API de banca abierta

¿Qué es una API de banca abierta y cómo funciona?

Las API de banca abierta están cambiando la banca. La iniciativa Open Banking permite a los clientes bancarios compartir la información de sus cuentas de forma segura con terceros proveedores (TPP). Esto se consigue a través de las interfaces de programación de aplicaciones (API) que permiten a los programas de TPP comunicarse con las aplicaciones de los bancos. El objetivo es promover la innovación en la banca digital y acelerar el desarrollo de nuevas aplicaciones financieras y mejores servicios para las empresas y los consumidores.

La banca abierta fue iniciada en 2018 por la Autoridad de Competencia y Mercados (CMA) del Reino Unido, que ordenó a los bancos que abrieran sus aplicaciones a los TPP. Ese mismo año, la actualización de la Unión Europea de la Directiva de Servicios de Pago (PSD2) tenía el mismo objetivo, al tiempo que ordenaba nuevas normas de seguridad para el acceso a las cuentas de pago y las transacciones financieras.

Un uso típico de una API de Open Banking es la agregación de datos de diferentes cuentas bancarias en una única vista, proporcionada por una aplicación TPP. Hay dos tipos de TPP. Los proveedores de servicios de iniciación de pagos (PISP) se conectan a la cuenta bancaria de un cliente e inician los pagos en su nombre. Los proveedores de servicios de información sobre cuentas (AISP) se conectan a la cuenta bancaria de un cliente para prestar un servicio financiero, como la gestión del dinero.

Ventajas de las API de banca abierta

Dado que uno de los resultados a largo plazo de la banca abierta será el aumento de la competencia, los bancos tradicionales se han mostrado reacios a adoptarla. Históricamente han competido con las empresas fintech para ofrecer a sus clientes mejores servicios financieros. Pero la Banca Abierta ofrece en realidad a los bancos la oportunidad de explorar nuevos modelos de negocio en los que colaboran y se asocian con fintechs emergentes y otros bancos en lugar de intentar competir con ellos. Y los clientes se benefician en última instancia, ya que Open Banking les da un mayor control sobre sus datos transaccionales.

Es una situación en la que todos ganan, tanto la experiencia del cliente bancario como las instituciones financieras. El cliente obtiene un mejor acceso y control de sus cuentas y finanzas, y puede aprovechar las nuevas funciones y servicios. Las instituciones financieras pueden ofrecer a sus clientes servicios mejorados y participar en un ecosistema de reparto de ingresos. Según un artículo de Insider Intelligence titulado How open banking and bank APIs are boosting fintech growth, la firma de investigación "proyecta que el potencial de ingresos en el Reino Unido generado a través de las propuestas de pequeñas y medianas empresas (PYMES) y clientes minoristas habilitadas por Open Banking alcanzará los 2.000 millones de dólares en 2024".

Los bancos, y por tanto sus clientes, pueden ser los grandes ganadores si utilizan las API de Open Banking para abrir sus aplicaciones a las fintechs. Algunas de las ventajas son:

  • Innovación más rápida: las fintech suelen ser capaces de innovar y desarrollar nuevas aplicaciones y funcionalidades más rápidamente que los equipos de TI de los bancos tradicionales.
  • Aumento de los ingresos: las Fintech están mejor posicionadas para asumir y entregar proyectos de construcción de tecnología.
  • Información detallada sobre los clientes: las fintech pueden conectarse con los datos de los clientes de los bancos para proporcionar tendencias y patrones financieros de los clientes.
  • Ofertas personalizadas: Utilizando las tendencias y patrones financieros de los clientes, las fintechs pueden mejorar el compromiso de los clientes ofreciendo servicios y recomendaciones personalizadas.

Ejemplos de bancos que utilizan las API de banca abierta

En todo el sector financiero, algunos de los más conocidos y grandes bancos, instituciones financieras, prestamistas y startups de fintech ya están utilizando las API de Open Banking para ofrecer mejores productos y servicios financieros. He aquí algunos ejemplos:

  • O2 Banking de Telefónica Deutschland: Telefónica Deutschland lanzó una cuenta bancaria exclusivamente para móviles que ofrece transacciones a través del número de teléfono móvil, pequeños préstamos instantáneos y mejores planes de datos para móviles, construida sobre la plataforma del banco alemán Fidor.
  • Integración de la información financiera del cliente en Wave: El software de facturación y contabilidad Wave utiliza las API bancarias para conectarse a la cuenta bancaria del usuario, lo que permite a sus clientes tener un control total de las finanzas de su empresa en un solo lugar.

Iniciativas de banca abierta

Hay dos categorías principales de impulsores de las iniciativas de banca abierta en todo el mundo: las iniciativas impulsadas por el mercado y las iniciativas reguladoras.

En entornos impulsados por el mercado, como en Estados Unidos y algunos países asiáticos como Japón, Singapur, India y Corea del Sur, los reguladores están dejando que sean los actores -bancos y TPP- los que tomen la iniciativa de desplegar las API de banca abierta. Muchos de los principales bancos de EE.UU. han puesto en marcha sus propias iniciativas y están trabajando con los TPP. En EE.UU., por ejemplo, la banca abierta sigue basándose en gran medida en el screen scraping, en el que las empresas financieras recopilan la información de los clientes a partir de los datos que aparecen en la pantalla de la aplicación bancaria, pero se espera que el sector haga una transición hacia API más seguras y fiables.

En los entornos impulsados por la normativa, como en el Reino Unido y Europa, las iniciativas han sido impulsadas principalmente por la DSP2. Hong Kong también ha adoptado el enfoque reglamentario y permite a las instituciones financieras elegir con qué TPPS colaboran.

Otra cosa que merece la pena destacar es el enfoque de la banca abierta en Australia. Este puede ser el enfoque más ambicioso e innovador de la Banca Abierta hasta ahora. De hecho, Australia está yendo más allá de la Banca Abierta y proponiendo una economía de Datos Abiertos, por la que los ciudadanos australianos no sólo pueden solicitar a las entidades bancarias minoristas que permitan compartir datos con terceros proveedores, sino también a otras empresas como las de energía o las de telecomunicaciones, por ejemplo.

Riesgos de seguridad con las API bancarias abiertas

La apertura de las aplicaciones bancarias a los TPP conlleva riesgos que deben ser abordados. La prevención del fraude debe ser una prioridad para todas las partes. Frederik Mennes, director del Centro de Competencia de Seguridad de OneSpan, divide estos riesgos en tres tipos.

  1. En primer lugar, las instituciones financieras están abriendo sus sistemas y compartiendo los datos de los consumidores con los TPP. Por lo tanto, corresponde a la institución financiera asegurarse de que sólo trabaja con TPP de confianza. No pueden permitir que un TPP malicioso o no autorizado tenga acceso a sus datos.
  2. En segundo lugar, los usuarios de las aplicaciones proporcionadas por los TPP deben estar debidamente autentificados para evitar el acceso no autorizado cuando accedan a una cuenta en el banco. Esto puede requerir una autenticación adicional, como la autenticación fuerte de clientes (SCA).
  3. En tercer lugar, la infraestructura informática del banco contiene ahora esencialmente la infraestructura informática del TPP. Por lo tanto, si el TPP sufre una violación de datos o se ve comprometido de alguna manera, el banco también puede verse afectado.

Cómo proteger a los bancos contra las amenazas a la seguridad

El primer riesgo descrito anteriormente implica que los TPP no autorizados intenten acceder a las cuentas del banco. Para protegerse contra este tipo de acceso no autorizado, los bancos pueden exigir al TPP que firme digitalmente todas las solicitudes. Los TPP tendrían un par de claves públicas/privadas con su correspondiente certificado emitido por una autoridad certificadora de confianza. Esto permitirá a los TPP autentificarse cuando se comuniquen a través de interfaces bancarias abiertas.

Para hacer frente a los riesgos de que usuarios no autorizados accedan a las cuentas del banco, los bancos deben utilizar una autenticación fuerte de los clientes y la supervisión de las transacciones, tal como se indica en la DSP2. Entre otras especificaciones, la PSD2 exige la autenticación de las transacciones, por lo que el nivel de autenticación requerido para procesar una solicitud depende del nivel de riesgo de la transacción solicitada. Por ejemplo, después de iniciar sesión en la banca online, una solicitud de un cliente para comprobar su saldo puede procesarse sin problemas, pero una solicitud para transferir fondos puede solicitar al usuario una autenticación más fuerte.

La PSD2 y las Normas Técnicas de Regulación (NTR) asociadas exigen que se realice una supervisión del fraude y se aplique la Autenticación Fuerte de Clientes (SCA) a la mayoría de los pagos en línea, incluidos los que se realizan a través de las API de banca abierta. La SCA debe aplicarse al acceso a la información de las cuentas de pago y a toda iniciación de pagos, incluidas las operaciones a través de Open banking, a menos que se aplique una exención en virtud de las RTS. Las exenciones no son obligatorias, pero los bancos pueden beneficiarse de ellas si así lo deciden.

En el contexto de los programas de análisis de fraude de Open Banking, soluciones como OneSpan Risk Analytics apoyan la monitorización de los eventos procedentes de un TPP que opera uno o varios servicios de Open Banking a través de las API de Open Banking publicadas por el banco. OneSpan Risk Analytics ofrece escenarios de reglas preconstruidas que cubren los requisitos de supervisión del fraude de la PSD2, la lógica empresarial y los escenarios típicos de fraude. Estas normas son compatibles con los canales bancarios digitales, incluida la banca abierta.

Las API abiertas exigidas por la DSP2 darán lugar a nuevos e innovadores servicios y aplicaciones bancarias. Sin embargo, al mismo tiempo los bancos deben impedir que los delincuentes accedan a los datos y las transacciones de los clientes. Por ese motivo, tanto bancos como los PI deben ser conscientes de los riesgos y ofrecer un nivel de protección suficiente. Obtenga más información en este blog: APIs de banca abierta bajo la PSD2: cómo mitigar el riesgo.

autenticación fuerte de cliente;

Para pasar la SCA, el cliente debe autenticarse con éxito utilizando la autenticación multifactor (MFA). En el contexto de los pagos en línea bajo la DSP2, esto significa que el cliente debe proporcionar dos de los tres factores de autenticación. Los tres factores son:

  • Conocimiento: algo que el usuario conoce, por ejemplo, su contraseña, su PIN, etc.
  • Posesión: algo que el usuario tiene, por ejemplo, su teléfono móvil, etc.
  • Inherencia: algo que el usuario es, por ejemplo, su huella dactilar, la huella de la palma de la mano, etc.

Existen tres métodos para llevar a cabo el SCA:

  • Un enfoque de redirección con la aplicación web del banco
  • Un enfoque integrado directamente a través de la aplicación TPP
  • Un enfoque desacoplado con la aplicación móvil de confianza del banco

En el enfoque redirigido, los usuarios son redirigidos al sitio web de su banco para introducir las credenciales de autenticación. En el enfoque integrado, el proceso de autenticación está totalmente automatizado, ya que los usuarios comparten sus credenciales con un TPP que autentifica e inicia el pago en segundo plano. Con el enfoque desacoplado, el segundo factor se proporciona a través de un dispositivo separado del que solicita la transacción.

Sobre las finanzas abiertas

La banca abierta es todavía bastante nueva en el sector bancario. Pero las organizaciones financieras ya están hablando de dar el siguiente paso: las finanzas abiertas. Las iniciativas de Open Banking se aplican principalmente a las cuentas de pago.Ahora es el momento de aplicar el concepto a todas las cuentas para que los consumidores puedan tener una visión global de sus finanzas personales y sus datos financieros. No hay ninguna razón por la que los nuevos servicios, técnicas y ventajas de Open Banking no puedan aplicarse a otras cuentas financieras como hipotecas, inversiones, pensiones y seguros.

 


Tyrrell, Darcy, Yodlee, "Open Banking APIs Explained", junio de 2020, https://www.yodlee.com/open-banking/open-banking-api

Belmaker, Gidon, TearSheet, "7 ejemplos que demuestran el poder de las API bancarias", noviembre de 2016, https://tearsheet.co/artificial-intelligence/7-examples-showing-the-power-of-banking-apis/

Mennes, Frederik, OneSpan, "Security and Compliance in an Open Banking World ", https://www.onespan.com/resources/video-open-banking-security-considerations

Póngase en contacto con nosotros

Póngase en contacto con uno de nuestros expertos en seguridad para saber más sobre cómo nuestras soluciones pueden ayudarle con sus necesidades de seguridad digital