Es probable que alguien esté hurgando constantemente en tu cuenta bancaria, y lo hace con tu permiso. Si eres uno de los 400.000 usuarios de Fintonic (o de Mint, por ejemplo, en Estados Unidos) les has autorizado para que se metan en tu banco con una técnica llamada screen scraping. Constantemente, se introducen en los servidores de tu banco como si fuesen tú (el banco no os distingue), ven cómo te van las cosas y te hacen recomendaciones al respecto. Ojo con esta comisión, qué fortuna te gastas en el seguro del coche, mira qué buen crédito te puedo ofrecer.

Puede que estés muy contento con estos servicios de asesoría financiera poco sofisticada, pero tu banco no está tan feliz. A nadie le gusta que le hurguen en su cocina, sobre todo si encima tiene que pagar un precio por tanto escrutinio. A los bancos el screen scraping (literalmente ‘rascado de pantalla’, también llamado a veces web scraping) les cuesta dinero: mientras que un particular entra en su cuenta corriente un puñado de veces a la semana, estos servicios lo hacen varias veces al día, en un rastreo constante, y esas consultas informáticas tienen un coste. Es más, los bancos pequeños y medianos pueden sufrir incluso caídas en su red, especialmente los días de más actividad, que son el primero y el último de cada mes.

En unas recientes jornadas sobre medios de pago Carlos Pérez Saldaña, chief information security officer de Abanca, era especialmente crítico con el screen scraping: “Cuando un tercero usa las credenciales del cliente, éste le ha dado las llaves del reino, y la banca no controla la situación”. En todo caso, son unas llaves que no abren todas las puertas, pues el cliente facilita a servicios como Fintonic las claves de consulta, pero no las necesarias para las transacciones. Miran pero no tocan.

El screen scraping tampoco está muy bien visto por la Autoridad Bancaria Europea (EBA por sus siglas en inglés). Tan poco le gusta que lleva meses luchando en Bruselas para que la Comisión Europea lo prohibiese, aprovechando la entrada en vigor de la directiva PSD2.

Tras ese nombre de robot de la Guerra de las Galaxias se esconde una normativa de enormes implicaciones en los métodos de pago que utilizaremos los ciudadanos de la Unión Europea.

Según un informe de la consultora Capgemini y el banco BNP Paribas, en la Unión Europea se realizan anualmente 115.400 millones de operaciones sin efectivo, una cifra que rondará los 140.000 millones en 2020. En cierto sentido, ese mercado se liberaliza con la aplicación de la PSD2, a partir del 13 de enero en sus primeros aspectos y de forma plena alrededor de la segunda mitad de 2019. ¿Cómo se produce esa apertura? Los bancos de la UE deben facilitar a terceros, como las fintech, el acceso a los datos financieros de sus clientes, si es que estos lo autorizan, pero también el acceso a su infraestructura tecnológica y la posibilidad de iniciar pagos en su nombre. Mirarán, pero sobre todo tocarán.

Así que dentro de menos de dos años cualquier entidad de la UE, aunque no tenga nada que ver con la banca, podrá acceder, si le das permiso, a tu cuenta bancaria y pagar en tu nombre. La cuestión es a través de qué vía tecnológica. Y responder a esa pregunta ha dado lugar a un pulso entre lobbies, una de las actividades típicas en Bruselas.

Por un lado, las fintech defendían no limitar el screen scraping. Por el suyo, la banca tradicional apostaba por las APIs, argumentando razones de seguridad y de coste. API viene de Application Programing Interface, y básicamente es una plataforma de comunicación entre programas de software para intercambiar mensajes y datos.

¿Y quién ha ganado? Los Estándares de Regulación Técnica de la PSD2, publicados a finales de noviembre, apuestan por las API, sin prohibir, como se preveía, el ‘screen scraping’. Solo lo limita al consentimiento expreso. Es decir, ya no sería válida una autorización general, sino que tendría que ser específica.

El experto en ciberseguridad Pablo Fernández Burgueño, profesor en el IEB y fundador de la consultora Nevtrace, considera que “las APIs son la vía más eficiente para dar este tipo de servicios”, al tiempo que advierte: “Un acceso a todos los datos financieros sería desproporcionado, teniendo en cuenta que con malas intenciones se puede hacer casi de todo”. En general, le preocupa la despreocupación con el acceso a nuestros datos: “No entiendo por qué cuando nos bajamos una aplicación para hacer sudokus le permitimos tener acceso a nuestra localización”.

“Nadie de los nuevos competidores está en contra de las APIs”, recalca por su parte Arturo González, uno de los portavoces de Asociación Española de Fintech y presidente de la tecnológica Eurobits. González se explica con una analogía: las APIs serían un ascensor, y el screen scraping, unas escaleras. ¿Se debe quitar las escaleras porque pongan un ascensor? ¿Y si el ascensor no funciona?

Ese es precisamente el miedo de las fintech: que por desidia, falta de presupuesto o incluso mala intención los bancos no pongan al servicio de sus nuevos competidores APIs competentes. No hace falta ser especialmente mal pensado para albergar ese temor: “La PSD2, con matices, distingue entre la fabricación de productos financieros y su distribución”, explica González, con lo que los bancos menos espabilados corren el riesgo de convertirse en unas tuberías tontas por las que corra el negocio que se llevarán las fintech

El matrimonio, forzado por la UE, entre fintech de medios de pago y banca tradicional puede evolucionar hacia la cooperación o una fría desconfianza. De momento, la guerra del screen scraping apunta a lo segundo: González cuenta que los requisitos técnicos se publicaron sin pasar por los servicios de traducción de la UE para evitar filtraciones a los lobbies. Puede que el consumidor no tenga mucho problema en que un tercero mire en su cuenta corriente, pero en el sector financiero tienen muy claro que la información es poder.

Fuente: El País