BBVA API Market
Desde startups fintech hasta compañías que buscan mejorar los servicios que ofrecen a clientes, empleados y proveedores, estos nuevos actores han encontrado en la PSD2 una aliada a la hora de completar sus servicios y plantear nuevas propuestas de valor añadido en sus negocios.
A pesar de que la adaptación a la PSD2 ha sido irregular y no todas las entidades han caminado al mismo ritmo, BBVA ha sido una de las pioneras a la hora de abrirse a este nuevo paradigma de colaboración gracias a BBVA API_Market, un importante repositorio de APIs en el que, además, encontramos soluciones compuestas que tienen como fin ofrecer un paquete de servicios más completo y con una finalidad concreta.
Tal es el caso de APIs Normativas, la solución diseñada y gestionada por BBVA para cumplir con todas las normativas recogidas en los distintos países y, más concretamente en este caso, con la regulación europea PSD2.
Ana Climente es la responsable de Open Banking en BBVA España y Product Owner de esta solución. Anteriormente, era responsable de Transformación de clientes empresariales en BBVA España, liderando el desarrollo de soluciones digitales basadas en datos para empresas, compañías e instituciones, que ayuden al cliente a tomar mejores decisiones. Hemos hablado con ella para que nos aporte un punto de vista experto y desde la experiencia de haber liderado el proyecto de la solución APIs Normativas
P.: ¿Qué ventajas ofrece implementar una solución como APIs Normativas en una empresa fintech? ¿Tiene utilidad en otro tipo de sectores?
A.C.: Hoy en día, las compañías fintech desempeñan un papel decisivo dentro del escenario de la PSD2: han sido un importante motor de innovación para el sector bancario y se han constituido como industria. El acceso a la base amplia de clientes de la banca tradicional por medio de APIs abiertas les supone un paso para avanzar en el desarrollo de nuevos modelos de negocio, y productos y servicios alternativos.
PSD2 no es sólo una directiva europea a la que dar cumplimiento, ni una regulación aislada, es el punto de partida de un nuevo ecosistema financiero abierto. Junto con otras iniciativas, crea un marco favorable para la innovación e incrementa la competencia. Crea oportunidades para empresas de cualquier sector. Pero al que realmente beneficia es al cliente, que es el verdadero propietario de sus datos y decide con quien compartirlos.
P.: A nivel de normativa, ¿qué implica la PSD2 para un negocio que no tenga que ver necesariamente con el ámbito fintech? ¿Cómo le afecta y qué partido puede sacar de ella?
A.C.: Las grandes empresas de tecnología, las telcos y las empresas de cualquier sector tienen también la posibilidad de solicitar la licencia para establecerse como proveedor de servicios de pago y poder ofrecer los servicios regulados por PSD2.
Además, aún sin tener licencia, empresas de cualquier sector pueden acceder a nuevas soluciones de valor añadido de terceros basados en servicios de PSD2, tanto para ofrecerlos a sus clientes – por ejemplo, completar la oferta de medios de pago en su comercio con el pago contra cuenta —como para mejorar y agilizar sus procesos internos – sería el caso de mejorar la calificación de riesgo de cada cliente en base a la información financiera de sus cuentas de pago—.
P.: ¿Cómo ha sido el proceso de desarrollar las APIs normativas de PSD2? ¿Qué desafíos se ha encontrado BBVA en el camino?
A.C.: La adaptación a PSD2 ha supuesto un reto para la banca, con implicaciones tanto en canales propios como en el desarrollo de APIs normativas.
El sector financiero ha debido transformar sus estructuras organizativas, su dependencia de tecnologías anteriores y unas formas de trabajar muy arraigadas. Además, las entidades han tenido que aprender a trabajar con las fintech y otros nuevos actores. En nuestro caso, BBVA ya había dado una serie de pasos mucho antes para anticiparse tecnológica, cultural y comercialmente para el nuevo mundo del open banking.
Al no existir estándares previos, a nivel europeo, han jugado un papel predominante las decisiones de la comunidad de desarrolladores y los profesionales del sector financiero, no sólo con respecto a las APIs como vehículos para materializar los mandatos de PSD2, sino también sobre los requisitos técnicos de esas APIs.
En lo referente al acceso a los nuevos servicios, ha sido necesaria la estandarización de los protocolos de acceso y autenticación, para simplificar la puesta en marcha y operativa a todas las partes. También se han tenido que hacer disponibles entornos de sandbox, para facilitar la experimentación e innovación previa en un entorno “de prueba” cómodo y compatible.
Para facilitar ese acceso, en muchos países europeos, las entidades financieras exponen sus APIs en soluciones colaborativas del sector financiero que permiten a nuevos actores conectar con distintas entidades financieras fácilmente, de la misma forma y contando con un soporte único. Es el caso de BBVA, que participa en la plataforma sectorial de Redsys.
En el ámbito de la seguridad, las entidades bancarias hemos tenido que actualizar los elementos de autenticación que facilitamos a nuestros clientes, también para las compras online, para cumplir el nuevo requisito de seguridad de PSD2, lo que se conoce como Autenticación Reforzada de Clientes (SCA, por sus siglas en inglés).
P.: A nivel de seguridad, ¿qué garantías ofrece la solución APIs normativas? ¿Cómo se gestiona el acceso a los datos? ¿Qué papel tienen los distintos actores implicados (clientes, negocios, BBVA)?
A.C.: En primer lugar, solo las entidades de pago que disponen de licencia para estos nuevos servicios pueden prestarlos. Para ello, tienen que cumplir con reglas similares a las de otros proveedores de servicios de pago tradicionales: registro, autorización y supervisión por las autoridades competentes. Además, en sus comunicaciones con las entidades financieras, se identifican mediante un certificado de identidad digital eIDAS.
Adicionalmente, todos los proveedores de servicios de pago (bancos, instituciones de pago o nuevos proveedores) deben cumplir con el reglamento de protección de datos cuando procesan datos personales para servicios de pago y deben informar a sus clientes sobre cómo harán ese procesamiento.
Por otro lado, los estándares técnicos regulatorios (RTS, por sus siglas en inglés) que forman parte de PSD2, garantizan un mayor nivel de seguridad en los pagos de bienes y servicios en Europa, así como en el acceso a los datos bancarios de clientes por parte de terceros.
En concreto, para las APIs Normativas, OAuth es el protocolo de seguridad que se basa en el uso de tokens como proceso de autenticación y acceso. El usuario se autentica mediante sus claves de banca online, tanto por seguridad como por conveniencia. El protocolo de seguridad en las comunicaciones garantiza que únicamente el titular de una cuenta ejerce el control sobre la transmisión de sus datos financieros y no puede llevarse a cabo ningún envío de sus datos a un tercero sin su consentimiento.
P.: ¿Qué tipo de funcionalidades ofrecen las APIs relativas a PSD2 combinadas entre sí, frente a su uso individual?
A.C.: La combinación de las APIs de información de cuentas e iniciación de pagos dota a los terceros de unas capacidades muy completas. Por un lado, la API Accounts PSD2 les permite facilitar a clientes información agregada sobre sus cuentas de pago en cualquier entidad, y por otro, les facilita conocer a sus clientes y ofrecerles servicios personalizados basados en datos. Es el caso de soluciones de Personal Financial Manager (PFM) o Business Financial Manager (BFM). Con la API Payments PSD2, los terceros pueden complementar esas soluciones con capacidades operativas, de modo que el cliente pueda realizar su principal actividad financiera desde un único punto.
BBVA, por ejemplo, ha desarrollado tanto de servicio de agregación de particulares como BBVA One View para empresas, con un resultado muy positivo. Estas soluciones permiten al cliente tomar mejores decisiones, de modo que tenemos un impacto positivo en su día a día y le ayudamos a alcanzar sus objetivos vitales y de negocio.
P.: ¿Cómo es el proceso de integración de la solución APIs normativas en el ecosistema de una empresa?
A.C.: En el caso de BBVA, es muy sencillo. Como comentaba antes, nuestra solución de APIs normativas PSD2 se expone a través de Redsys, una plataforma colaborativa sectorial. En esta plataforma participamos actualmente más de 80 entidades, de modo que los terceros autorizados acceden con una única conexión a las APIs de todas estas entidades.
Una vez cumplidos todos los procedimientos de registro que exige la normativa, los terceros realizan pruebas en el entorno de sandbox para confirmar que sus desarrollos se integran correctamente con nuestras APIs. El siguiente paso es el acceso a través del entorno real (producción) con certificado eIDAS. Este permite la identificación del tercero y es un requisito normativo de PSD2. Desde ese momento, ya se podría prestar los servicios regulados por PSD2, contando por supuesto con el consentimiento del cliente.
P.: ¿Cómo contribuyen estas APIs al proceso de transformación digital de un negocio?
A.C.: Hoy los negocios tienen necesidades financieras que van más allá de resolver sus problemas en relación con la infraestructura que rodea al dinero: buscan un partner estratégico, un asesor personalizado. En BBVA ponemos la transformación al servicio de las empresas, aprovechando las nuevas capacidades tecnológicas. La rapidez y sencillez de integración de servicios vía APIs permite a las empresas disponer de información en un único punto y en tiempo real, agilizando sus procesos. Gracias al big data, esto se traduce en ahorro de tiempo, mayor control de su tesorería y poder anticiparse a hechos relevantes que ocurran en sus cuentas.
P.: ¿Con qué otras APIs o soluciones de BBVA son especialmente interesantes de combinar?
A.C.: Estas APIs pueden combinarse con otras soluciones disponibles en BBVA, como:
¿Te interesan las APIs financieras? Descubre todas las que te ofrece BBVA
Los bancos tradicionales apuestan por modelos BaaS, open banking impulsa servicios financieros digitales, los organismos regulatorios aumentan el escrutinio sobre los proveedores BaaS, el ecosistema bancario está cambiando rápidamente, y se espera una mayor competencia y presiones regulatorias en el sector BaaS. The State of Banking-as-a-Service (BaaS) es un informe redactado por WhiteSight y Toqio […]
Se espera que durante los próximos años se regule el ‘open finance’, lo que dará lugar a un nuevo ecosistema de datos abiertos El open finance está abriéndose paso en el terreno legal mediante la consolidación de varias iniciativas que le darán blindaje jurídico. Una vez esto se haya completado, los clientes confiarán en un […]
La banca digital o banca electrónica es el futuro del sector bancario, con cada vez más funcionalidades y posibilidades La banca digital, la transformación virtual y sobre la infraestructura de las telecomunicaciones de la banca, es cada vez más usada. Sus ventajas de ubicuidad, accesibilidad, rapidez, disponibilidad, seguridad o la gran posibilidad de funcionalidades disponibles […]
