La segunda Directiva Europea de Servicios de Pago o PSD2 (por sus siglas en inglés, Payment Services Directive 2) ha transitado su primer año de vida tratando de aumentar la seguridad de los pagos en Europa, intentando promover la innovación y favoreciendo la adaptación de los servicios bancarios a las nuevas tecnologías. Esta ambiciosa regulación conlleva cambios fundamentales en la industria al dar acceso a terceros a la infraestructura de los bancos. Como todo gran cambio, no está siendo sencillo.
La PSD2, espejo en el que se miran otras naciones en Asia y América Latina y reflejo a su vez de otras experiencias singulares, como la de Reino Unido, de la que también daremos cuenta en este texto, ha entrado progresivamente en vigor entre el 13 de enero de 2018 y el 14 de septiembre de 2019, y debería estar culminando justo en este mes de marzo. La Autoridad Bancaria Europea (EBA) decidió ya entonces conceder una moratoria de 12 meses ante la poca preparación de buena parte de la industria, principalmente algunos bancos tradicionales.
En ese momento algunos países aprovecharon para alargar el nuevo plazo hasta los 18 meses, algo que pedían también algunos actores en nuestro país, aun en contra del criterio del Banco de España. Finalmente, un mes después, en octubre de 2019, la EBA cedió hasta 15 meses extra, y, posteriormente, lo amplió a 18 meses. Hoy hablamos pues de marzo de 2021 como última frontera para el total despliegue de la PSD2.
BBVA fue una de las primeras instituciones financieras en abrir su plataforma y sus servicios core a través de las APIs abiertas con BBVA API_Market, yendo siempre un paso por delante de una regulación disruptiva, que como tal está pillando con el paso cambiado a muchos actores.
El stop del SCA: las fintech esperan
El principal motivo que llevó a la EBA a ceder y postergar las fechas límite está muy relacionado con la seguridad de los datos de los usuarios. La autoridad bancaria europea fue consciente de que sin un total despliegue efectivo de la autenticación reforzada del cliente (SCA, de sus siglas en inglés Strong Client Authentication), también conocida como autenticación reforzada en dos pasos, la seguridad de los datos críticos podía quedar en entredicho.
Como explica Nick Caley, vicepresidente de Servicios Financieros y Regulación de ForgeRock, una compañía de gestión de identidad digital y autenticación en este artículo de FintechFutures, la SCA requiere que los pagos electrónicos se realicen con autenticación de múltiples factores para blindar la seguridad de este nuevo ecosistema.
Pese a ello, muchos bancos europeos han seguido demorando su implementación de la PSD2, causando una gran frustración en la comunidad fintech, y entre las empresas y startups que la conforman hay un malestar creciente porque las APIs de calidad que necesitan para que sus innovaciones bancarias funcionen se ven postergadas por la lentitud de algunos actores.
Qué esperar en 2020
El mercado no se detiene. A pesar de los retrasos, la PSD2 se convertirá en una realidad para la banca diaria y con el tiempo se extenderá aún más para permitir el open banking efectivo entre todos los países de la UE. El retraso de algunos en implementar las medidas regulatorias y sus derivadas, así como una mejora sustancial de toda la estrategia de experiencia de usuario, ahora en el centro de toda operativa de negocio, será una ventaja competitiva para los nuevos actores. Entre ellos se encuentran tanto startups fintech como entidades tradicionales que sí han apostado por este camino incluso desde antes de la norma, como es el caso de BBVA.
Los bancos ahora tienen hasta marzo de 2021 cumplir con la PSD2, incluido el SCA. Pero no deberían darse el lujo de ver esta extensión de 18 meses como una oportunidad para retrasar su transformación digital. Los jugadores tecnológicos más versátiles y fuertes, los GAFA (por Google, Apple, Facebook y Amazon) se están moviendo rápidamente en este espacio. Apple lanzó con gran éxito una tarjeta de crédito con Goldman Sachs, mientras que Google adelantó ya en noviembre su intención de ofrecer cuentas corrientes a los consumidores.
Estos gigantes manejan una cantidad tal de datos del usuario medio que pueden dar con las teclas de UX y de user journey de una forma muy rápida y certera. En este 2020 esperamos pues que comience a haber una reacción mucho más significativa por parte de los bancos y proveedores de servicios de pago gestores de cuenta, o ASSPS, por sus siglas en inglés.
Reino Unido multiplica sus cifras
El pasado año fue realmente bueno para la modernización de la industria financiera británica. Pese a los vaivenes causados política y socialmente por el Brexit, los números fueron rotundos: prácticamente doblaron el número de operadores de open banking regulados, pasando de 104 a 204, y se realizaron 1.250 millones de llamadas a APIs dentro del ecosistema. Son datos del organismo oficial Open Banking Implementation Entity (OBIE).
El dinamismo mostrado por el país anglosajón en el desarrollo de su estrategia de open banking se puede palpar en hitos como por ejemplo la entrada de Tesco (la mayor distribuidora de alimentación del país) en el ecosistema de open banking en marzo; o en el sucedido dos meses más tarde, cuando el banco NatWest se convirtió en el primero en ofrecer una alternativa de pago a las compras online sin necesidad de tarjeta.
Para el año en curso, los objetivos que se marca Reino Unido según la propia OBIE pasan por terminar de implementar el marco de open banking y mejorar la usabilidad y la funcionalidad de su oferta conjunta; aumentar la adopción de open banking por parte de los clientes (uno de los caballos de batalla globales, por la reticencia de éstos a compartir sus datos); expandir el ecosistema de proveedores externos y trabajar con la industria y los reguladores para ampliar el alcance de los servicios financieros conectados.