En 2019, la directiva PSD2 entró en vigor en la UE y rápidamente la agregación bancaria se ha ido extendiendo por todo el continente.
Bancos importantes como el BBVA y NatWest ya han implementado la agregación bancaria entre sus productos, y es solo cuestión de tiempo hasta que esto se convierta en la norma.
Dado que su uso cada vez es mayor, pensamos que sería útil explicar el concepto de agregación bancaria, su funcionamiento y por qué es conveniente para instituciones financieras, comerciantes y clientes.
¿Qué es la agregación bancaria?
La agregación bancaria recopila automáticamente la información financiera de cuentas bancarias en diferentes instituciones, la recoge en un mismo lugar y la pone a disposición de otros sistemas. Es el pilar principal del movimiento Open Banking y permite mostrar de forma sencilla los datos financieros de diferentes cuentas e instituciones bancarias en un mismo lugar.
Esta tecnología tiene muchas aplicaciones como, por ejemplo, el análisis de riesgo orientado al crédito, el scoring financiero o la posibilidad de facilitar la contabilidad a las empresas reuniendo los datos de todas sus cuentas en un mismo lugar.
Los datos se pueden mostrar de diversas maneras: como matrices JSON que pueden leer y utilizar otras aplicaciones o como hojas de cálculo para procesos de análisis manuales, contabilidad y otras tareas.
Puede que te interese: Agregación Bancaria: cómo hemos ido más allá de la PSD2
La regulación de la agregación de datos financieros
La agregación bancaria trata con datos financieros de empresas o personas, por lo que es esencial garantizar en todo momento la máxima seguridad de la información y así, evitar que pueda emplearse para fines ilícitos o perjudiciales para los interesados.
Afortunadamente, la normativa PSD2 es muy rigurosa en estos aspectos y establece una serie de directrices muy estrictas para garantizar la seguridad del usuario.
El objetivo de esta directiva es doble: por una parte, democratizar el mercado de los pagos online y los servicios asociados, entre los cuales se incluye la obtención de información financiera mediante la agregación bancaria, y por otra parte, regular la participación en este espacio y crear unas normas que todas las partes tengan que cumplir para garantizar que el usuario esté protegido en todo momento.
En materia de seguridad, esto se traduce en el requisito de que las organizaciones que proporcionen servicios de lectura de cuentas bancarias implementen sistemas de autenticación reforzada de cliente (SCA).
La SCA es un protocolo de autenticación que exige a los usuarios introducir un mínimo de dos de los tres tipos de factores de autenticación que están disponibles: algo que conozcan, como un código PIN o una contraseña, algo que posean, como un teléfono móvil o un token de hardware, y algo inherente a ellos, como una huella dactilar o reconocimiento facial.
Estos factores actúan como barrera para acceder a un servicio y contribuyen enormemente a prevenir el fraude.
Al mismo tiempo, las empresas que facilitan estos servicios tienen un control férreo gracias a la PSD2. Antes de la directiva PSD2, los servicios de agregación bancaria existían en una especie de limbo legal. No eran ilegales, pero no había una normativa estándar que estableciera quién podía ofrecerlos y bajo qué condiciones. En aquella época, el screen scraping era el método más utilizado para obtener datos.
Sin embargo, la llegada de la PSD2 ha relegado el screen scraping a una función de “mecanismo de respaldo”: el método de conexión de seguridad que emplean los proveedores de servicios de pago cuando no funciona la conexión a las API de los bancos o los datos facilitados son insuficientes para facilitar el servicio.
En cualquier caso, las empresas que facilitan estos servicios deben estar reguladas por la autoridad competente del país (en general, un banco nacional o un regulador financiero) para seguir ofreciendo servicios de agregación bancaria. Aquellas entidades que provean estos servicios sin contar con la autorización legal necesaria se enfrentarán a importantes sanciones.
Para solucionar este problema, la PSD2 introduce dos nuevas entidades: Los Proveedores de servicios de iniciación de pagos (PISP) y los Proveedores de servicios de información de cuenta (AISP). Esta última entidad (AISP) es la que acoge a las empresas que ofrecen servicios de agregación y lectura de cuentas bancarias.
La directiva PSD2, además de transformar el ecosistema de pagos online facilitando la creación de productos y servicios nuevos, permite una conexión más estable entre bancos y proveedores que genera una serie de beneficios que veremos en esta publicación.
Más información: Panorama de las API de Open Banking de los bancos europeos más importantes
¿Cómo funciona la agregación bancaria?
Los datos de una cuenta bancaria son privados y pertenecen al titular de la misma, pero existen escenarios en los que el titular desea que un tercero pueda acceder a ellos para proveer un servicio o llevar a cabo una tarea determinada. Un ejemplo sería realizar un análisis de salud financiera para la concesión de un préstamo o una hipoteca.
En casos como este, el titular de la cuenta puede facilitar las credenciales de acceso a su banca online para que un proveedor externo recopile la información necesaria.
El acceso a la información se hace mediante la API del banco donde está ubicada la cuenta. Las API bancarias emplean una nomenclatura específica para las peticiones, por lo que los terceros pueden acceder a diferentes clases de información en función de sus necesidades específicas en cada petición.
Algunas categorías de datos que se suelen emplear son el balance de la cuenta, un listado de movimientos en un periodo de tiempo determinado o los datos del propietario de la cuenta.
La petición detalla el banco que se va a leer (“bank_id”) y proporciona un usuario y una contraseña, que en el caso de una lectura real corresponderían a las credenciales de acceso a la banca online de la persona interesada.
El banco, una vez que recibe las credenciales correctas, autoriza la petición y devuelve a la aplicación la información solicitada en la llamada.
Una petición como la de la imagen anterior devolvería los siguientes datos:
- El nombre del titular de la cuenta (“account_owner”).
- El IBAN (“iban”).
- Las tarjetas bancarias asociadas a la cuenta (“cards”).
- Los préstamos bancarios asociados a la cuenta (“loans”).
- Un listado de todos los extractos bancarios (“statements”) comprendidos entre el 01/01/2018 (“start_date”) y el 25/10/2018 (“end_date”).
En la mayoría de los casos, la respuesta del banco será en forma de un código, y correrá a cargo del receptor procesar los datos y darles el formato necesario para su uso en cualquier proceso que se desee.
Los datos se tratarán de manera diferente en función de su finalidad para adaptarse a las necesidades de la empresa:
- Presentación de datos en formato JSON, que las aplicaciones pueden leer para integrar en los procesos de negocio de una empresa.
- Exportación en uno de varios formatos (PDF o CSV, por ejemplo) que puede ser útil para la integración en otros procesos o sistemas de análisis.
- Representar los datos de manera visual en una interfaz como los paneles de análisis.
Canales de conexión bajo la directiva PSD2
¿Cómo pueden conectarse las instituciones financieras utilizando la agregación bancaria mediante la PSD2? Existen dos maneras: API y screen scraping. Vamos a ver en qué consisten.
Interfaz dedicada (API PSD2)
Las empresas que cuentan con API dedicadas pueden acceder a dos fuentes de datos: extractos bancarios y saldos del propietario de la cuenta. Esta conexión solo tiene lugar si el proveedor externo es un AISP con licencia y utiliza un canal de conexión como Redsys.
Las API bancarias permiten una conexión estable que pueden mantenerse hasta 90 días con el permiso del usuario y la autenticación encriptada por token. La ventaja principal de utilizar una interfaz API dedicada es que permite una conexión estable y rápida. La desventaja principal es que el alcance de los datos se limita solo a dos fuentes de datos.
Conexión directa (mecanismo de respaldo)
El proceso de screen scraping actúa como un mecanismo de respaldo y era el método empleado antes de la aparición de las API y el Open Banking.
El screen scraping permite que el proveedor externo recopile la información de inicio de sesión (nombre de usuario y contraseña) para conectarse como si fuera el usuario. Al igual que un rastreador web, el proveedor externo navega por la cuenta del usuario para recopilar la información necesaria y simular el comportamiento del usuario en su cuenta.
La ventaja principal de este método es que no existe un límite para los proveedores externos a la hora de recopilar información. Pueden obtener información personal y datos sobre tarjetas de débito y crédito, préstamos, ahorros y cualquier otro producto financiero.
El mayor problema del screen scraping es que requiere un gran esfuerzo de mantenimiento para que el sistema opere correctamente. Cuando un banco actualiza su interfaz bancaria, el proveedor externo debe adaptar su sistema para reconocer los elementos nuevos que se hayan añadido o cualquier modificación del diseño.
En la actualidad, la PSD2 reconoce el scraping como un “mecanismo de respaldo” si la API no funciona. El screen scraping será necesario si un proveedor externo requiere datos prestados para proveer sus servicios. Sin embargo, una API dedicada será suficiente si solo necesita información básica sobre la cuenta bancaria.
En Unnax, ayudamos a que tanto empresas como proveedores externos utilicen API dedicadas y screen scraping, ya que cada canal puede ser útil en función de los requisitos y hasta pueden emplearse al mismo tiempo.
Beneficios principales para clientes, empresas y bancos
La agregación bancaria beneficia a todas las partes involucradas: clientes, empresas de servicios financieros y bancos.
Los clientes pueden gestionar su dinero de una forma más rápida y eficaz: es más sencillo tomar una decisión financiera si se pueden ver los saldos de cada cuenta y banco en una misma pantalla en lugar de tener que iniciar sesión en varias aplicaciones.
Las empresas de servicios financieros obtienen más información sobre los hábitos financieros de sus clientes. Tener la posibilidad de acceder a la información correcta en tiempo real también facilita la personalización de productos y la creación de servicios adaptados a las necesidades de los clientes. Por ejemplo, recopilar información para conceder un préstamo es mucho más sencillo a través de la agregación bancaria que solicitando PDS y hojas de cálculo del cliente.
Más información: Todo lo que necesitas saber sobre la iniciación de pagos
¿Y cómo se benefician los bancos? A primera vista, parece que la agregación bancaria no beneficia a los bancos, ya que estas entidades se ven en la obligación de compartir su recurso más valioso: los datos de sus clientes. Sin embargo, la agregación bancaria permite que los bancos se conviertan en el servicio al cliente preferido para desarrollar una base de clientes más fieles.
Un cliente no tendrá dudas a la hora de elegir entre un banco que le ofrezca la información sobre sus pensiones, ahorros e inversiones en una misma pantalla y otro que solo muestre su saldo.
La agregación bancaria es una oportunidad para que los bancos mejoren la experiencia de usuario, fomenten un mayor uso de la app y estrechen lazos con sus clientes.
Asimismo, gracias a aplicaciones de gestión financiera personal desarrolladas a partir de tecnología de agregación, los bancos ahora pueden atraer a clientes de la competencia.
La mayoría de los bancos con aplicaciones de gestión financiera personal permiten a sus clientes añadir cuentas bancarias de otras instituciones, lo que permite conocer la relación de sus clientes con la competencia. Por ejemplo, un banco puede saber si un cliente tiene una hipoteca o una póliza de seguros en una entidad de la competencia, de manera que puede diseñar ofertas personalizadas para convencerlo de cambiar sus productos de banco con tasas de interés o cuotas mensuales más bajas en sus pólizas.
Por este motivo, la agregación puede ser una herramienta muy sólida para que los bancos conozcan mejor a sus clientes y ofrezcan una gama de productos más atractiva.
Puede que te interese: Por qué la agregación bancaria debe ser la máxima prioridad para los bancos
Casos prácticos y ejemplos
Las empresas pueden emplear la información obtenida de la cuenta bancaria de una persona para eliminar muchas incertidumbres de sus procesos de toma de decisiones y beneficiarse en todo tipo de casos prácticos.
La agregación bancaria permite que una empresa lleve a cabo un análisis de salud financiera del titular y decidir si concede un préstamo en función de su situación financiera. Ayudaría a responder preguntas como: ¿Cuál es el saldo medio de su cuenta? ¿Cuánto ingresa y cuánto gasta? ¿Tiene deudas importantes? ¿Existe algún factor de riesgo como gastos en juegos de azar o facturas de crédito muy elevadas?
A continuación, listamos algunos ejemplos de casos prácticos de la tecnología de agregación bancaria:
- Análisis de riesgo para la concesión de préstamos: mediante la agregación bancaria, el prestamista puede conocer la solvencia y la salud financiera del solicitante.
- Análisis de comportamiento y patrones de consumo: el listado histórico de movimientos bancarios permite saber en qué gasta dinero una persona, cuándo y dónde lo gasta y mucho más. Esta información es muy útil para el marketing y la personalización de la oferta para el cliente.
- Consolidación de cuentas bancarias: la agregación bancaria posibilita simplificar considerablemente la contabilidad de una empresa, ya que permite reunir los datos de todas las cuentas de la empresa en un mismo lugar.
- Aplicaciones de finanzas personales: las aplicaciones de gestión financiera personal utilizan la agregación bancaria para extraer los datos financieros de las cuentas bancarias del usuario y ofrecen varios servicios como automatización de ahorros, asesoría financiera, análisis de gastos, etc.
- Aplicaciones de gestión financiera de empresa: Cumplen la misma función que las aplicaciones de finanzas personales: facilitar la gestión financiera de una empresa recopilando todos los datos necesarios y presentándolos en un único lugar.
El Reino Unido ha sido el primer país en implementar el Open Banking y ya cuenta con más de 2,5 millones de clientes y negocios que utilizan productos impulsados por Open Banking, además de un volumen de llamadas a las API que aumentó a 6 mil millones en el año 2020. Aunque la PSD2 ya está completamente vigente en Europa, hay muchos bancos e instituciones financieras que necesitan ponerse al día para cumplir con los requisitos legales, por lo que no están aprovechando las oportunidades que brinda la nueva directiva.
La agregación bancaria ayuda a los bancos e instituciones financieras a conocer mejor la situación financiera de sus clientes, personalizar sus productos y servicios para responder a sus necesidades y, por lo tanto, tomar mejores decisiones basadas en los datos. Aquellos que implementen la nueva directiva con éxito disfrutarán de una gran ventaja competitiva sobre otras entidades que sigan basando sus decisiones en información incompleta.