La agregación bancaria recopila automáticamente la información financiera de cuentas bancarias en diferentes instituciones, la recoge en un mismo lugar, y la pone a disposición de otros sistemas.

Esta tecnología tiene muchas aplicaciones, como por ejemplo el análisis de riesgo orientado al crédito, hacer scoring financiero, o facilitar la contabilidad a las empresas reuniendo los datos de todas sus cuentas en un mismo lugar.

Ahora, con la entrada en vigor de la normativa PSD2 a nivel europeo, la adopción de esta tecnología y sus aplicaciones están creciendo drásticamente.

Sin embargo, pese a su gran utilidad, la agregación bancaria sigue siendo una gran desconocida para muchas empresas.

Por eso nos hemos propuesto analizar en profundidad cómo funciona y examinar diferentes casos de uso para esclarecer cualquier duda que puedas tener sobre esta tecnología con tanto potencial, y que así puedas saber si tu empresa puede beneficiarse de ella.

Cómo funciona la agregación bancaria

Los datos de una cuenta bancaria son privados y pertenecen al titular de la misma, pero existen escenarios en los cuales el titular desea que un tercero pueda acceder a ellos para proveer un servicio o llevar a cabo una tarea determinada. Un ejemplo sería realizar un análisis de salud financiera para la concesión de un préstamo o una hipoteca.

En casos como este, el titular de la cuenta puede facilitar las credenciales de acceso a su banca online al tercero, y este puede emplearlas para acceder a la información necesaria.

El acceso a la información se hace mediante la API del banco donde está ubicada la cuenta a leer. Las APIs bancarias emplean una nomenclatura específica para las peticiones, por lo que los terceros pueden acceder a diferentes clases de información en función de sus necesidades específicas en cada petición.

Algunas categorías de datos comúnmente empleados son el balance de la cuenta, un listado de movimientos en un periodo de tiempo determinado, o los datos del propietario de la cuenta.

La petición especifica cual es el banco que se va a leer (“bank_id”) y proporciona un usuario y una contraseña, que en caso de una lectura real corresponderían a las credenciales de acceso a la banca online de la persona interesada.

Habiendo recibido las credenciales correctas, el banco autoriza la petición y devuelve a la aplicación la información solicitada en la llamada.

Una petición de este tipo devolvería los siguientes datos:

• El nombre del titular de la cuenta (“account_owner”)
• El IBAN (“iban”)
• Las tarjetas bancarias asociadas a la cuenta (“cards”)
• Los préstamos bancarios asociados a la cuenta (“loans”)
• Un listado de todos los movimientos bancarios (“statements”) comprendidos entre 1/1/2018 (“start_date”) y 25/10/2018 (“end_date”)

En la mayoría de los casos, la respuesta del banco tomará la forma de código, y correrá a cargo del receptor procesar los datos y darles el formato necesario para su uso en cualquier proceso que se desee.

En función de la finalidad de los datos, estos recibirán un tratamiento diferente que se adapte a su caso de uso concreto:

• Un output de dato puro en formato JSON, leíble por aplicaciones para integrar en los procesos de negocio de una empresa.
• Exportación en uno de varios formatos (PDF o CSV por ejemplo), algunos de los cuales son útiles para integración en otros procesos o sistemas de análisis.
• “Pintar” los datos en una interfaz visual para su visionado, como un dashboard analítico.

Para qué sirve la agregación bancaria

Los datos que se pueden obtener leyendo la cuenta bancaria de una persona son muy útiles. Con ellos, las empresas pueden eliminar muchas incertezas de sus procesos de toma de decisiones, además de nutrir muchas herramientas y servicios que requieren de información financiera detallada para funcionar.

Con la información obtenida en la lectura de ejemplo que mostramos más arriba, la empresa podría hacer un análisis de salud financiera del titular y decidir si concede un préstamo en base a sus datos bancarios: ¿cuál es el balance medio de su cuenta? ¿cuánto ingresa y cuánto gasta? ¿tiene deudas importantes? etc.

A continuación, listamos algunos ejemplos de casos de uso de la tecnología de agregación bancaria:

• Valoraciones de riesgo para la concesión de préstamos: mediante agregación bancaria, el prestamista puede conocer la solvencia y la salud financiera del pedidor.
• Análisis de patrones de consumo: el listado histórico de movimientos bancarios permite saber en qué gasta dinero una persona, cuándo lo gasta, dónde, y más. Esta información tiene aplicaciones en el marketing y en la personalización de la oferta para adaptarla al cliente.
• Consolidación de cuentas bancarias: se puede simplificar mucho la contabilidad de una empresa mediante la agregación bancaria, pues esta permite reunir todos los datos de todas las cuentas de la empresa en un mismo lugar.
• Aplicaciones de finanzas personales: los conocidos Personal Financial Manager, como por ejemplo Fintonic, aplicaciones para gestionar las finanzas personales, obtienen la información necesaria de las finanzas de sus usuarios mediante la agregación bancaria.
• Aplicaciones de gestión financiera de empresa: el equivalente empresarial a los PFMs son los BFM’s, Business Financial Managers. Cumplen la misma función: facilitar la gestión de tesorería de la empresa mediante la agregación de sus datos financieros.

Más allá de estas aplicaciones, existen otras como la agregación bancaria orientada al Big Data, que consiste en la anonimización de los datos extraídos y su análisis en masa para obtener perspectivas únicas en diferentes áreas.

Seguridad y marco regulatorio: la PSD2

Todo esto suena muy interesante, pero… ¿y la seguridad?

Empleando la agregación bancaria se está tratando con datos financieros privados de empresas o personas, por lo que es esencial garantizar en todo momento la máxima seguridad de la información para evitar que esta pueda ser usada para fines ilícitos o perjudiciales para los interesados.

Afortunadamente, la normativa PSD2 (la nueva directiva de servicios de pago, en vigor desde enero de 2018) es muy estricta en estos asuntos y establece unas guías de seguridad muy garantistas hacia el usuario.

El objetivo de esta directiva es doble: por una parte, liberalizar el mercado de los pagos online y los servicios asociados, entre los cuales se incluye la obtención de información financiera mediante la agregación bancaria, y por otra, regular la participación en este espacio y crear unas normas que apliquen a todas las partes para garantizar que el usuario esté protegido en todo momento.

En materia de seguridad, esto se traduce en la exigencia que las organizaciones que proporcionen servicios de lectura de cuentas bancarias implementen sistemas de Strong Customer Authentication (SCA), o autenticación dura del cliente.

Por otra parte, las organizaciones que puedan proporcionar esta clase de servicios estarán estrictamente controladas bajo la directiva PSD2.

Hasta ahora, los servicios de agregación bancaria existían en una especie de limbo legal. No eran ilegales, pero no había una normativa comunitaria estándar que gobernara quien podía ofrecerlos y bajo qué condiciones.

Para solucionar este problema, la PSD2 introduce dos nuevas figuras, los Payment Initiation Service Providers o PISPs, Proveedores de Servicios de Iniciación de Pagos, y los Account Information Service Providers o AISPs, Proveedores de Servicios de Información de Cuentas Bancarias. Esta segunda figura, los AISPs, es la que acoge a las empresas que ofrecen servicios de agregación y lectura de cuentas bancarias.

Desde la entrada en vigor de la directiva, las empresas que deseen ofrecer esta clase servicios deben obtener la certificación pertinente de su cuerpo regulador nacional. En el caso de España, la organización que será responsable de conceder estas licencias es el Banco de España.

Así pues, además de abrir muchas posibilidades por los cambios que trae al ecosistema de los pagos online, la PSD2 también incrementa notablemente la seguridad de los usuarios gracias a una regulación más estricta de los proveedores.