obtener uno?
En virtud de un reglamento de la Unión Europea de 2016, las firmas electrónicas pueden tener el mismo grado de validez legal que una firma manuscrita. Sin embargo, para que así sea, las firmas electrónicas deben cumplir con el reglamento eIDAS, que en español significa «servicios de identificación electrónica, autenticación y confianza».
En la banca abierta europea, los certificados eIDAS permiten a los ASPSP (por ejemplo, un banco) identificar y autorizar las conexiones API de proveedores externos como los PISP y los AISP. Este es un elemento fundamental para evitar el acceso fraudulento a las cuentas bancarias.
Proveedores de API de banca abierta y sus especificaciones
No existe una única API «oficial». En cambio, los bancos y proveedores de servicios técnicos brindan sus propias API, que deben cumplir con los requisitos establecidos por las regulaciones de banca abierta.
¿Qué es la especificación de lectura y escritura de las API?
La especificación de lectura y escritura de las API es la principal especificación de las API que dicta cómo los proveedores externos deben conectarse a los bancos. Permite a los proveedores externos (TPP) obtener acceso a las cuentas bancarias para la lectura (como la obtención del saldo de la cuenta y la información sobre las transacciones) y para la escritura (para realizar pagos autorizados).
¿Qué es la especificación OpenAPI?
La especificación OpenAPI, también conocida como especificación de datos abiertos de las API o especificación de API abierta, dicta el modo en que los bancos crean puntos finales de acceso para los TPP. Especifica las formas en que los TPP deben poder utilizar la API de lectura/escritura de un banco.
¿Qué es el registro dinámico de clientes?
El registro dinámico de clientes es un proceso mediante el que los bancos pueden automatizar la inscripción de nuevos proveedores externos sin tener que autenticar a cada uno de forma manual.
¿Cómo es el rendimiento, el tiempo de actividad y la fiabilidad de las API de banca abierta?
La banca abierta depende, en gran medida, del rendimiento, el tiempo de actividad y la fiabilidad de las API. El rendimiento puede variar según el banco.
Banca abierta vs screen scraping (o «raspado de pantalla»): ¿en qué se diferencian?
El screen scraping (también conocido como «raspado de pantalla» o «uso compartido de credenciales») es un antiguo método para acceder a la cuenta bancaria de un cliente y recuperar los datos de las operaciones. El screen scraping funciona de la siguiente manera:
El cliente comparte sus datos de acceso con un proveedor externo (TPP).
El TPP utiliza estos datos para acceder a la cuenta bancaria del cliente.
Luego, el TPP copia o «raspa» los datos bancarios del cliente para utilizarlos fuera de la aplicación bancaria del cliente.
Antes de que existiese la banca abierta, el screen scraping era la única forma en que las aplicaciones podían acceder a las cuentas bancarias de los clientes. Los sistemas de programas informáticos de contabilidad lo utilizan con mucha frecuencia. Sin embargo, al no utilizar las credenciales del cliente, la banca abierta es un método mucho más seguro.