Tu banco est¨¢ celoso: no quiere m¨¢s ¡®screen scraping¡¯

Es probable que alguien est¨¦ hurgando constantemente en tu cuenta bancaria, y lo hace con tu permiso. Si eres uno de los 400.000 usuarios de Fintonic (o de Mint, por ejemplo, en Estados Unidos) les has autorizado para que se metan en tu banco con una t¨¦cnica llamada screen scraping. Constantemente, se introducen en los servidores de tu banco como si fuesen t¨² (el banco no os distingue), ven c¨®mo te van las cosas y te hacen recomendaciones al respecto. Ojo con esta comisi¨®n, qu¨¦ fortuna te gastas en el seguro del coche, mira qu¨¦ buen cr¨¦dito te puedo ofrecer.

Puede que est¨¦s muy contento con estos servicios de asesor¨ªa financiera poco sofisticada, pero tu banco no est¨¢ tan feliz. A nadie le gusta que le hurguen en su cocina, sobre todo si encima tiene que pagar un precio por tanto escrutinio. A los bancos el screen scraping (literalmente ¡®rascado de pantalla¡¯, tambi¨¦n llamado a veces web scraping) les cuesta dinero: mientras que un particular entra en su cuenta corriente un pu?ado de veces a la semana, estos servicios lo hacen varias veces al d¨ªa, en un rastreo constante, y esas consultas inform¨¢ticas tienen un coste. Es m¨¢s, los bancos peque?os y medianos pueden sufrir incluso ca¨ªdas en su red, especialmente los d¨ªas de m¨¢s actividad, que son el primero y el ¨²ltimo de cada mes.

En unas recientes jornadas sobre medios de pago Carlos P¨¦rez Salda?a, chief information security officer de Abanca, era especialmente cr¨ªtico con el screen scraping: ¡°Cuando un tercero usa las credenciales del cliente, ¨¦ste le ha dado las llaves del reino, y la banca no controla la situaci¨®n¡±. En todo caso, son unas llaves que no abren todas las puertas, pues el cliente facilita a servicios como Fintonic las claves de consulta, pero no las necesarias para las transacciones. Miran pero no tocan.

El screen scraping tampoco est¨¢ muy bien visto por la Autoridad Bancaria Europea (EBA por sus siglas en ingl¨¦s). Tan poco le gusta que lleva meses luchando en Bruselas para que la Comisi¨®n Europea lo prohibiese, aprovechando la entrada en vigor de la directiva PSD2.

Tras ese nombre de robot de la Guerra de las Galaxias se esconde una normativa de enormes implicaciones en los m¨¦todos de pago que utilizaremos los ciudadanos de la Uni¨®n Europea.

Seg¨²n un informe de la consultora Capgemini y el banco BNP Paribas, en la Uni¨®n Europea se realizan anualmente 115.400 millones de operaciones sin efectivo, una cifra que rondar¨¢ los 140.000 millones en 2020. En cierto sentido, ese mercado se liberaliza con la aplicaci¨®n de la PSD2, a partir del 13 de enero en sus primeros aspectos y de forma plena alrededor de la segunda mitad de 2019. ?C¨®mo se produce esa apertura? Los bancos de la UE deben facilitar a terceros, como las fintech, el acceso a los datos financieros de sus clientes, si es que estos lo autorizan, pero tambi¨¦n el acceso a su infraestructura tecnol¨®gica y la posibilidad de iniciar pagos en su nombre. Mirar¨¢n, pero sobre todo tocar¨¢n.

As¨ª que dentro de menos de dos a?os cualquier entidad de la UE, aunque no tenga nada que ver con la banca, podr¨¢ acceder, si le das permiso, a tu cuenta bancaria y pagar en tu nombre. La cuesti¨®n es a trav¨¦s de qu¨¦ v¨ªa tecnol¨®gica. Y responder a esa pregunta ha dado lugar a un pulso entre lobbies, una de las actividades t¨ªpicas en Bruselas.

Por un lado, las fintech defend¨ªan no limitar el screen scraping. Por el suyo, la banca tradicional apostaba por las APIs, argumentando razones de seguridad y de coste. API viene de Application Programing Interface, y b¨¢sicamente es una plataforma de comunicaci¨®n entre programas de software para intercambiar mensajes y datos.

?Y qui¨¦n ha ganado? Los Est¨¢ndares de Regulaci¨®n T¨¦cnica de la PSD2, publicados a finales de noviembre, apuestan por las API, sin prohibir, como se preve¨ªa, el ¡®screen scraping¡¯. Solo lo limita al consentimiento expreso. Es decir, ya no ser¨ªa v¨¢lida una autorizaci¨®n general, sino que tendr¨ªa que ser espec¨ªfica.

El experto en ciberseguridad Pablo Fern¨¢ndez Burgue?o, profesor en el IEB y fundador de la consultora Nevtrace, considera que ¡°las APIs son la v¨ªa m¨¢s eficiente para dar este tipo de servicios¡±, al tiempo que advierte: ¡°Un acceso a todos los datos financieros ser¨ªa desproporcionado, teniendo en cuenta que con malas intenciones se puede hacer casi de todo¡±. En general, le preocupa la despreocupaci¨®n con el acceso a nuestros datos: ¡°No entiendo por qu¨¦ cuando nos bajamos una aplicaci¨®n para hacer sudokus le permitimos tener acceso a nuestra localizaci¨®n¡±.

¡°Nadie de los nuevos competidores est¨¢ en contra de las APIs¡±, recalca por su parte Arturo Gonz¨¢lez, uno de los portavoces de Asociaci¨®n Espa?ola de Fintech y presidente de la tecnol¨®gica Eurobits. Gonz¨¢lez se explica con una analog¨ªa: las APIs ser¨ªan un ascensor, y el screen scraping, unas escaleras. ?Se debe quitar las escaleras porque pongan un ascensor? ?Y si el ascensor no funciona?

Ese es precisamente el miedo de las fintech: que por desidia, falta de presupuesto o incluso mala intenci¨®n los bancos no pongan al servicio de sus nuevos competidores APIs competentes. No hace falta ser especialmente mal pensado para albergar ese temor: ¡°La PSD2, con matices, distingue entre la fabricaci¨®n de productos financieros y su distribuci¨®n¡±, explica Gonz¨¢lez, con lo que los bancos menos espabilados corren el riesgo de convertirse en unas tuber¨ªas tontas por las que corra el negocio que se llevar¨¢n las fintech.?

El matrimonio, forzado por la UE, entre fintech de medios de pago y banca tradicional puede evolucionar hacia la cooperaci¨®n o una fr¨ªa desconfianza. De momento, la guerra del screen scraping apunta a lo segundo: Gonz¨¢lez cuenta que los requisitos t¨¦cnicos se publicaron sin pasar por los servicios de traducci¨®n de la UE para evitar filtraciones a los lobbies. Puede que el consumidor no tenga mucho problema en que un tercero mire en su cuenta corriente, pero en el sector financiero tienen muy claro que la informaci¨®n es poder.