¿Qué es el Open Banking/PSD2 y para qué sirve?

El Open Banking (banca abierta) es un movimiento, una tecnología y a la vez una legislación basada en el concepto de Open Data (datos abiertos) por el cual se da la posibilidad al usuario de controlar sus datos bancarios y financieros y hacer uso de ellos de forma controlada para acceder a nuevos productos y/o servicios financieros. 

La PSD2 es una extensión de la PSD1. PSD son las siglas de Payment Services Directive y es la regulación que hace posible la implementación de los conceptos del Open Banking en la comunidad europea.

En octubre de 2015, el Parlamento Europeo adoptó la Directiva Europea de Servicios de Pago, también conocida como PSD2. Esta nueva regulación se aprobó con el objetivo de crear un mercado único de pagos, siguiendo con el objetivo de la Unión Europea de crear un modelo de regulación estándar en toda Europa, y así promover la innovación, competencia y eficiencia en el sector de los pagos online. La ley pasó a ser efectiva en los 27 países miembros de la Unión Europea a partir del 13 de enero de 2018, con un periodo de transición que concluyó en septiembre de 2019.

En breve, bajo la legislación de PSD2, el usuario, previa una autorización por su parte, puede poner sus datos, si lo desea a disposición de terceros, para facilitar nuevos servicios o facilitar sus transacciones (pagos o transferencias).

La PSD2 tiene como objetivo, a través del control de nuestros datos financieros, incentivar la innovación y la competitividad en el sector bancario, permitiendo nuevos productos y servicios financieros para que podamos como clientes obtener más beneficios.

La PSD2 establece, según determina la propia directiva, cuatro claros objetivos:

1-Contribuir a un mercado de pagos europeo más integrado y eficiente

2-Mejorar la igualdad de condiciones para los proveedores de servicios de pago (incluidos nuevos competidores)

3-Hacer que los pagos sean más seguros 

4-Proteger a los consumidores

Veamos cómo se concreta esto en la práctica.

La entrada en vigor de la directiva PSD2 obliga a los bancos a compartir los datos de sus clientes mediante una API (application programming interface) a la que pueden acceder proveedores externos que cuenten con una licencia de PISP o AISP (ver más abajo una definición de lo que significa).
Una API es un conjunto de funciones y procedimientos que permiten la creación de aplicaciones que acceden a las características o datos de un sistema operativo, aplicación u otro servicio. En definitiva, es una conexión que permite que dos ordenadores se conecten y hagan un intercambio de información o ejecuten transacciones bajo un protocolo seguro.
Bajo la directiva PSD2 todos los bancos están obligados desde septiembre del 2019 a facilitar estas APIs.
La mayoría de bancos de la comunidad europea ya las tienen implementadas. En España la calidad y usabilidad de estas APIs es aún desigual, aunque en los últimos meses ha mejorado significativamente. Se puede distinguir a los bancos tecnológicamente bien preparados por la buena o mala implementación de estas APIs. 
El Reino Unido ha sido pionero en la implementación del Open Banking desde el 2015 y un ejemplo para otros países europeos. En otras jurisdicciones se están implementando regulaciones propias en la misma línea y los bancos están abriendo sus APIs. En EEUU, aunque no existe una regulación específica para el Open Banking esto no ha impedido que desde hace más de una década se desarrollen diferentes servicios y utilidades basados en estos conceptos. En Latinoamérica hay iniciativas al respecto en México y Brasil. En otros países como Colombia o Argentina también hay alguna iniciativa en esta dirección.

Más allá de las APIs bancarias se establecen dos nuevos servicios a los que determinadas entidades o Fintechs pueden acceder previa autorización del banco central de los países de la comunidad europea.
Servicios de Iniciación de Pago: se regula la actividad orientada a facilitar la iniciación de pagos. En inglés se utilizan las siglas PISP (Payment Initiation Service Provider) para referirse a los proveedores de servicios de iniciación de pagos.
Servicios de Agregación Bancaria: se regula una nueva actividad orientada a facilitar la obtención de datos y movimientos bancarios. En inglés se hacen servir las siglas AISP (Account Information Service Provider) para referirse a los proveedores que facilitan información de cuentas bancarias, también conocidos como servicios de agregación bancaria.
A menudo una misma entidad financiera o fintech puede proveer a la vez servicios de iniciación de pagos y de agregación bancaria.
Iniciación de pagos (PISP)

A la práctica, el servicio de iniciación de pagos consiste en que un PISP (Payment Initiation Service Provider o proveedor de servicios de iniciación de pagos) garantiza la ejecución segura de pagos o transferencias bajo el control del usuario, es decir de la previa autorización del usuario.
En definitiva, esta es una fórmula eficiente por la que el usuario se conecta a su banco con sus claves habituales desde la misma plataforma del producto o servicio al que está accediendo y ejecuta una transferencia o un pago, siendo una alternativa eficiente y normalmente más económica que el pago con tarjeta de crédito.

A la práctica, el servicio de iniciación de agregación consiste en que un AISP (Account Information Service Provider o proveedor de servicios de información bancaria) garantiza el acceso, previa autorización del usuario, a la información y transacciones de sus cuentas bancarias. Esto permite, por ejemplo, facilitar de forma eficiente y con poca fricción, para el cliente, las actividades imprescindibles de conocimiento del cliente a las que está obligada una entidad regulada como inbestMe.  Un caso práctico de esto es, validar la titularidad de la cuenta bancaria sin tener que aportar documentación.

Una de las principales preocupaciones de inbestMe es simplificar al máximo las transacciones y la operativa de nuestros usuarios.
A partir del 1/7/2022 y después de varios meses de implementación por parte de nuestro equipo de desarrollo, hemos integrado en nuestra plataforma, tanto funcionalidad para facilitar la iniciación de pagos (léase transferencias) como de agregación bancaria.

Puedes ver más detalles en cómo inbestMe integra Open Banking/PSD2 en su plataforma.

Bajo PSD2 también se regulan aspectos de seguridad, a los cuales en el momento de escribir este artículo, ya empezamos a estar acostumbrados. Estas medidas están ya implementadas por todas las instituciones financieras.

La seguridad es para muchos consumidores una gran preocupación. La idea es que, por un lado, se da el acceso a los datos, pero este acceso a datos bancarios ha de ser robusto: la regulación de PSD2 viene asociada a políticas de acceso y formas de autenticar a una persona muy estrictas.
PSD2 trae asociado el concepto de Strong Customer Authentication (SCA o en Español Autenticación Reforzada de Cliente, ARC) y va un poco más allá de la autenticación de 2 factores.

Por eso, un proveedor de servicios bajo PSD”, deberá autenticar a un usuario combinando 3 factores de seguridad:

Primer factor: algo que un usuario ya sabe. Esto se refiere a la ya tradicional medida de seguridad de introducir una contraseña.

Segundo factor: algo que solo posee el usuario. Esto se refiere a un dispositivo que posee el usuario, como un dispositivo móvil que utiliza para autenticarse.

Tercer factor: algo que el usuario realmente es (inherencia). Esto se refiere a algo que distingue a un usuario de todos los demás. Como una huella dactilar o reconocimiento de voz.

Una vez que un usuario pasa el proceso de SCA, un proveedor de servicios finalmente puede solicitar el consentimiento para obtener el tipo de datos que puede procesar.

Seguramente el lector asociará estos procesos a lo que, ya en estos momentos, tiene que hacer para acceder a sus cuentas bancarias u otros servicios financieros, que a menudo es engorroso, pero nos garantiza un alto nivel de seguridad en el acceso a nuestros datos.

Nota: el hecho de que esté vigente la PSD2 en un país no asegura que haya una buena cobertura. Por la información de que disponemos, los países en verde son los que tienen una mejor cobertura
Austria
Bélgica
Bulgaria
República Checa
Chipre
Dinamarca
Estonia
Finlandia
Francia
Alemania
Grecia
Hungría
Islandia
Irlanda
Italia
letonia
Liechtenstein
Lituania
luxemburgo
Malta
Países Bajos
Noruega
Polonia,
Portugal
Rumania
Eslovaquia
Eslovenia
España
Suecia
Reino Unido(1)

Reino Unido ya no pertenece a la CE ni a la EEA (European Economic Agreement). Pero sí mantiene activas políticas de Open Banking.