Índex de contingut
ToggleQuè és el Open Banking?
L’Open Banking (banca oberta) és un moviment, una tecnologia i alhora una legislació basada en el concepte de Dades obertes (dades obertes) pel qual es dona la possibilitat a l’usuari de controlar les seves dades bancàries i financeres i fer ús d’ells de manera controlada per a accedir a nous productes i/o serveis financers. En aquest article t’expliquem què és l’Open Banking i per a què serveix.
Què és la PSD2?
La PSD2 és una extensió de la PSD1. PSD són les sigles de Payment Services Directive i és la regulació que fa possible la implementació dels conceptes del Open Banking en la comunitat europea.
A l’octubre de 2015, el Parlament Europeu va adoptar la Directiva Europea de Serveis de Pagament, també coneguda com a PSD2. Aquesta nova regulació es va aprovar amb l’objectiu de crear un mercat únic de pagaments, seguint amb l’objectiu de la Unió Europea de crear un model de regulació estàndard en tota Europa, i així promoure la innovació, competència i eficiència en el sector dels pagaments en línia. La llei va passar a ser efectiva en els 27 països membres de la Unió Europea a partir del 13 de gener de 2018, amb un període de transició que va concloure al setembre de 2019.
En breu, sota la legislació de PSD2 l’usuari, prèvia una autorització per part seva, pot posar les seves dades, si ho desitja a la disposició de tercers, per a facilitar nous serveis o facilitar les seves transaccions (pagaments o transferències).
Quins són els objectius del Open Banking i de la PSD2?
La PSD2 té com a objectiu, a través del control de les nostres dades financeres, incentivar la innovació i la competitivitat en el sector bancari, permetent nous productes i serveis financers perquè podem com a clients obtenir més beneficis.
La PSD2 estableix, segons determina la mateixa directiva, quatre clars objectius:
- Contribuir a un mercat de pagaments europeu més integrat i eficient
- Millorar la igualtat de condicions per als proveïdors de serveis de pagament (inclosos nous competidors)
- Fer que els pagaments siguin més segurs
- Protegir els consumidors
Vegem com es concreta això en la pràctica.
APIs bancàries
L’entrada en vigor de la directiva PSD2 obliga els bancs a compartir les dades dels seus clients mitjançant una API (application programming interface) a la qual poden accedir proveïdors externs que comptin amb una llicència de PISP o AISP (vegeu més a baix una definició del que significa).
Una API és un conjunt de funcions i procediments que permeten la creació d’aplicacions que accedeixen a les característiques o dades d’un sistema operatiu, aplicació o un altre servei. En definitiva és una connexió que permet que dos ordinadors es connectin i facin un intercanvi d’informació o executin transaccions sota un protocol segur.
Sota la directiva PSD2 tots els bancs estan obligats des de setembre del 2019 a facilitar aquestes APIs.
La majoria de bancs de la comunitat europea ja les tenen implementades. A Espanya la qualitat i usabilitat d’aquestes APIs és desigual encara que en els últims mesos ha millorat significativament. Es pot distingir als bancs tecnològicament ben preparats per la bona o mala implementació d’aquestes APIs.
El Regne Unit ha estat pioner en la implementació del Open Banking des del 2015 i un exemple per a altres països europeus. En altres jurisdiccions s’estan implementant regulacions pròpies en la mateixa línia i els bancs estan obrint els seus APIs. Als EUA encara que no existeix una regulació específica per al Open Banking això no ha impedit que des de fa més d’una dècada es desenvolupin diferents serveis i utilitats basats en aquests conceptes. A Llatinoamèrica hi ha iniciatives sobre aquest tema a Mèxic i el Brasil. En altres països com Colòmbia o l’Argentina també hi ha alguna iniciativa en aquesta direcció.
Noves institucions que garanteixen la seguretat
Més enllà de les APIs bancàries s’estableixen dos nous serveis als quals determinades entitats o Fintechs poden accedir prèvia autorització del banc central dels països de la comunitat europea.
Serveis d’Iniciació de Pagament: es regula l’activitat orientada a facilitar la iniciació de pagaments. En anglès s’utilitzen les sigles PISP (Payment Initiation Service Provider) per a referir-se als proveïdors de serveis d’iniciació de pagaments.
Serveis d’Agregació Bancària: es regula una nova activitat orientada a facilitar l’obtenció de dades i moviments bancaris. En anglès es fan servir les sigles AISP (Account Information Service Provider) per a referir-se als proveïdors que faciliten informació de comptes bancaris també coneguts com a serveis d’agregació bancària.
Sovint una mateixa entitat financera o fintech pot proveir alhora serveis d’iniciació de pagaments i d’agregació bancària.
Iniciació de pagaments (PISP)
A la pràctica, el servei d’iniciació de pagaments consisteix en el fet que un PISP (Payment Initiation Service Provider o proveïdor de serveis d’iniciació de pagaments) garanteix l’execució segura de pagaments o transferències sota el control de l’usuari, és a dir de la prèvia autorització de l’usuari.
En definitiva, aquesta és una fórmula eficient per la qual l’usuari es connecta al seu banc amb les seves claus habituals des de la mateixa plataforma del producte o servei al qual està accedint i executa una transferència o un pagament, sent una alternativa eficient i normalment més econòmica que el pagament amb targeta de crèdit.
Agregació bancària (AISP)
A la pràctica el servei d’iniciació d’agregació consisteix en el fet que un AISP (Account Information Service Provider o proveïdor de serveis d’informació bancària) garanteix l’accés, prèvia autorització de l’usuari, a la informació i transaccions dels seus comptes bancaris. Això permet per exemple facilitar de manera eficient i amb poca fricció, per al client, les activitats imprescindibles de coneixement del client a les quals està obligada una entitat regulada com inbestMe. Un cas pràctic d’això és, validar la titularitat del compte bancari sense haver d’aportar documentació.
inbestMe integra Open Banking/PSD2 en la seva plataforma
Una de les principals preocupacions d’inbestMe és simplificar al màxim les transaccions i l’operativa dels nostres usuaris.
A partir de l’1/7/2022 i després de diversos mesos d’implementació per part del nostre equip de desenvolupament, hem integrat en la nostra plataforma, tant funcionalitat per a facilitar la iniciació de pagaments (llegeixi’s transferències) com d’agregació bancària.
Pots veure més detalls en com inbestMe integra Open Banking/PSD2 en la seva plataforma.
Anexo1: sobre els nous aspectes de seguretat en PSD2
Baix PSD2 també es regulen aspectes de seguretat, als quals, en el moment d’escriure aquest article, ja comencem a estar acostumats. Aquestes mesures estan ja implementades per totes les institucions financeres.
La seguretat és per a molts consumidors una gran preocupació. La idea és que, d’una banda, es dona l’accés a les dades, però aquest accés a dades bancàries ha de ser robust: la regulació de PSD2 ve associada a polítiques d’accés i maneres d’autenticar a una persona molt estrictes.
PSD2 porta associat el concepte de Strong Customer Authentication (SCA o en Espanyol Autenticació Reforçada de Client, ARC) i va una mica més enllà de l’autenticació de 2 factors.
Per això, un proveïdor de serveis baix PSD”, haurà d’autenticar a un usuari combinant 3 factors de seguretat:
Primer factor: alguna cosa que un usuari ja sap. Això es refereix a la ja tradicional mesura de seguretat d’introduir una contrasenya.
Segon factor: alguna cosa que només posseeix l’usuari. Això es refereix a un dispositiu que posseeix l’usuari, com un dispositiu mòbil que utilitza per a autenticar-se.
Tercer factor: alguna cosa que l’usuari realment és (inherencia). Això es refereix a alguna cosa que distingeix a un usuari de tots els altres. Com una empremta dactilar o reconeixement de veu.
Una vegada que un usuari passa el procés de SCA, un proveïdor de serveis finalment pot sol·licitar el consentiment per a obtenir el tipus de dades que pot processar.
Segurament el lector associarà aquests processos al que, ja en aquests moments ha de fer per a accedir als seus comptes bancaris o altres serveis financers, que sovint és enutjós, però ens garanteix un alt nivell de seguretat en l’accés a les nostres dades.
Anexo2: llista dels països on el Open Banking/PSD2 està vigent a Europa
Nota: el fet que estigui vigent la PSD2 en un país no assegura que hi hagi una bona cobertura. Per la informació de què disposem, els països en negreta són els que tenen una millor cobertura:
- Àustria
- Bèlgica
- Bulgària
- República Txeca
- Xipre
- Dinamarca
- Estònia
- Finlàndia
- França
- Alemanya
- Grècia
- Hongria
- Islàndia
- Irlanda
- Itàlia
- Letònia
- Liechtenstein
- Lituània
- Luxemburg
- Malta
- Països Baixos
- Noruega
- Polònia
- Portugal
- Romania
- Eslovàquia
- Eslovènia
- Espanya
- Suècia
- Regne Unit (1)
- El Regne Unit ja no pertany a la CE ni a l’EEA (European Economic Agreement). Però sí que manté actives polítiques d’Open Banking.