PSD, EBA, XS2A, AISP, PISP, RTS, SCA, Fintech… todo un maremágnum de siglas para aprender
Cuando a los profanos nos hablan de la nueva PSD2 algunos llegamos a pensar en una máquina de videojuegos que ha comercializado algún nuevo fabricante. Un nuevo dispositivo de esos que nos permitirá jugar online con los juegos que por supuesto habremos tenido que adquirir.
Tremendo error. Pero no nos lamentemos de nuestro desconocimiento. Quizás esa evidente equivocación oculte algo de cierto. La nueva PSD2 no es una nueva plataforma de juegos, aunque sí que mantiene un cierto paralelismo con el uso online de ciertos elementos. Y es que la PSD2, cuyas siglas en inglés responden a Second Payment Service Directive, es una nueva directiva europea para proporcionar servicios de pagos electrónicos dentro de la Unión Europea.
PSD1
Pero antes de continuar, pongámonos en contexto. En 2007 la Primera Directiva para Servicios de Pago (PSD1) proporcionó las bases legales para la creación de un mercado financiero de pagos europeo más eficiente y seguro. Un mercado en el que ciudadanos y empresas podrían realizar pagos y cobros en euros, en igualdad de condiciones y con independencia del estado miembro en el que se tramitara la operación y en el que fuera posible proporcionar a los usuarios información transparente sobre la ejecución de órdenes de pago en tiempo y conociendo las comisiones bancarias.
La aparición de nuevos avances tecnológicos que permitían entre otras cosas realizar pagos online o incluso analizar grandes volúmenes de datos trajo consigo la proliferación de “nuevos jugadores”, las llamadas Fintech, que amenazaron la hegemonía de los grandes bancos, hasta entonces inviolables, en un entorno como el de internet donde aún no existía ninguna regulación. Así, años después, en 2013 la Comisión Europa propuso revisar la directiva con el objetivo de mejorar el sistema con la inclusión de estos nuevos jugadores en un entorno más seguro y donde primara la protección del consumidor. Además de ampliar la cobertura del sistema a nuevos servicios y actores, la nueva directiva PSD2 se propuso regular el acceso a la información de las cuentas de los usuarios bancarios y permitir transacciones electrónicas a través de intermediarios financieros, registrados y regulados, que no eran los depositarios últimos de la cuenta.
Estos intermediarios, cuyos actores más representativos son las Fintechs, tendrían acceso, con la autorización de los usuarios, a su información bancaria, con independencia del número de cuentas que poseyeran, y a realizar transacciones tal y como lo haría un cliente de cualquier entidad financiera.
PSD2
En 2015 se acabó de redactar la directiva PSD2, y desde enero de este año 2018, será de obligado cumplimiento por todas las entidades financieras europeas que se verán obligadas a proporcionar acceso (si así lo solicitan) a la información de sus clientes y a la ejecución de operaciones de cobros o pagos, ordenadas través de estos nuevos intermediarios, permitiéndoles ejecutar dichas funciones de forma eficiente y segura. Es decir, los bancos estarán forzados a proporcionar un API de acceso a la información y operación de las cuentas de sus clientes a otras entidades lo que traerá consigo un aumento de la competencia.
Nada de esto debe de gustar mucho a los bancos. Hasta hace muy poco tiempo, estos no facilitaban ese acceso a los datos y todas las facilidades para los “nuevos jugadores” se reducían a intentar conseguir la información a través de lo que se conoce con el nombre de screen craping, un mecanismo que permitía acceder exclusivamente a la información de un usuario que aparecía en una pantalla (por ejemplo, los saldos de la página web de una cuenta de usuario), sin ningún procesamiento previo para estructurarla de forma unificada.
Con la nueva directiva, los nuevos jugadores dispondrán de un interfaz estándar para acceder a dicha información, aglutinada bajo las siglas XS2A, con el permiso del cliente y proporcionado por la entidad financiera.
La habilitación de esta posibilidad abre el mercado a dos tipos de nuevos actores: los AISP y los PISP. Los primeros podrán acceder en modo consulta a la información de los clientes en sus distintas cuentas bancarias a fin de procesar esos datos y poder ofrecer nuevos servicios o incluso cruzar información basada en la explotación de los datos que le permitan mejorar los productos o adecuarlos a las necesidades concretas de un cliente. Los segundos permitirán realizar transacciones económicas en nombre del usuario sin tener, por ejemplo, que revelar ninguna información sobre su tarjeta de crédito.
Fortalecimiento de la autenticación
No cabe duda de que, obviamente, todo esto estará sometido a estrictas medidas de seguridad donde la integridad y la confidencialidad de las transacciones y de los datos de los usuarios quedará protegida. Para ello, la EBA, European Banking Authority, en coordinación con el Banco Central Europeo, ha planteado un conjunto de estándares regulatorios (RTS) que especifican los requisitos de autenticación de acceso a operaciones de clientes (SCA) que dentro de la PSD2 deberán cumplir los nuevos actores y que, aún pecando en la simplificación, se resumen en la obligación de implementar al menos dos de los siguientes métodos de verificación de la identidad del usuario: “algo que solo él conoce”, “algo que él tiene” y “algo que él es”.
Ejemplos de lo que “el usuario conoce” podría ser una password o un pin de acceso. Cuando se hable de “algo que el usuario tiene” se referirá, por ejemplo, a algún elemento en posesión del cliente y que genere algún código de acceso, tal y como, un teléfono móvil recibiendo un SMS con una secuencia de números y caracteres que permiten completar la operación. Por último, un ejemplo de lo que “el usuario es” podría ser el reconocimiento facial, de iris, huella dactilar, voz, etc.
Con dos de esos tres mecanismos, cualquier entidad estaría cumpliendo con los requisitos de autenticación impuestos por la nueva regulación.
Como podemos comprobar, la preocupación por la autorización del usuario es un elemento primordial dentro de la nueva directiva PSD2 lo que está dando lugar a que muchos proveedores tecnológicos se hayan lanzado a ofrecer soluciones adaptadas a estas nuevas necesidades, desde soluciones de tokens, aplicaciones de móviles a soluciones FIDO (Fast IDentity Online). Un mercado que según los analistas crecerá más de un 23% anualmente durante el próximo lustro.
Sin embargo, no podemos obviar algunas de las amenazas que pueden surgir durante el camino. No en vano, dar acceso a las cuentas bancarias de los clientes tiene implicaciones en la protección de los datos, en la seguridad de las transacciones y en la integridad de los pagos. Todos son aspectos que llevan consigo riesgos de fraudes por phishing, blanqueo de capitales o dificultades en el seguimiento e investigación de transacciones, por poner algunos ejemplos.
Se abre pues un periodo interesante ante los nuevos retos planteados por la PSD2 y durante el cual, una vez más, las compañías de ciberseguridad tendremos que trabajar para hacer que el “Online Banking Game” consiga ser más seguro.