Hace ya medio año que la nueva directiva europea 2015/2366, más familiarmente conocida como PSD2, entraba en vigor en todo el territorio de la Unión Europea. Su nombre ─Segunda versión de la Directiva de Servicios de Pago─ apenas nos da una pista de por dónde van los tiros. No obstante, su objetivo declarado es claro: “facilitar la innovación, la competencia y la eficiencia”. ¿La idea detrás? Ir en la dirección de un mercado digital único que simplifique el ecosistema para empresas y ciudadanos de toda la Unión.
En palabras de Jurgen Vroegh, Global Head of Payments de ING, “PSD2 es un hito importante en el camino hacia un mercado abierto de servicios financieros. Será una gran prueba para una gran variedad de empresas que tendrán que replantearse y redefinir sus modelos de negocio, incluyéndonos a nosotros. Este es el game changer de la década, la apertura inevitable e imparable de la infraestructura de pagos para la competencia y los nuevos participantes”.
Puesto en perspectiva, en una economía totalmente dependiente de las transacciones electrónicas y automáticas, se trata básicamente de eliminar barreras, abaratar y simplificar los procesos que permiten que el dinero de los consumidores pueda llegar a los proveedores de productos y servicios, así como evitar que aquellos a quienes confiamos nuestro dinero sean los únicos que pueden explotar la pléyade de datos que el movimiento del mismo genera.
Todo ello, y esto es importante, introduciendo requerimientos de seguridad mucho más elevados, que eviten que esas nuevas facilidades también lo sean para los amigos de lo ajeno, pues estas medidas afectan a dos facetas críticas del individuo moderno: el acceso a su dinero y la gestión de su identidad digital.
En lo referente a esta última parte, hablamos con Emilio Calvo, que tiene un largo recorrido en el sector a sus espaldas: 14 años relacionado con las nuevas tecnologías en banca, cuatro de ellos gestionando proyectos de movilidad y como Business Partner en BBVA, y actualmente como Chief Digital Officer en la consultora tecnológica Sngular, donde ha aportado su expertise a diversas entidades financieras en España, México y Estados Unidos y a las dos principales AISPs del país, Fintonic y la desaparecida Mooverang. Su visión sobre el tema es que PSD2 es “una excelente oportunidad para ofrecer mejores servicios a los clientes, más personalizados a sus necesidades en cada momento vital, gracias a un conocimiento más completo de su estado financiero y sus hábitos de consumo. Es también una oportunidad de convertir esa mayor cantidad de datos en conocimiento, y monetizarlos tanto en el B2C como en el B2B”.
El competidor que surgió del PSD2
En todo caso, esto tiene implicaciones importantes para la banca, que ahora no tiene más remedio que, no solo permitir acceder, sino facilitar el acceso a terceros a lo que antes era su jardín privado. Aparecen, y se regulan, dos nuevas figuras: los Proveedores de Servicios de Iniciación de Pagos (PISPs), que van a poder ordenar pagos en nuestro nombre desde nuestras cuentas y productos líquidos; y los Agregadores o Proveedores de Servicio de Información de Cuentas (AISPs), que van a poder acceder a nuestros datos (cuentas, productos, movimientos y balances) para ofrecernos servicios, que irán desde la simple información de posiciones hasta la recomendación de productos en base a nuestro perfil financiero.
En palabras de Emilio Calvo, de Sngular, en el campo B2C se trata de conseguir “un aumento de la conversión, dejando de hacer campañas de marketing generalistas, para ofrecer lo que el cliente necesita cuando lo necesita”. Por su parte, cree que el secreto en el B2B está en ofrecer “soluciones para empresas que pongan a disposición ese conocimiento de los hábitos de compra de las personas para que mejoren sus negocios”.
¿Y esto cómo se materializa? José Manuel de la Chica, en su papel de Venture Solutions Architect de BBVA, lo deja claro: “Aunque en la PSD2 nunca se habla expresamente de APIs, la mayoría de profesionales del sector tecnológico y financiero damos por hecho que las APIs serán el medio técnico que permitirá a los bancos cumplir con lo que establece la normativa”. Esto, en lenguaje no técnico, quiere decir que los bancos tendrán que habilitar, en sus infraestructuras de datos, puntos de acceso a los que estos nuevos agentes puedan conectarse para realizar estas operaciones y proporcionar la información necesaria para que puedan usar estos puntos de acceso.
Las APIs, también en palabras del propio De la Chica, “han hecho crecer exponencialmente la economía colaborativa de Uber o Airbnb, de medios de comunicación y distribución de contenidos (NYT, BBC, Marvel), viajes, turismo, sector energético y del transporte, tanto de viajeros como de mercancías o logística – Expedia, Amadeus o Sabre apalancan en sus APIs gran parte de su negocio, UPS, FedEx – y en especial ya en el área financiera, el sector Fintech, y de pagos online con clásicos como PayPal, Stripe o Venmo o grandes players como Dwolla, LendingClub o CardConnect.”
Los bancos tienen dos nuevos frentes: cumplir con las disposiciones de la directiva para permitir que terceros accedan a sus datos y limitar la pérdida de negocio que pueden implicar estos nuevos actores
Este escenario genera a la banca dos nuevos frentes a los que atender: por un lado, cumplir con las disposiciones de esta nueva directiva para permitir a estos terceros acceder a los datos; por otro, limitar la pérdida de negocio que pueden implicar estos nuevos actores mediante el temido proceso de desintermediación (el hecho de que no se necesite hacer uso de las aplicaciones o servicios para clientes del banco para operar con o tener controlado nuestro dinero). Asimismo, se abre ante ellos una oportunidad: ocupar parte del espacio que podrían ocupar estos terceros, es decir, crear productos y servicios que aprovechen las ventajas que la PSD2 trae a los clientes de las entidades.
El plan B de los bancos
BBVA ha tirado por la calle de en medio y aprovecha el esfuerzo que implica preparar esas APIs para hacer negocio. Con su API Market, ofrece “una plataforma global y abierta de APIs que permite acceder a soluciones financieras de manera ágil e implementarlas fácilmente en tu empresa”.
Desde su marketplace de APIs, los desarrolladores pueden encontrar la información necesaria para acceder a los datos de perfil de los usuarios, de sus cuentas, tarjetas, préstamos preconcedidos, integrar Alipay, perfilado de usuarios o realizar pagos desde sus cuentas. Es decir, un conjunto extendido de lo que serían las exigencias de la PSD2, algo más ambicioso que propuestas más conservadoras ─pero técnicamente muy solventes─ como el Developer Portal de ING.
De acuerdo a Ron van Kemenade, CIO de ING, “al ponerle a nuestros desarrolladores internos las cosas fáciles en el acceso a nuestras APIs, aceleramos la digitalización del banco a nivel mundial. Nos complace expandir esta capacidad a nuestros clientes y terceros seleccionados”.
En este camino, para competir en un nuevo mercado tan rápido y cambiante que desafía la velocidad de reacción de unas entidades en las que su gran tamaño se convierte en una desventaja frente a startups que lanzan pruebas de concepto, pivotan con rapidez y se guían por el principio del fail fast, las propias entidades buscan nuevas fórmulas. Según comentan desde el propio BBVA, “los servicios API ofrecidos por este portal son provistos por BBVA OP3N, S.L., una entidad no financiera que proporciona servicios de integración tecnológica con los sistemas de BBVA fuera del ámbito de PSD2, ofreciendo funcionalidades adicionales a las especificadas en la regulación.”
Los bancos se han apresurado a lanzar aplicaciones que aprovechen la regulación. Es el caso de Money Plan de Banco Santander, del agregador Yolt de ING o de la aplicación móvil de BBVA, que permite agregar cuentas de otras entidades
Aparte de cumplir con ella, los bancos también se han apresurado a lanzar aplicaciones que aprovechen la regulación. Es el caso de Money Plan, de Banco Santander, que, usando los servicios de agregación de la española Eurobits Technologies, aporta un servicio de valor añadido sólo para sus clientes, pero haciendo uso de la nueva flexibilidad impuesta por la regulación. “Es un producto pensado para PSD2”, señalan desde el banco, permitiendo acceder a las posiciones de otras entidades. No son desde luego los únicos; como ejemplos, ING lanzó hace tiempo su agregador Yolt en el Reino Unido; y BBVA ya permite agregar, desde su aplicación de banca móvil, cuentas de otros bancos.
Dinero + datos = doble seguridad
Pero tras esa primera fecha de principios de este año quedaron algunos temas regulatorios pendientes. Por ejemplo, será en septiembre de 2018 cuando algunas de las reglas relacionadas con la autenticación de los usuarios y la seguridad en las comunicaciones entrarán en vigor, y la implementación de las mismas no podrá extenderse más allá del primer o segundo trimestre de 2019.
Y es que el tema de la seguridad es uno de los más críticos a tratar en este nuevo marco, para tener controlados los dos mayores riesgos asociados a todas estas nuevas formas de acceder a nuestras cuentas: que se abuse de ellas en nuevas formas de fraude electrónico y que esto erosione la confianza de los usuarios, un elemento clave para sacar verdadero partido a todas las ventajas que ofrece la nueva regulación. Al respecto, la Autoridad Bancaria Europea publicó hace algo más de un año su borrador final sobre Autenticación Fuerte de Usuarios (SCA) y Comunicaciones Seguras.
Hasta ahora, servicios como los agregadores externos tenían que recurrir a métodos poco ortodoxos como el screen scraping; es decir, hacerse pasar por accesos de usuarios humanos a los sistemas web o móviles y extraer la información de las “pantallas” generadas por estos sistemas. Con la nueva normativa, se prohíbe el screen scraping, aunque se permite un tipo de acceso que se parece bastante a él. Eso sí, los iniciadores de pagos que usen este sistema deberán firmar los mensajes digitalmente para identificarse, y si el banco proporciona una API dedicada, están obligados a usarla.
La competencia más peligrosa de los bancos ya no proviene de su propio sector, sino del mundo de la tecnología, tanto de pequeñas startups con gran capacidad de maniobra y costes menores como de grandes empresas como Google, Apple, Facebook, Amazon, Paypal, Baidu…
Otro elemento clave de la regulación es que la autenticación corre a cargo del banco, que será el responsable de asegurarse de que detrás de toda operación está la autorización de su cliente.
PSD2, en definitiva, está siendo la palanca que está acelerando unos procesos de digitalización que las entidades bancarias ya tenían iniciados e incluso muy avanzados, por pura supervivencia en un mundo en el que la competencia más peligrosa ya no viene desde dentro del sector sino del mundo de la tecnología, tanto de pequeñas startups con gran capacidad de maniobra y costes infinitamente menores como de grandes empresas como Google, Apple, Facebook, Amazon, Paypal, Baidu, Tencent o Alibaba.
Imágenes / iStock
