En relación con la implantación de Segunda Directiva de Pagos (PSD2), la publicación de las Normas Técnicas de Regulación (RTS) dio a conocer la fecha en la que los bancos deben poner a disposición de los “Third Parties Providers” (TPPs) las especificaciones técnicas de su interfaz y dar acceso público y gratuito en su sitio web a esta documentación, además del correspondiente entorno de pruebas funcionales y de conexión. El plazo debe ser de al menos seis meses antes de la fecha de implantación de la directiva, es decir el 13 de marzo de 2019.
Según las citadas RTS, los bancos han de ofrecer una interfaz de acceso que permita una comunicación segura con los TPPs, matizando que “deben tener libertad para decidir si ofrecen una interfaz específica… o, por el contrario, permiten el uso para esa comunicación de la interfaz establecida por ellos para la identificación de los usuarios de los servicios de pago y la comunicación” (Reglamento 2018/389 Considerando 20). Así pues, los bancos tienen dos opciones para cumplir con PSD2 y las RTS:
1. Permitir el acceso a los TPPs a través de la interfaz actual de sus bancas online, al igual que ahora acceden los clientes, lo que supone seguir utilizando el sistema de acceso “screen scraping” considerado menos seguro.
2. A través de una interfaz dedicada, diseñada específicamente para permitir el acceso a los TPPs a las cuentas de pago de los usuarios.
Según una encuesta dirigida a la Federación Bancaria Europea, el Grupo de Cajas de Ahorro Europeas y Asociación Europea de Cooperativas de Crédito, la opción de interfaz dedicada sería la preferida por las entidades financieras por ser la más segura.
La interfaz dedicada que debe cubrir, como mínimo, los servicios de Información sobre cuentas de pago, Iniciación de pagos y Confirmación de saldo, adicionalmente:
- Debe garantizar una disponibilidad y rendimiento similar al que ofrece la interfaz de su banca online. Este requerimiento debe materializarse con la definición de unos “indicadores clave de rendimiento y unos objetivos de nivel de servicio transparentes para la disponibilidad y el rendimiento de las interfaces específicas, que sean al menos tan estrictos como los de la interfaz que utilicen para sus usuarios de servicios de pago” (RTS Considerando 23), cuyos valores han de publicarse con periodicidad trimestral.
- No debe crear obstáculos a la prestación de servicios de iniciación de pagos y servicios de información sobre cuentas.
- Todos los problemas relacionados con la interfaz deben ser resueltos en un plazo apropiado.
- A fin de evitar rupturas en la prestación de los servicios por parte de los TPPs, se debe establecer un mecanismo alternativo (“fallback system”) salvo “cuando sus autoridades competentes determinen que las interfaces específicas cumplen con unas condiciones concretas que garantizan que no existen obstáculos a la competencia”. Para evitar la creación de este mecanismo alternativo, la interfaz dedicada debe haber sido probada por lo menos tres meses y utilizada extensamente por los TPPs durante otros tres meses con resultados satisfactorios para del mercado.
Si bien la directiva europea (PSD2) y sus normas técnicas (RTS) omiten cualquier referencia al tipo de interfaz, el mercado se decanta por la forma de API “debido a su combinación de estabilidad exterior y flexibilidad interna” (Euro Retail Payment Board, 2017).
Aunque existen algunos temas candentes aún en discusión tales como los métodos de autenticación, el alcance de los datos, el consentimiento del usuario…no cabe duda que en el segundo semestre del año 2018 o, a más tardar en el primer trimestre del 2019, los bancos empezarán a publicar su interfaz PSD2 o, si ya las tenían publicadas, adaptarlas a las RTS, con el objetivo de que los desarrolladores puedan probarlas. Diversas iniciativas europeas de estandarización (de las que hablaremos en un próximo post) pueden ayudar en la implantación de la nueva directiva cuando el enfoque sea el de garantizar su cumplimiento. Desde Xeridia estamos trabajando también para ayudar a las entidades financieras a abordar los apasionantes retos que estos cambios regulatorios posibilitan.
Lucia Caballo es Analista Funcional en Xeridia.