En un post anterior hablábamos de la conveniencia de adoptar un estándar API PSD2 como medio para facilitar el intercambio de la información entre los Third Party Providers (TPPs) y los bancos contribuyendo al desarrollo de los nuevos servicios y favoreciendo, de esta manera, el lado de la oferta. Ahora bien, para estimular la demanda de estos nuevos servicios financieros, no es menos cierto que el factor de la seguridad de la información compartida entre ambos deviene clave para asegurar un uso masivo de los servicios, además de otros factores obvios como puedan ser la utilidad, calidad y precio de los mismos.
No cabe duda de que hay usuarios más arriesgados que se sienten confortables entregando sus credenciales bancarias a los proveedores, pero una gran mayoría, sobre todo en el segmento de los consumidores pero también en el de las PYMES, son reacios a permitir que “terceros” puedan acceder a la información de sus cuentas o iniciar una transferencia de fondos, sin amplias garantías de seguridad.
Conscientes de esta barrera, y ante el hecho indiscutible de la sofisticación de los ataques informáticos, el texto de la directiva así como los estándares contenidos en las Reglas Técnicas (RTS) han puesto el énfasis en el refuerzo de los requisitos de seguridad intentando lograr un cierto equilibrio entre seguridad y la mejor “experiencia de usuario”. A continuación hacemos un resumen de los mecanismos de seguridad incorporados por la directiva.
En primer lugar la directiva exige que los proveedores de servicios de pago sean entidades autorizadas para prestar los nuevos servicios de pago como son la Agregación Bancaria y/o la Iniciación de Pagos. Entre los proveedores identificados, están las denominadas “Entidades de Pago” (EP) que deben contar con la oportuna y específica autorización de la autoridad nacional competente (Banco de España, Financial Conduct Authority en el Reino Unido, …) antes de prestar los servicios, además de quedar sujetos a la supervisión periódica del mismo organismo. Por su parte, los bancos, antes de entregar la información o iniciar el pago, deben comprobar la vigencia de la autorización y la validez de los certificados digitales que acreditan la identidad y autoridad de la EP y de no poder hacerlo o no existir constancia de los mismos, el banco no entregará la información o iniciará la operación de pago. Para conocer cuáles son las EPs autorizadas, la European Banking Authority (EBA) gestiona un registro centralizado de entidades de pago con la autorización en vigor en cada momento, registro de carácter público que puede ser consultado por cualquier usuario antes de contratar el servicio que desee.
En segundo lugar se requiere del Consentimiento del usuario, es decir una autorización expresa del usuario a su EP, para que ésta pueda solicitar a los bancos la información de sus cuentas o iniciar un pago mediante transferencia de su cuenta. Se trata de un consentimiento con un alcance concreto y limitado en el tiempo (art. 67 de la Directiva), así en el Servicio de Información sobre cuentas el usuario define y determina:
- Qué cuentas de pago se integrarán en el servicio, y cabe precisar que, bajo el marco normativo PSD2 (y también en la iniciativa Open Banking) de momento no es posible acceder a la información de otros productos distintos de las cuentas de pago, tales como plazos fijos, fondos de inversión, valores, seguros, préstamos u otros productos de financiación con la excepción de las cuentas de crédito.
- Qué tipo de información: saldos, movimientos, características de las cuentas.
- Con qué profundidad histórica, de manera que si la información utilizada para el servicio que presta la Entidad de Pago, es anterior a 90 días la normativa exige medidas de seguridad reforzadas por cada acceso del usuario.
- Por último, el cliente puede especificar la duración del servicio pudiendo rescindirlo en cualquier momento, bien a través del proveedor que le presta el servicio, bien a través del banco.
En el servicio de Iniciación de Pagos, el consentimiento requiere que el comprador autorice el importe de la transferencia puntual o recurrente así como el beneficiario de la misma (comercio) antes de su ejecución.
En el intercambio de información entre la EP y los bancos éstos necesitan comprobar la identidad del usuario. Así, cuando éste vaya a consultar la información de sus cuentas o autorizar un pago, además de las credenciales personalizadas de su banca electrónica (usuario y password), el banco exigirá lo que se conoce como “Autenticación Reforzada del Cliente” (SCA), o lo que es lo mismo, un segundo factor de autenticación entre los tres posibles (conocimiento, posesión y/o inherencia). Más aún, y si el banco así lo quiere, las credenciales de acceso a la banca online se darán en su propia web y no en la del proveedor del servicio a diferencia del sistema “screen scraping”, es decir, es plausible que ni las aplicaciones ni la interfaz de comunicación entre las partes, vean el “username” y el “password” del usuario.
La información entre la Entidad de Pago y los bancos, se transmitirá a través de la interfaz diseñada al efecto que debe estar desarrollada de acuerdo con los estándares de comunicación definidos por las organizaciones de estandarización internacionales. Se trata de garantizar que la información intercambiada entre las partes sea confidencial, no pueda ser alterada y no pueda ser interceptada o robada. Adicionalmente, tanto las EPs como los bancos, están obligados a registrar todas las interacciones del usuario con el resto de los intervinientes del servicio (beneficiarios, comercios…), de manera que se pueda rastrear la transacción de extremo a extremo (trazabilidad).
Y, por último, ante un caso de fraude u operación negligente, las partes intervinientes en el proceso, ya sean las Entidades de Pago, o los bancos, están obligados a indemnizar al usuario para lo que deben tener contratado un seguro u otro tipo de garantía específica como cobertura de los riesgos asociados a esta actividad, o disponer de recursos propios que le permita hacer frente a estas contingencias.
En definitiva, y si bien es cierto que la implementación de la normativa no está exenta de dificultades y que no existe la seguridad en términos absolutos, no lo es menos que comparado con la situación actual el consumidor o usuario de servicios financieros prestados por terceros, se desenvolverá en este mercado con una mayor protección y seguridad de las que dispone en la actualidad. Desde Xeridia estamos trabajando también para ayudar a las entidades financieras a abordar los apasionantes retos que estos cambios regulatorios posibilitan.
Lucía Caballo es Analista Funcional en Xeridia.