PSD2: el acceso a los datos de clientes, en el punto de mira
Uno de los aspectos a debate de la Segunda Directiva de Servicios de Pagos de la UE, más conocida como PSD2, es cómo articular el acceso a los datos de clientes por parte de terceros. La Autoridad Bancaria Europea (EBA por sus siglas en inglés) se ha pronunciado a favor del acceso a través de ‘interfaces’ de programación de aplicaciones (APIs), que considera más seguras para proteger los datos de los clientes. Una posición que difiere de la adoptada hasta la fecha por la Comisión Europea.
La PSD2 supone una revolución en lo que al sistema de pagos europeo se refiere. Uno de sus pilares es la apertura a terceros por parte de los bancos de servicios relacionados con los pagos. Esta llave permite el acceso de terceros a ciertos datos de los clientes bancarios. Y aquí es donde se genera el debate.
Por un lado, encontramos defensores del acceso a los datos vía ‘screen scraping’, proceso por el cual un tercero hace una copia de información contenida en un sitio web haciéndose pasar por un usuario ordinario. Este método es utilizado generalmente por empresas no bancarias especializadas en servicios financieros para acceder a los datos de los clientes bancarios. Sólo requiere el permiso del cliente para acceder a dichos datos. Es decir, la autorización del banco no sería necesaria, siempre que el tercero esté autorizado o registrado ante la autoridad competente (en España, por ejemplo, sería el Banco de España).
Por otro lado, la banca es partidaria del acceso a través de ‘interfaces’ (probablemente APIs) abiertas desde las entidades bancarias. Una diferencia fundamental es que las APIs se basan en un diálogo nativo máquina a máquina, mientras que en el ‘screen scraping’ la máquina se comunica con una máquina que se hace pasar por una persona.
What is screen scraping? from European Banking Federation on Vimeo
La EBA planteaba ya en su propuesta inicial prohibir el ‘screen scraping’ y permitir que los jugadores no bancarios accedan a los datos de los clientes a través de estas APIs, por razones de seguridad y privacidad de los datos.
La Comisión Europea solicitó a la EBA realizar enmiendas a su texto original y propuso mantener el ‘screen scraping’ como una opción. En concreto, la CE proponía habilitar un acceso a los datos a través de ‘screen scraping’ con identificación del tercero, que se activaría como mecanismo de respaldo en caso de que no funcionasen las APIs.
Sin embargo, la EBA ha rechazado firmemente este método. Sostiene que los supuestos beneficios de mantener el ‘screen scraping’ no son evidentes en comparación con los riesgos que conllevaría para los datos de los clientes. La EBA coincide con la intención de la Comisión de garantizar la accesibilidad de los datos, pero no a través de este medio. En cambio, recomienda aplicar estándares más estrictos para las ‘interfaces’ bancarias.
Esta es la última palabra por parte de la EBA, pero el asunto aún está por resolver. Ahora la pelota está en el tejado de la Comisión, que deberá tomar la decisión. El texto que finalmente sea adoptado por la Comisión deberá ser ratificado por el Consejo y el Parlamento Europeo. Pese a que la Comisión parecía estar del lado del ‘screen scraping’, legislar en este sentido supondría ir en contra de la opinión técnica de la EBA.
La PSD2 entró en vigor en enero de 2016, pero no será hasta 2018 cuando la mayor parte de los países realicen la transposición nacional. Por su parte, este estándar técnico regulatorio (o RTS, por sus siglas en inglés) de autenticación segura (que es el objeto de la discordia) entrará en vigor 18 meses después de su aprobación definitiva, lo que en la práctica llevará a 2019 su aplicación.