La nueva directiva de medios de pago de la Unión Europea, conocida como PSD2, está en boca de todo el mundo últimamente. Los cambios que introduce en el mundo de los servicios de pago online son significativos y van a dejarse notar en muchas empresas.
El target específico de la PSD2 son los bancos y los llamados TPP (terceros proveedores de servicios de pagos). Sin embargo, muchas empresas que no responden a esta clasificación se verán afectadas por la directiva porque emplean herramientas que funcionan con agregación bancaria e iniciación de pagos, y la PSD2 crea un nuevo marco regulatorio para la provisión de estos servicios.
Cambios técnicos: acceso directo vs interfaz dedicada
La PSD2 desfasa la tecnología que usan actualmente muchas empresas, ya que establece nuevas guías de conexión con los bancos para proveer servicios de agregación bancaria e iniciación de pagos.
Hasta ahora, las empresas que venían usando estas tecnologías usaban lo que se conoce como acceso directo, que consiste en conexión al banco mediante la banca online usando una técnica conocida como screen scraping.
El screen scraping consiste en extraer los datos de la pantalla de la banca online leyendo el código de la página web. Esta técnica es la más común en procesos de agregación bancaria e iniciación de pagos, pero se va a ver reemplazada por el acceso mediante interfaz dedicada.
Uno de los cambios más importantes que trae la PSD2 es el requerimiento que los bancos creen una interfaz dedicada para que los TPPs puedan acceder a los datos de las cuentas de pago de sus clientes.
Esta interfaz consiste en una API bancaria que hace de vaso comunicante entre la infraestructura tecnológica del banco y los terceros que emplean agregación e iniciación de pagos. A diferencia del acceso directo, que ejecuta transferencias y extrae información de un panel de control online diseñado para usuarios humanos, la interfaz dedicada permite al usuario realizar peticiones directamente a la base de datos del banco.
Bajo la PSD2, los usuarios de estas tecnologías deben migrar del acceso directo al acceso mediante interfaz dedicada, lo que supone una inversión importante en tecnología porque se debe reconstruir el sistema de conexión al banco y todos los sistemas asociados que dependen de este.
Nuevos requerimientos regulatorios
Mientras que el acceso mediante interfaz dedicada es más sencillo que el acceso directo, este requiere unas credenciales especiales para autenticarse con el banco. Para obtener esas credenciales, la empresa interesada deberá estar acreditada ante el Banco de España (o la entidad reguladora de su país de origen) como AISP (proveedor de servicios de información de cuentas) para los servicios de agregación bancaria y como PISP (proveedor de servicios de iniciación de pagos) para los servicios de iniciación de pagos. Además, en el caso de España, el BdE exige a los TPPs (Third Party Providers, terceros que ofrecen servicios basados en la PSD2) que obtengan también la licencia de Entidad de Dinero Electrónico (EDE).
Para obtener estas licencias, las empresas deberán pasar un proceso de regulación en el cual se certifica que cumplen con los requisitos necesarios en materia de seguridad, trato de la información y tecnología.
La PSD2 también introduce nuevos requisitos en materia de seguridad y autenticación de usuarios que afectan a la provisión de servicios. Para estar en cumplimiento regulatorio, todos los proveedores deberán implementar autenticación reforzada de clientes, conocida como Strong Customer Authentication o SCA en inglés.
La autenticación reforzada de cliente tiene por objetivo aumentar la seguridad de los servicios Open Banking haciendo que sea más difícil acceder de forma ilícita a los datos bancarios del cliente o iniciar un pago en su nombre. Logra esto sumando nuevos factores de autenticación a los sistemas de inicio de sesión, que ahora requieren que el usuario aporte 2 de 3 factores para acceder a los servicios: algo que conoce, como una contraseña, algo que posee, como un móvil, y algo que es, como una huella dactilar.
Por contra, muchos servicios actuales solo requieren un solo factor de autenticación (generalmente una contraseña), por lo que son menos seguros.
Dos enfoques para abordar la PSD2
La regulación de los servicios de agregación e iniciación de pagos obliga a las empresas a elegir una de dos vías: Por una parte, pueden regularse ellas mismas, certificándose como PISPs (Payment Initiation Service Providers) y AISPs (Account Information Service Providers), y hacer un desarrollo tecnológico interno para crear nuevas herramientas que cumplan con los requisitos de la directiva PSD2; por otra, pueden optar por contratar socios tecnológicos expertos que ofrezcan las soluciones que necesitan y las liberen de la carga regulatoria que supone la PSD2. Ambos enfoques tienen factores positivos y negativos.
Enfoque 1: desarrollo interno y regulación
El primer enfoque consiste en el desarrollo interno y la regulación propia. Bajo este modelo, la empresa contrata un equipo de desarrolladores expertos para crear soluciones tecnológicas a medida que se ajusten a los requerimientos de la PSD2 y permitan que esta se certifique como AISP, PISP, o ambas.
La ventaja de este modelo es que la empresa es completamente independiente y autosuficiente. Es la propietaria de toda la tecnología que emplea y tiene el control sobre la dirección en la que ésta evolucionará a lo largo del tiempo. La contrapartida a este mayor grado de control e independencia son costes más altos, tiempos de llegada a mercado más largos, y un compromiso a largo plazo a invertir en mantenimiento y optimización de sus tecnologías.
Además, en el caso de España, existe el requisito adicional para de obtener la licencia de Entidad de Dinero Electrónico, que tiene un coste importante.
Enfoque 2: externalización con socios tecnológicos expertos
El segundo enfoque consiste en trabajar con un socio tecnológico experto para que este actue como escudo regulatorio. En Unnax denominamos este enfoque Open Banking as a Service. En este caso, la empresa externaliza el desarrollo de las soluciones de agregación bancaria e iniciación de pagos a un tercero regulado como AISP, PISP y EDE.
La ventaja de este modelo es que los costes son inferiores y más estables en el tiempo, y la carga regulatoria recae sobre el tercero en lugar de la empresa. El tiempo de llegada a mercado también es más ágil, puesto que las herramientas a usarse ya están desarrolladas y solo deben implementarse en vez de ser construidas desde 0. En contra está el hecho que la empresa no es la propietaria de la tecnología, lo que resta cierta autonomía y control sobre la dirección de desarrollo de esta.
Externalizar o no externalizar
Pese a faltar poco tiempo para que la PSD2 sea de obligado cumplimiento (la fecha límite es el 14 de septiembre de 2019), los estándares técnicos regulatorios de la directiva siguen evolucionando. Por ello, el proceso de adaptación a la PSD2 puede ser largo y costoso.
Ante este escenario incierto, creemos que externalizar las necesidades tecnológicas y el cumplimiento regulatorio representa un win/win, porque permite a las empresas continuar beneficiándose de las tecnologías de agregación bancaria e iniciación de pagos sin aumentar en gran medida sus responsabilidades regulatorias y sus gastos.
